- Enero de 2020 -
Sentencia del Tribunal Supremo por la que declara válida como prueba la grabación de las cámaras de vigilancia orientadas al exterior de un comercio que tomaron imágenes de los días previos a la comisión del delito

La Sala de lo Penal del Tribunal Supremo ha desestimado los recursos de casación interpuestos contra la sentencia de la Sala de lo Civil y Penal del Tribunal Superior de Justicia de Canarias que confirmó las penas de prisión dictadas por la Audiencia Provincial de Las Palmas de Gran Canaria, por un delito de asesinato en grado de tentativa en concurso medial con un delito de robo con violencia, para uno de los condenados, y por un delito de robo con violencia, para el segundo de ellos.

Durante la investigación policial se accedió a las imágenes obtenidas a través de una cámara de videovigilancia que estaba instalada en el exterior del establecimiento asaltado y que tomaron imágenes de los dos condenados durante los días previos a la comisión del delito.

Habida cuenta de ello, en el recurso de casación interpuesto, uno de los recurrentes alega que se ha vulnerado su derecho a la intimidad y a la propia imagen debido a que los sistemas de grabación permitieron tomar imágenes del exterior de la vía pública y grabar su conducta durante los días previos a los hechos enjuiciados. De igual forma afirma que las cámaras de videovigilancia permitían grabar también a las personas que transitaban por la vía pública, por lo que consideraba que dichas imágenes no respetaban la intimidad de estas personas.

No obstante, el Tribunal Supremo, en el fundamento jurídico tercero de su sentencia, declara que la videovigilancia de las zonas comunes de los “espacios intermedios” (como pueden ser cafeterías, comercios, zonas de tránsito público de las urbanizaciones, etc.) se puede considerar legítima, puesto que no se trata de una invasión privada, sino que son zonas abiertas al público en las que el radio de acción de la cámara es el núcleo de acceso al comercio, con la exclusiva finalidad de garantizar la seguridad del mismo. Es por ello que son “medidas privadas de autoprotección del propio núcleo extensivo del comercio a su radio de acción más próximo en aras a disponer de medidas de vigilancia y prevención del delito”. Asimismo, se afirma en la sentencia que “como apunta la doctrina, el objetivo esencial de la instalación de videocámaras es el de la prevención del delito” y su instalación en comercios con este fin está avalada por la AEPD en su Guía sobre el uso de videocámaras para seguridad y otras finalidades.

En el presente caso, en virtud de lo declarado por el Alto Tribunal la cámara instalada “en ningún caso invade espacios o entornos privados por lo que no se vulnera ni el derecho a la inviolabilidad del domicilio ni el derecho a la intimidad, sin que dichos derechos puedan considerarse afectados cuando la grabación de la cámara colocada en la puerta comprende el espacio circundante imprescindible para los fines de vigilancia”.

Teniendo en consideración que el Tribunal Supremo declara que no existe vulneración de los derechos alegada por el recurrente por cuanto tomar imágenes de parte de la vía pública con la exclusiva finalidad de garantizar la seguridad de su establecimiento, es por ello que estas grabaciones sí constituyen un medio de prueba legítimo y válido en el procedimiento penal, no pudiendo deducirse que “el derecho a la propia imagen comprenda el derecho incondicionado y sin reservas de impedir que los rasgos físicos que identifican a la persona se capten o se difundan, pues el derecho a la propia imagen, como cualquier otro derecho, no es un derecho absoluto, y por ello su contenido se encuentra delimitado por el de otros derechos y bienes constitucionales”.

Habida cuenta de lo anterior, resulta evidente “el interés público de la seguridad ante el que no se puede pretender alegar el propio de la imagen cuando se ha participado en un hecho delictivo […] y la imagen de las personas que han intervenido se ha captado por la cámara de un comercio instalada en razones de prevención del delito en su núcleo de acción”.

Puede acceder a la Sentencia del Tribunal Supremo aquí.

Resolución de la AEPD sobre el derecho de acceso a la grabación de las llamadas telefónicas mediante las que se formaliza la contratación

En este supuesto, el interesado ejercitó su derecho de acceso frente a la Compañía, solicitando copia de la grabación telefónica a través de la que se formalizaba la contratación del servicio prestado por la empresa, sin que recibiese respuesta a dicha solicitud por su parte.

Habida cuenta de ello, presentó una reclamación ante la Agencia Española de Protección de Datos. No obstante, posteriormente, la empresa manifestó, en las alegaciones formuladas durante la tramitación de la referida reclamación, que no había podido responder a la solicitud, ni aportar la copia de dicha grabación, por cuanto no disponía de ella.

La AEPD declara en su resolución que “se ha de considerar que la voz es una característica peculiar e individual de cada persona que la hace identificable, por lo tanto, es un dato de carácter personal”. Es por ello que “el derecho de acceso a la grabación de su voz solicitado por la parte reclamante sí está amparado por la normativa vigente en materia de protección de datos”, debiendo la Compañía facilitar la copia de la grabación o, en su defecto, la transcripción del contenido si así lo solicita el afectado a través del ejercicio de sus derechos.

Habida cuenta de lo anterior, la autoridad de control ha declarado que “procede estimar por motivos formales la presente reclamación al haberse emitido la respuesta extemporáneamente sin que se requiera la realización de actuaciones adicionales por parte del responsable del fichero”, por cuanto la Compañía ya comunicó al interesado que no podía remitirle la grabación debido a que no disponía de ella.

Puede acceder a la resolución de la autoridad de control española aquí

El European Data Protection Supervisor ha publicado su opinión preliminar sobre la protección de los datos de carácter personal en relación con la realización de investigaciones científicas

El EDPS ha publicado un informe en el que recoge su opinión sobre la protección de los datos de carácter personal en el marco de la realización de investigaciones científicas. Ello se debe a que la investigación científica depende, en todo momento, del intercambio de ideas, conocimiento e información, lo que puede implicar el tratamiento de datos de carácter personal de individuos de la Unión Europea por parte de las organizaciones que llevan a cabo las referidas investigaciones. Habida cuenta de ello, la normativa vigente en materia de protección de datos (el Reglamento General de Protección de Datos o el Reglamento 1725/2018 para las instituciones de la Unión Europea) resultaría de aplicación a la investigación científica.

Esta normativa contiene un régimen especial que permite un mayor grado de flexibilidad para aquellos proyectos de investigación que presenten un marcado carácter ético y tengan como principales objetivos impulsar el conocimiento y el bienestar de la sociedad. Habida cuenta de ello, el aspecto práctico sobre cómo debe operar este régimen especial se encuentra en debate (parte de la doctrina afirma que el RGPD ofrece demasiada flexibilidad y otra parte defiende que esta normativa amenaza las actividades de investigación).

Asimismo, las barreras entre la investigación privada y la tradicional investigación académica son muy difusas, por lo que es más difícil poder distinguir aquellas investigaciones que tienen como principal objetivo el interés general de aquellas que sólo tienen como finalidad intereses privados.

Si bien este régimen especial supone la aplicación, entre otros, de los principios relativos a la necesidad de establecer una finalidad legítima para poder llevar a cabo el tratamiento de los datos personales o relativos a la protección de los derechos de los afectados, sin embargo, permite algunas excepciones a las obligaciones que tienen los responsables de los tratamientos.

Es por ello que, en este supuesto, el principio de responsabilidad activa resulta trascendental, por cuanto exige que los responsables del tratamiento sean honestos y lleven a cabo el tratamiento de los datos personales relacionados con las investigaciones científicas de manera responsable, puesto que los riesgos que se pueden derivar de ello son muy elevados (debido a que en algunos casos pueden tratar datos sensibles, como datos de salud u opiniones políticas).

Habida cuenta de ello, debido a que las investigaciones científicas tienen una función valiosa en la sociedad, se debe garantizar que los organismos que realicen investigaciones con un marcado carácter ético y con objetivos que busquen satisfacer el interés general puedan tratar datos personales siempre y cuando se ampare dicho tratamiento en una base legitimadora y se apliquen los principios establecidos en la normativa de protección de datos, así como las medidas de seguridad adecuadas.

El EDPS recomienda, en su informe, entre otras medidas, que se lleve a cabo una negociación entre las autoridades competentes y los comités de ética con la finalidad de definir el concepto de investigación científica para el interés general, así como la aplicación de Códigos de Conducta para investigaciones científicas.

Puede acceder al informe emitido por el EDPS aquí.

Celebración de la Cátedra Google sobre Privacidad, Sociedad e Innovación de la Universidad CEU San Pablo sobre la Jurisprudencia reciente sobre el derecho al olvido

La Cátedra Google sobre Privacidad, Sociedad e Innovación de la Universidad CEU San Pablo celebrada el día 30 de enero versó sobre la jurisprudencia reciente sobre el derecho al olvido, centrando su análisis en el alcance territorial del referido derecho y en las consecuencias que se pueden derivar de la categorización de los motores de búsqueda como responsables del tratamiento en relación con el tratamiento de datos sensibles.

El seminario fue impartido por D. Yann Padova, socio responsable del área de Protección de Datos Personales de Baker & Mckenzie en París, exsecretario General de la Autoridad Francesa de Protección de Datos (CNIL) y Country Leader de la IAPP y moderado por D. José Luis Piñar.

La Cátedra Google se centró en analizar las posibles consecuencias y conclusiones que pueden derivarse del análisis de la reciente jurisprudencia europea, así como de las respuestas a las 11 preguntas formuladas por el Conseil d’Etat al Tribunal de Justicia de la Unión Europea en relación con el tratamiento de datos sensibles por los motores de búsqueda como responsables del tratamiento y con el ámbito territorial del derecho al olvido (si este es universal, regional o “glocal”, como explicó D. Yann Padova). Ambas cuestiones se encuentran relacionadas, por cuanto las respuestas que se den a cada una de ellas pueden ampliar o limitar los efectos en la otra.

Como se recoge en el artículo adjunto a esta noticia y como afirmó D. Yann Padova durante la Cátedra, si se prohíbe que los motores de búsqueda traten datos sensibles como responsables del tratamiento y se establece que el ámbito territorial del derecho al olvido es universal, nos encontraríamos ante una situación mucho más restrictiva que en caso contrario.

No obstante, en virtud del análisis referido, se pudo llegar a la conclusión de que nos encontramos ante una situación que aún no ha sido resuelta ni aclarada, por lo que se deberá estar atento a las posibles futuras regulaciones, así como a las resoluciones de futuros litigios.

Puede acceder aquí a alguno de los documentos que fueron distribuidos durante la celebración del seminario.

Resumen sobre las actuaciones llevadas a cabo por la Agencia Española de Protección de Datos en 2019

Durante el año 2019, la Agencia Española de Protección de Datos ha llevado a cabo numerosas actuaciones dirigidas a garantizar la aplicación de la normativa de protección de datos por los interesados y a clarificar diferentes aspectos prácticos de la misma. Es por ello que, a lo largo del pasado año, la agencia publicó numerosas guías, informes o resoluciones, teniendo como principal objetivo mostrar la importancia que la protección de datos tiene en la actualidad.

Entre las guías publicadas, se deben destacar la Guía sobre el uso de las cookies, la Guía de privacidad del diseño, la Guía para el ciudadano o la Guía sobre el uso de drones, así como el estudio realizado sobre la huella digital o sobre la anonimidad de los datos, entre otros.

El ICO, autoridad de control inglesa, ha publicado un Código de Conducta que tiene como objetivo garantizar la protección de los datos personales de los niños durante su navegación por internet o cuando procedan al uso de diferentes apps

La Oficina del Comisionado de Información (ICO por sus siglas en inglés, Information Commissioners’s Office) ha publicado un Código de Conducta relativo a la protección de los datos de carácter personal de los menores en internet debido a la necesidad de garantizar una mayor protección de estos datos, puesto que los mismos se recaban desde el momento en el que los menores instalan en su móvil una aplicación o navegan por una página web.

Como afirma la autoridad de control británica, esta información puede ser utilizada para persuadir a los jóvenes con el fin de que pasen más tiempo usando la aplicación y navegando por internet o para adaptar los anuncios que publican a sus gustos, motivos por los que resulta necesario implementar medidas de protección adecuadas.

El Código elaborado por el ICO recoge una serie de normas que deben cumplirse por los desarrolladores o proveedores de servicios digitales, explicando, asimismo, cómo se aplica el Reglamento General de Protección de Datos en relación con el uso de estos servicios por los menores.

Así, en virtud de lo recogido en el Código, las compañías (desarrolladores, proveedores de servicios, etc) deben acreditar que sus actuaciones son conformes a sus disposiciones y que tratan los datos de carácter personal de los usuarios de acuerdo a la normativa vigente.

El Código está estructurado en 15 apartados que tienen como finalidad proteger a los menores de edad permitiéndoles que exploren, jueguen y aprendan en internet de manera más segura.

Entre otras cuestiones, el Código de Conducta establece que debe estar activado el modo “alta privacidad” en los ajustes por defecto, que sólo podrán tratarse y conservarse los datos personales que sean necesarios para la prestación del servicio (principio de minimización de los datos), que los datos de carácter personal no pueden ser compartidos con terceros o que los servicios de geolocalización deben estar apagados por defecto. Del mismo modo, se establece que estas aplicaciones no deben animar a los jóvenes a facilitar más datos personales de los necesarios o a desactivar los ajustes de privacidad.

Puede acceder al código publicado por la autoridad de control británica aquí.

La CNIL emite una consulta pública sobre el informe para el uso de cookies mediante el que propone diversas recomendaciones prácticas para recabar el consentimiento para la instalación de las mismas

La autoridad de control francesa ha sometido a consulta pública (hasta el 25 de febrero de 2020) su propuesta de informe por el que propone diversas recomendaciones prácticas para obtener el consentimiento de los  afectados para la instalación de cookies u otros rastreadores (que pueden ser usados, entre otras finalidades, para cuantificar el número de visitantes de la página web, proporcionar un servicio más adecuado o mostrar publicidad durante la navegación).

Tal y como afirma la CNIL, el Reglamento General de Protección de Datos ha establecido unos requisitos más exigentes para la obtención del consentimiento, por cuanto, para ser considerado un consentimiento válido, este debe ser el resultado de una acción positiva e inequívoca del usuario. Adicionalmente se establece que los responsables del tratamiento deben ser capaces de acreditar que han obtenido el citado consentimiento.

Esta propuesta de informe se ha publicado como consecuencia de las reclamaciones presentadas por los usuarios relacionadas con el envío de publicidad adaptada en función de los datos obtenidos a través de las cookies, así como por el interés mostrado por los propios responsables, que buscan adecuar sus actuaciones a las disposiciones contenidas en la normativa vigente de protección de datos.

Es por ello que los responsables del tratamiento han solicitado la emisión de un informe con recomendaciones prácticas con la finalidad de conocer cómo deben obtener el consentimiento de los usuarios y sobre qué aspectos deben informarles.

En relación con este informe, la autoridad de control afirma que el 95% de los ciudadanos encuestados para el estudio realizado conoce qué son las cookies, aunque expresa la necesidad de una mayor transparencia y control. El 90% de estos encuestados considera que la información accesible sobre las empresas que pueden seguir su navegación es insuficiente, llegando a afirmar que, en diversas ocasiones aceptaron la instalación de las cookies cuando no estaban de acuerdo o debido a que no tenían la opción de expresar su negativa.

Habida cuenta de lo anterior, la propuesta de la CNIL tiene como finalidad presentar recomendaciones prácticas, así como ejemplos concretos, que permitan mostrar cómo se debe obtener el consentimiento de los usuarios para la instalación de cookies (como por ejemplo, mediante la inclusión de botones en la interfaz que permitan aceptar o denegar expresamente el consentimiento).

Puede acceder al proyecto publicado por la autoridad de control francesa aquí.

La PDLI ha presentado ante el Defensor del Pueblo una solicitud para la interposición de un Recurso de Inconstitucionalidad contra el Real Decreto-Ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en m

La Plataforma en Defensa de la Libertad de Información (PDLI), junto con FACUA-consumidores en acción, la Asociación de Internautas y la Asociación de Usuarios de Internet (AUI), ha presentado un escrito ante el Defensor del Pueblo por el que solicita la interposición de un Recurso de Inconstitucionalidad contra el denominado "Decretazo digital" (RD-L 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes  por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones), debido a que el Defensor del Pueblo está legitimado para interponer el citado recurso.

Estas instituciones consideran que el Decreto-Ley afecta a derechos fundamentales sin que, entre otras cuestiones, se puedan apreciar las circunstancias de extraordinaria y urgente necesidad exigidas por el artículo 86 de la Constitución Española y que justifican que el Gobierno pueda dictar disposiciones legislativas provisionales en forma de Decreto-ley. Es por ello que  solicitan que esta materia se regule, con todas las garantías necesarias, como un Proyecto de Ley.

El European Data Protection Supervisor ha publicado una guía dirigida a las autoridades y a las fuerzas y cuerpos de seguridad de los países de la Unión Europea sobre el derecho a la información en aquellos supuestos en los que recogen la huella dactilar

El EDPS ha publicado una guía titulada “Right to information- Guide for authorities when taking fingerprints to Eurodac”. Debe ser puesto de manifiesto, en primer lugar, que el “Eurodac” (European Asylum Dactyloscopy) es un sistema que permite almacenar y procesar huellas digitales con la finalidad de comparar, entre distintos países de la Unión Europea, las huellas digitales de personas solicitantes de asilo o de inmigrantes arrestados en la frontera del país con el fin de conocer si el individuo ya ha solicitado previamente asilo en otro país de la Unión Europea o si ha entrado ilegalmente en la UE.

Es por ello que los solicitantes de asilo o los inmigrantes arrestados en la frontera tienen la obligación de dar sus huellas digitales a las autoridades que se lo soliciten. Habida cuenta de ello, el EDPS establece que también tienen derecho a conocer qué entidad va a tratar sus datos personales (la huella digital) y el motivo por el que lo hace. Del mismo modo, tienen derecho a acceder, corregir o solicitar la eliminación de sus datos en caso de que exista algún error, así como a conocer a quién deben dirigirse para estos casos. No obstante, en la práctica resulta complicado poder garantizar que esta información es facilitada a los solicitantes de asilo, motivo por el que el organismo europeo ha decidido emitir esta guía.

En la presente guía se declara que la información mencionada en el anterior párrafo se debe proporcionar en el momento en el que se recoge la huella dactilar, así como que esta debe ser concisa, transparente, clara, redactada de un modo determinado que permita que las personas que solicitan asilo puedan entenderla, pudiendo ser, incluso, facilitada oralmente en aquellos supuestos en los que sea necesario. Asimismo, se recoge que, en aquellos supuestos en los que la huella dactilar que se recoge sea procedente de un niño, la información podrá ser facilitada ayudándose de videos o imágenes y se deberá comprobar que se ha entendido bien.

Puede acceder a la guía publicada por el EDPS aquí.