Me saltaré las cuestiones de protección de datos, que creo quedaron del todo aclaradas, y en la que suspenden la totalidad de las redes sociales más conocidas.

Como elemento central de lo que se entiende por Web 2.0, al menos a efectos legales, destacaría principalmente el desplazamiento de la situación del usuario/consumidor a un puesto central, ya sea en la generación y difusión de contenidos o desarrollos, o bien como propio objeto de un servicio, como sucede en las redes sociales. Esa mayor implicación del usuario lleva aparejado que se le intente trasladar mayor responsabilidad, a la vez que se le priva de algunos derechos. Echen un vistazo si no a las condiciones de uso de redes sociales como Facebook, LinkedIn o Tuenti, o servicios como Youtube, MySpace o Flickr. En cierto modo, tiene su lógica, pero no olvidemos que éstos realizan una explotación de los contenidos que alojan, y que frente a terceros ajenos al servicio las condiciones de uso no son aplicables, por lo que también pueden ser responsables en estos casos.

Como recomendaciones generales, y ya no sólo para contenidos de terceros sino propios:

• Sean conscientes de las implicaciones en materia de derechos de propiedad intelectual e industrial y pidan los correspondientes permisos. No piensen sólo en el autor, existe todo un universo de titulares de derechos en el sector editorial, musical, audiovisual o de la informática. Aunque un contenido se distribuya bajo una licencia Creative Commons, piensen antes de usarlo si dicha licencia les permite realizar las cesiones de derechos previstas en las condiciones de determinado servicio, y si las quieren utilizar para sus contenidos sepan que aunque el copyleft goza de gran aceptación, también conlleva una pérdida del control sobre la obra. Olvídense del derecho de cita, la regulación actual de la Ley de Propiedad Intelectual lo ha restringido tanto que en general no les servirá.
• Consideren la posible vulneración de los derechos a la intimidad, honor y propia imagen de las personas implicadas, y eviten cualquier posible calumnia, injuria o acto de descrédito en general contra entidades o personas físicas.
• Tengan en cuenta la posible vulneración de acuerdos de confidencialidad o la fuga de secretos de empresa, así como los actos contrarios a la legislación sobre competencia desleal.
• Definan una política interna y supervisen los actos de trabajadores y colaboradores.

No digo que no se usen las redes sociales, pero al menos valoren los riesgos. Ceden los derechos sobre los contenidos que incluyen, sus propuestas, sus marcas y logotipos, fotografías, vídeos, y las empresas que están detrás pueden hacer prácticamente lo que quieran con ellos porque Uds. se lo han permitido.

Fuera de lo que son las redes sociales, la práctica de contar con la comunidad que libre y voluntariamente, por amor al arte, contribuye a mejorar nuestro producto o servicio también entraña riesgos. El recurso al crowdsourcing puede volverse en su contra y que les reclamen derechos de propiedad intelectual, al fin y al cabo no sólo no cobran por esa colaboración, sino que ni hay contrato, al margen claro de que puede haber una fuga de información confidencial y les hagan la competencia.

Por último, las cuestiones de responsabilidad por los contenidos. El régimen de la LSSI es especial y tasado, pero no es el único. La exención de responsabilidad para servicios de alojamiento de contenidos tiene en mente los servicios de hosting o a los CMS como Blogger, Blogia y similares. No confíe un tribunal entienda que Ud. no es responsable de los comentarios o contribuciones a su blog o wiki cuando tiene la posibilidad de supervisarlas y moderarlas. Lo más fácil para un Juez será aplicar lo que ya conoce, atribuirles responsabilidad por la vía del artículo 30 del Código Penal, por analogía con medios o soportes de difusión mecánicos, o tirar por el régimen general de responsabilidad extracontractual del 1902 y siguientes del Código Civil.

Efectivamente, el Tribunal Supremo entiende que los Libros de Bautismo no son ficheros, pero lo que me parece increible es que la Agencia venga a decir que sostiene lo contrario, cuando basta echar un vistazo a sus resoluciones sobre solicitudes de cancelación de datos por parte de apóstatas para comprobar que ella misma niega ese carácter, y el Supremo no ha hecho más que asumir ese criterio por pura comodidad. Claro que el primer contrasentido de la Agencia es considerar que aunque los Libros de Bautismo no son ficheros de miembros de la Iglesia Católica -ya que según la Dirección General de Asuntos Religiosos no implican la pertenencia a ésta- sí son bases de datos, resultando de aplicación el régimen de la LOPD. Entiendo que una cosa no quita la otra, el bautismo identifica a los fieles cristianos según el Código de Derecho Canónico, y la Iglesia como institución es otra cosa, pero qué duda cabe que los Libros de Bautismo los gestiona ella y decide sobre la finalidad, contenido y uso del tratamiento. Por otro lado, no consigo encontrar una distinción en la Ley ni en el Reglamento entre fichero, como conjunto organizado, y base de datos que obligue a este matiz.

El que la inscripción en dichos Libros refleje un dato histórico e innegable no implica que éste deba permanecer inalterable. Si realmente no se puede eliminar el hecho del bautismo, no veo qué problema puede haber en añadir la condición de apóstata como nota marginal, siendo que supone un rechazo a la fe cristiana, precisamente lo contrario a lo que atribuye el bautismo.

El caso es que aunque el Tribunal Supremo pretenda redefinir el concepto de fichero, la normativa es clara en cuanto a considerarlo como conjunto organizado de datos personales, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso, y efectivamente los Libros de Bautismo están organizados, aunque no sea por nombre, por orden cronológico, pues sin orden sería inviable cualquier búsqueda en ellos, y de hecho es posible. Las construcciones que hace dicha sentencia no sólo son insostenibles, en mi opinión, sino peligrosísimas, pues de fondo lo que plantea es que la existencia o no de garantías al derecho a la protección de datos personales va en función de la informatización o no de dichos ficheros, lo cual no sólo es absurdo, por mucho que el artículo 18.4 de la Constitución, del que parte esta normativa, se refiera exclusivamente a la informática, sino que tiene los días contados y además está plenamente superado por la doctrina del Tribunal Constitucional, la Directiva y la Ley Orgánica, que no parece se tengan en cuenta.

De otro modo, si la Iglesia Católica no tiene ficheros de sus miembros, no veo qué sentido tiene que se hable de ellos en el artículo 7 de la Ley.

Pero la sentencia abre una reflexión interesante a propósito del alcance de la protección de datos, lo que puede llevar a plantearnos si realmente cualquier continente de éstos se somete a tan rigurosa normativa o si cualquier referencia a una persona es dato personal, o por el contrario existen límites. Pensándolo fríamente, que el criterio del Supremo se mantenga sería comodísimo para los abogados, pues todos esos escritos que acumulamos, relatos de hechos y situaciones personales e íntimas, quedarían fuera de este régimen aunque, eso sí, sometidos al secreto profesional, de mucha más raigambre y solera.

PD: A todos aquellos que han ido comentando y esperando respuestas durante este periodo de dejadez de más de un mes, pido disculpas. Sin Uds. esto no sería lo que es, así que les aseguro les responderé.

La aceptación de las condiciones es ya en si criticable. Junto a la aceptación previa a la descarga (bien, aunque no se pide ningún dato que permita identificar al usuario) se añade el mero uso del servicio. La pega es que difícilmente se me pueden aplicar unas condiciones por esto último cuando no las he visto y ni siquiera se encuentran en el propio programa, ni tampoco me vinculan los cambios en éstas que limiten mis derechos aunque, según este contrato, se diga que se aplicarán automáticamente sin notificación ni aceptación alguna (sección 19).

De entrada, el texto que Uds. aceptan según Google no sirve, es meramente informativo, siendo la versión en inglés la que prevalece, existe una remisión a la legislación inglesa y un sometimiento a los tribunales de Inglaterra, sin determinar el lugar en concreto (tan grandes son que les sirve cualquier pueblo), a pesar de que el servicio lo presta en principio Google Inc., con sede en Mountain View, California. Sucede que el Derecho, al menos formalmente, tiende a proteger a la parte débil de una relación, y así el Derecho Internacional Privado y la legislación sobre consumidores y usuarios establecen normas de protección para evitar situaciones abusivas. Echen un vistazo al art. 67 de la Ley General para la Defensa de los Consumidores y Usuarios (LGDCU), que determina en concreto cuándo y qué normas serán, en cualquier caso, de aplicación imperativa, al margen de lo que diga el contrato entre las partes, y que

[…] se entenderá, en particular, que existe un vínculo estrecho cuando el bien haya de utilizarse, ejercitarse el derecho o realizarse la prestación en alguno de los Estados miembros de la Unión Europea, o el contrato se hubiera celebrado total o parcialmente en cualquiera de ellos, o una de las partes sea ciudadano de un Estado miembro de la Unión Europea o presente el negocio jurídico cualquier otra conexión análoga o vínculo estrecho con el territorio de la Unión Europea.

No hace falta explicar mucho, pero es que además en las condiciones de Google Chrome se indica (sección 4.1) que los servicios se podrán prestar, en ocasiones, por las filiales y subsidiarias de Google Inc. establecidas en cada país, lo que refuerza los puntos de conexión. Claro que lo cierto es que en realidad el usuario no está unido contractualmente a ellas, por lo que no se le aplican con estas últimas (aunque la sección 20.6 diga que sí), pero a efectos de la vinculación nos sirve. Esto nos lleva al art. 90 de la LGDCU: se aplicará el Derecho español (no el inglés), y los tribunales que conocerán de cualquier conflicto entre las partes serán los del domicilio del consumidor. Y en cuanto a la aplicación de la versión inglesa del acuerdo, va ser que tampoco, ya que la Ley exige que las condiciones de los contratos sean comprensibles, y un ciudadano español no tiene por qué saber inglés.

Hay otras condiciones que también considero abusivas o desproporcionadas, y por tanto serían nulas, como la interrupción o suspensión del servicio -con la imposibilidad de acceder a la información o archivos asociados a la cuenta- por la simple voluntad de Google, o que la resolución de este contrato obligue a la cancelación de las otras cuentas existentes para otros servicios de Google. No es lícita, además, la exclusión de responsabilidad sobre la publicidad de los anunciantes que contratan con Google frente a los usuarios, cuando por contrato con los primeros no puede limitarla ni exonerarse (art. 14 de la Ley General de Publicidad, claro que esto vale para la filial en España).

Por lo que se refiere a las cuestiones de privacidad, aunque la prestación del servicio se realizará por la empresa matriz en EE.UU. se aplicará la LOPD en la medida en que se almacenen o utilicen los resultados de las búsquedas de los usuarios (asociados a éstos), que entiendo pueden calificarse como datos de nivel medio (art. 2.1.c de la Ley). Dependerá si la configuración del navegador permite un anonimato, pero a menos que la filial en España que en principio gestiona sólo actividades de marketing y publicidad se implique en este servicio, cosa que dudo, no se sujetará a nuestra normativa sobre protección de datos, salvo lo dicho.

Por último, las grandes patinadas en cuanto a propiedad intelectual (sección 11), sobre las que otros han hablado con detalle. Las condiciones declaran que, sobre contenidos protegibles por el derecho de autor u otros según la ley (el propio programa o contenidos del usuario), el usuario concede una licencia permanente, internacional, irrevocable y no exclusiva para reproducir, adaptar, modificar, traducir, publicar, representar, mostrar públicamente, y distribuir los contenidos que envíe, publique o muestre en el servicio (el navegador) o a través de él. En fin, totalmente excesivo, y con un punto que no termino de entender, pues en las condiciones se dice que dicha licencia no está sujeta a derechos de autor (¿?).

En fin, ante las críticas, se dice ahora que ha habido un error en cuanto a lo último, y que Google no quería eso. Según parece reconocer la propia empresa, se han reciclado las condiciones generales para otros servicios, pero que lo corregirán de inmediato, eliminando la conflictiva sección 11. A ver qué hacen para la versión en español.

Ya ven, vergonzoso, años de desarrollo de producto y las condiciones se resuelven con un copiapega.

Lo que plantea el caso es si para la obtención de una dirección IP directamente de eMule se exige autorización judicial, cuando este dato lo hace público el usuario por el mero uso del programa. No obstante, hay algo más, no sólo se trata de la dirección IP, sino también de su vinculación con un identificador de fichero (hash) como fuente del mismo. En este asunto se trataba de imputar un delito de facilitación de difusión de pornografía infantil, pues la acusada compartió material de este tipo mientras se lo descargaba en su equipo. Aún cuando se eliminen dichos ficheros, el identificador del usuario de eMule y la IP de su equipo quedan asociados a los mismos, al menos durante un tiempo en el servidor. Se le puede seguir la pista, lo que no significa necesariamente que exista un acceso o intromisión en el ordenador de dicha persona para recabar esta información.

Por un lado, podría discutirse la validez en juicio de la información que proporciona el servidor de eMule en cuanto a las fuentes de los ficheros y sus direcciones IP (cuestión que también pregunta David Maeztu), así como si, al identificar la IP a un equipo informático, realmente el titular de la conexión a Internet es el responsable de los actos que se hagan con el mismo. El primer punto me parece más interesante, pero lo último no se suele discutir, aceptándose que el uso del equipo se realiza bajo la responsabilidad de dicha persona.

El Tribunal Supremo cita la doctrina del caso Malone del Tribunal Europeo de Derechos Humanos de 1984, reconocida también por el Tribunal Constitucional en una sentencia de 20 de mayo de 2002, según la cual los números de abonado en las comunicaciones telefónicas también están protegidos por el secreto de las comunicaciones. Aún cuando no se entrara en el contenido de las comunicaciones, la obtención de la información relativa a la existencia y momento de la comunicación telefónica requeriría autorización judicial. Se argumenta conforme a dicha doctrina en el sentido de que en realidad haría falta, para que se considerara una injerencia ilegítima, que se llegara a averiguar la identidad de las personas en concreto, no simplemente el número de teléfono. La actuación policial en este supuesto no es, por tanto, contraria a lo anterior, ya que en el momento en que se quiso averiguar la identidad de los titulares de la conexión a Intenet sí se solicitó autorización judicial.

La exclusión de la dirección IP del secreto de las comunicaciones quedaba clara con el artículo 12 de la LSSI en su redacción anterior a la vigente y, posteriormente, por la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (ésta no aplicable al momento de los hechos), así que entiendo que la sentencia es conforme con el marco legal en este punto. La autorización a la que se refiere la Ley 25/2007 habría que exigirla cuando los datos estén en poder de los prestadores de servicios de la sociedad de la información, y parece absurdo solicitarla cuando el usuario los hace accesibles y no se requiere ninguna injerencia para su obtención.

Se señala en su Fundamento Segundo:

Visto el panorama jurisprudencial y legislativo y trasponiéndolo al caso que nos ocupa se puede concluir lo siguiente: […]

b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.

Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3º C.E.

En cualquier caso, la postura oficial de la Agencia y el Supervisor Europeo de Protección de Datos es considerar que las direcciones IP son un dato personal, quedando protegidas por dicha regulación. Voy a pensar que la sentencia tiene incoherencias y que realmente también lo cree.

Lo que no puedo compartir es que el hecho de que el usuario haga público ese dato permita o justifique su captación y cualquier uso posterior, lo que parece deducirse del texto, por las peligrosas consecuencias que podría tener. De todos modos, como bien señala Sergio Carrasco, deben aplicarse a este caso las previsiones del artículo 22 de la LOPD para la recogida y tratamiento de datos para fines policiales por las Fuerzas y Cuerpos de Seguridad del Estado, que evitan solicitar el consentimiento de los afectados.

En conclusión, comparto la fundamentación de la sentencia en su mayor parte, con la advertencia de que la justificación del procedimiento seguido no puede extrapolarse a otros supuestos en los que se trate de investigar la comisión de otros ilícitos a partir de una dirección IP.

ACTUALIZACIÓN (11-06-2008): La sentencia del Supremo ya está disponible para todos los públicos en la web del CGPJ.

Los choques y, especialmente, la situación de las cadenas de televisión, que no tenían claro a quién debían pagar, los llevaron al Tribunal de Defensa de la Competencia, llegando en 2003 a un acuerdo por el que, en aras de favorecer la competencia entre ambas y la transparencia en el mercado, crearían una base de datos conjunta de obras, con los porcentajes de participación de los socios y la entidad de gestión a la que pertenece cada uno. Según DAMA, SGAE acaparaba la recaudación de la industria audiovisual incluso de derechos de autores que no le correspondían a ella.

A fecha de hoy, dicha base de datos no se ha creado. La Agencia Española de Protección de Datos ha publicado recientemente el Informe 0243/2008 de su Gabinete Jurídico (pdf), en el que se resuelve la consulta planteada por SGAE acerca de cómo llevarla a cabo, permitiendo a los usuarios el acceso a la misma por medio de Internet.

La puesta en funcionamiento de la base de datos implica una serie de cesiones de datos personales relativos a los autores, primero entre las entidades y posteriormente a los usuarios que la consulten. La regla general es que toda cesión requiere un consentimiento del afectado, si bien hay excepciones, definidas en el artículo 11.2 de la LOPD y en el 10.2 del Reglamento de Protección de Datos. El Reglamento viene a matizar la autorización por ley, que pasa a ser un amparo legal. Esto es, aunque la ley no prevea la cesión de datos ni faculte expresamente a ello, si se deduce necesario o simplemente conforme para cumplir con sus previsiones, se permite sin autorización. Creo que abre una via peligrosa y que desde luego va mucho más allá de lo que establece la ley, pues en realidad cualquier tratamiento de datos debe resultar legítimo, ya sea por ley o por acuerdo entre las partes, lo que nos puede llevar a que los casos en que se exija el consentimiento sean los menos.

No obstante, debe tenerse en cuenta que esto no evita que se informe de ello ni se justifique, no sólo frente a los afectados sino ante la Agencia de Protección de Datos.

Partiendo de lo anterior, la Agencia entiende que no es necesario el consentimiento de los afectados, porque tanto la creación de dicha base de datos como su puesta a disposición a los usuarios se realiza en cumplimiento de un acuerdo de terminación convencional adoptado por las partes ante el TDC, y que éstos son vinculantes según la Ley de Defensa de la Compentencia (tanto con la Ley 16/1989, de 17 de julio, aplicable entonces, así como con la nueva Ley 15/2007, de 3 de julio).

En realidad, todo el problema se resuelve con los párrafos del final del informe:

De este modo, sería posible la publicación de los datos referidos a los autores de las obras audiovisuales a las que se refiere la base de datos cuando dicha publicación sea necesaria para el cumplimiento de la finalidad perseguida por el Acuerdo, cual es, como ya se ha indicado “que los usuarios de las obras audiovisuales puedan saber cuál es el repertorio por el que pagan”.

Por tanto, si la indicación de los datos personales del autor fuera necesaria para dicha finalidad cabrá la inclusión de tales datos en la base de datos accesible por los usuario. Si dicha finalidad puede lograrse mediante la mera constancia del título de la obra, procedería únicamente la publicación de tales datos.

Deberíamos haber empezado por ahí. En mi opinión, entiendo que no hace falta publicar la relación de autores, pues a los usuarios que consulten la base de datos únicamente les interesa saber a quién deben pagar para el uso de determinada obra. No creo que del acuerdo haya que deducir la obligatoriedad de hacer públicos a los afectados ningún dato personal, sobre lo que sí debería haber entrado la Agencia. Debemos tener en cuenta que los usuarios pagan por el uso de obras, no de personas, y que la situación que pretende resolver la base de datos es sobre repertorios y sociedades de gestión. Es cierto que detrás de toda obra hay personas, pero aún considerando que efectivamente el usuario pueda tener derecho a conocer quienes en última instancia son los beneficiarios de los importes que pagan, no entiendo que esto se fundamente en la Ley de Defensa de la Competencia.

El próximo lunes 19 entra en vigor el Reglamento (CE) nº 380/2008 del Consejo, de 18 de abril de 2008 (pdf), que modifica el Reglamento (CE) nº 1030/2002, por el que se establece un modelo uniforme de permiso de residencia para nacionales de terceros países, que como novedad pasa a incluir datos biométricos, tal como venía pidiendo la Comisión Europea desde septiembre de 2003 como medida de protección de los visados contra una utilización fraudulenta.

En principio serán una imagen facial y dos impresiones dactilares, en formato interoperable y de alta resolución, elementos que se utilizarán para verificar la autenticidad del documento y la identidad del titular. Los datos estarán protegidos y el soporte de almacenamiento tendrá la suficiente capacidad y las características necesarias para garantizar la integridad, autenticidad y confidencialidad de los datos. No obstante, no se publican y se mantienen secretas las especificaciones técnicas relativas a la seguridad, incluida la prevención del acceso no autorizado o los requisitos de calidad de dichos datos.

Siempre que se salvaguarden las cuestiones relativas a protección de datos en cuanto al acceso, reproducción, transmisión y gestión de estos datos a través de bases de datos, no debería haber ningún problema, pero no tranquiliza que ya el Reglamento contemple la posibilidad de que los Estados miembros puedan incluir en el permiso datos para servicios electrónicos, como la administración electrónica y el comercio electrónico, así como otras disposiciones relativas al permiso de residencia, aunque de forma separada de los datos biométricos, cuando además no existe uniformidad entre los Estados de la UE.

Supone un primer paso, pues su incorporación a los pasaportes y documentos de viaje, algo que venía exigiendo EE.UU., es inminente una vez se han aprobado las especificaciones técnicas. El Supervisor Europeo de Protección de Datos ya ha protestado (pdf) por no habérsele consultado, como era preceptivo, y porque no se tiene en cuenta la falta de armonización en cuanto a otros documentos de entrada (certificados de nacimiento, libro de familia, autorización paterna para viajar,…), también falsificables. Tampoco se contemplan adecuadamente los posibles errores inherentes a los sistemas biométricos, especialmente para niños y personas mayores. Tanto para permisos de residencia como para pasaportes, se fija la edad mínima de 6 años, a partir de la cual se deberán tomar las huellas dactilares, a pesar de que la práctica en otros ámbitos y Estados la sitúa en los 14 años y que no existen estudios suficientes que garanticen su fiabilidad a esa edad. Lo mismo puede decirse en cuanto a las huellas de personas mayores, debiendo haberse previsto un límite máximo (se señala la edad de 79 años, en la línea de EE.UU.).

Este jueves participo en una jornada organizada por el SATipyme de Zaragoza a propósito de las novedades del nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

La idea es comentar las nuevas obligaciones y cambios que supone esta norma, tanto en los principios y derechos que introduce la Ley (consentimiento, cesiones, tratamiento de datos por cuenta de tercero,…) o su ámbito de aplicación, como en las medidas de seguridad que habrá que implantar sobre los ficheros en papel.

La jornada será a las 12:30 en el salón de plenos de la Cámara de Comercio e Industria de Zaragoza, paseo de Isabel la Católica, 2, y durará una hora.

Información e inscripciones

Al margen de las cuestiones clave de dicho documento, que Jorge Campanillas ha destacado, y aprovechando que estoy terminando la implantación de esta normativa en un colegio concertado de educación infantil, primaria y secundaria, añadiré algo desde la práctica.

Lo mejor del documento es que se insiste en que lo principal es el interés superior del niño, lo que en la legislación española se refleja en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, que afortunadamente permite matizar las limitaciones establecidas en la normativa sobre protección de datos. Por tanto, si es necesario, deben comentarse las circunstancias familiares o de salud física y mental del niño en las reuniones del claustro de profesores, en la medida en que afectan a su desarrollo educativo y personal, y naturalmente el personal de comedor debe conocer si un alumno es alérgico a determinados alimentos aún cuando no se trate de médicos o personal de salud. Esto no significa que pueda incumplirse el deber de secreto, pero la situación de los colegios es delicada porque a ellos les corresponde la vigilancia y cuidado del alumnado a su cargo, y esto supone que manejan información confidencial y sensible, no sólo de salud sino de religión o, por ejemplo, sobre su situación familiar (en casos de separación y divorcio deben saber cuál de los padres tiene la guarda y custodia del menor, lo que les obliga a solicitar la correspondiente resolución judicial, al igual que cuando existe una orden de alejamiento), debiendo extremar las medidas (por ejemplo por medio de cámaras de videovigilancia) precisamente en interés del menor y por la responsabilidad que asumen.

Existen, por otro lado, más cesiones de datos de las que cabe pensar a primera vista. Lo más evidente es que la información académica se transmita a los organismos autonómicos o estatales correspondientes en materia de educación (depende de las competencias transferidas), así como a otros centros en caso de traslado de alumnos, procedimiento que está regulado. En estos casos el centro de origen tiene un cierto margen de discrecionalidad, pudiendo comunicarse no sólo las cuestiones puramente formativas sino también lo que considere relevante sobre su progreso y problemas de adaptación o conducta.

Todo esto sin tener en cuenta que hay que tener precaución en la grabación y publicación de imágenes y su difusión, especialmente por Internet, así como en la publicación de calificaciones escolares en tablones, por ejemplo.

En el caso de centros concertados aún es más complejo, pues los módulos del concierto obligan a dar cuenta a la Administración no sólo de los ingresos y gastos en general, o el número de alumnos inscritos (pudiendo lógicamente requerir documentación que lo corrobore), sino de los profesores en concreto contratados, incluyendo sus datos bancarios, relación laboral, categoría profesional,…

La actualización de los ficheros y las medidas es imprescindible, primero porque cambian con frecuencia, pero además porque, como acertadamente señala el documento del G29, aún cuando en caso de menores de edad (menores de 14 años según el criterio de la Agencia, que ahora recoge el nuevo Reglamento de Protección de Datos) el consentimiento lo ejercitan sus representantes legales, una vez sean capaces de prestarlo por sí solos, deberá solicitárseles directamente pues aquél es inválido ya.

Debido al tipo de datos que se manejan es importante deslindar correctamente los ficheros por finalidades, determinando en concreto los usuarios que pueden acceder a cada uno. En general, los ficheros más habituales que puede tener un colegio serían los relativos a su gestión económica, contable y administrativa, personal, gestión académica o educación, orientación de alumnos, videovigilancia y servicio médico-comedor.

Por último, debo indicar que sobre esta materia se publicó no hace mucho el libro La Protección de Datos en los Centros de Enseñanza, elaborado por dos abogados del despacho Sánchez-Crespo. Sin perjuicio de la competencia de dicho despacho, que no pongo en duda, este libro en concreto me pareció decepcionante. Dado que lo compré por Internet, no descubrí hasta que lo tenía en mis manos que saltados prólogos, agradecimientos y generalidades sobre protección de datos, que ya me las sé, hasta la página 67 no comienza a hablar sobre las particularidades de los centros de enseñanza, funciones y actividades del centro, y los datos y tratamientos implicados en cada caso, lo que es correcto, pero no profundiza ni soluciona ninguna cuestión práctica, y así entretiene hasta la página 115 que sigue con las medidas de seguridad, generales de cualquier entidad, así que también me las salté. Todavía quedaba libro y a mí algo de esperanza, pero a partir de ahí hasta el final no encontré más que varios anexos de conceptos básicos (otra vez) y normativa, que por otro lado también conocía, así como el Plan Sectorial de oficio a la enseñanza reglada no universitaria, estupendo estudio sobre la situación de centros de enseñanza realizado por la Agencia en 2005, que es lo que más merece la pena del libro. Total, que de 460 páginas, tan sólo 48 se referían a la materia en concreto (no voy a tener en cuenta los añadidos que no son de los autores). Está muy bien, con esa base reciclable todavía se puede escribir un libro sobre protección de datos en residencias o geriátricos, para agencias de viajes o campos de golf, por decir algo.

Mañana comienzan las Jornadas sobre Protección Jurídica de la Investigación, organizadas por el Instituto de Estudios Riojanos bajo la coordinación de David Maeztu, a quien principalmente debo agradecer la consideración de invitarme.

El objetivo es aportar a todo el colectivo de investigadores riojanos o interesados los instrumentos jurídicos básicos para el desarrollo de su labor, analizándose los aspectos ligados a la propiedad intelectual (David Maeztu y Javier de la Cueva), fiscales (José Ignacio Ruiz de Palacios), protección de datos (yo mismo), así como las implicaciones del uso de recursos para la investigación disponibles en Internet (Jorge Campanillas).

Las jornadas, en horario de 18 a 20:30 horas, se celebrarán en salón de actos del Instituto de Estudios Riojanos, calle Portales 2, Logroño. David Maeztu facilita el programa en imagen, y también pueden verlo en Noticias Jurídicas.

Aunque yo intervendré el viernes a primera hora, vista la talla de mis compañeros y la novedad de los planteamientos, les animo a que se inscriban.

El Real Decreto 685/2005, de 10 de junio, sobre publicidad de resoluciones concursales fue objeto de recurso ante el Tribunal Supremo por considerarse que, además de no solicitarse el preceptivo dictamen del Consejo de Estado (tampoco se consultó a la Agencia Española de Protección de Datos), no se había respetado la reserva de ley de acuerdo con el artículo 6.1 de la LOPD. La sentencia de 28 de marzo de 2007 pasa por encima de muchas cuestiones pero anula varios preceptos, obligando a hacer reajustes y, lo que considero más importante, obliga a eliminar la referencia a liquidadores y apoderados inhabilitados.