Protección de datos
INTERNACIONAL
EEUU-UE
ACUERDOentre los Estados Unidos de América y la Unión Europea sobre la protección de datos personales relativa a la prevención, investigación, detección o enjuiciamiento de infracciones penales (2016)
Declaración de la Comisión (UE) en relación con este Acuerdo (2017)
UNIÓN EUROPEA
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE) - Ya en vigor, pero Aplicable solo a partir del 25 de mayo de 2018 - Comentario a su contenido y a las novedades que introduce
Borrador de Directiva para la sustitución de la UE Dir 46/1995 - Comentario a dicho borrador (Fco.J. Sempere, ene 2012)
Cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 46/1995 (UE Decisión 5 feb 2010)
Crossover entre el RGPD y la LOPD (Francisco Javier Sempere)
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo
Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave
Dictamen del Supervisor Europeo de Protección de Datos sobre la comunicación relativa a un espacio de libertad, seguridad y justicia al servicio de los ciudadanos (UE SEPD Dictamen - 2009/C 276/02)
Dictamen acerca del informe final del Grupo de Contacto de Alto Nivel entre la UE y Estados Unidos sobre el intercambio de información y la protección de la vida privada y los datos personales (UE Dictamen 2009/C 128/01)
Privacidad y las comunicaciones electrónicas (UE Dir 58/2002) - Su Modif (UE Dir 136/2009)
Aplicación de los principios relativos a la protección de datos y la intimidad en las aplicaciones basadas en la identificación por radiofrecuencia (UE Recom 12 may 2009 - 2009/387/CE)
Conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones (UE Dir 2006/24/CE)
Directrices para la protección de datos en el Sistema de Información del Mercado Interior (IMI) (UE Recom 26 mar 2009 - 2009/329/CE) y su Corr.err.
Derechos Fundamentales y Transferencia de Datos a Terceros Países
Cláusulas contractuales tipo para la transferencia de datos personales a un tercer país (UE Decisión 497/2001)
EEUU: Principios de Puerto Seguro
Decisión 1000/520/ CE de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
STSJE-Gran sala de 6 de octubre de 2015 (asunto C- 362/14) - Procedimiento prejudicial — Datos personales — Protección de las personas físicas frente al tratamiento de esos datos — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 47 — Directiva 95/46/CE — Artículos 25 y 28 — Transferencia de datos personales a países terceros — Decisión 2000/520/CE — Transferencia de datos personales a Estados Unidos — Nivel de protección inadecuado — Validez — Reclamación de una persona física cuyos datos han sido transferidos desde la Unión Europea a Estados Unidos — Facultades de las autoridades nacionales de control - La Sala falla así:
"1) El artículo 25, apartado 6, de la de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su versión modificada por el Reglamento (CE) nº 882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003, entendido a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que una Decisión adoptada en virtud de la referida disposición, como la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, por la que la Comisión Europea constata que un tercer país garantiza un nivel de protección adecuado, no impide que una autoridad de control de un Estado miembro, a la que se refiere el artículo 28 de esa Directiva, en su versión modificada, examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado.
2) La Decisión 2000/520 es inválida."
Competencia
Dictamen relativo a la propuesta de UE Reg sobre criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida [COM(2008) 820 final] (UE SEPD Dictamen - 2009/C 229/01)
Abogados
Modelo de cláusula informativa sobre PD de los Abogados con sus clientes (gracias al compañero abogado Francisco Pacheco)
Aduanas y Protección de datos
Dictamen sobre la Iniciativa de la República Francesa relativa a la Decisión del Consejo sobre la utilización de la tecnología de la información a efectos aduaneros (5903/2/09 REV 2) (UE SEPD Dictamen - 2009/C 229/03)
Ciencia y protección de datos
Acceso con fines científicos a datos confidenciales, por lo que se refiere a las encuestas y fuentes de datos estadísticos disponibles (UE Reg 831/2002)
Su Modif (UE Reg 520/2010)
Protección al consumidor y Protección de datos
Directrices para la aplicación de las normas de protección de datos en el Sistema de Cooperación para la Protección del Consumidor (CPCS) (UE Rec 136/2011)
Protección de Datos - UE y Terceros países
Israel
DECISIÓN conforme a la UE CDir 46/1995 relativa a la protección adecuada de los datos personales por el Estado de Israel en lo que respecta al tratamiento automatizado de los datos personales (UE Decisión 61/2011)
ESPAÑA
AEPD Agencia española
AEPD Agencia Española de Protección de Datos - Derechos del Ciudadano - Resoluciones
Publicación de Resoluciones de la AEPD (AEPD Instr 1/2004)
APDCM Agencia de Protección de datos de la Comunidad de Madrid
APDCM Agencia de Protección de datos de la Comunidad de Madrid
Ley y Reglamento
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Ley de Protección de Datos de Carácter Personal (LO 15/1999)
STC 292/2000 - Declara la nulidad de diversos apartados de la LO 15/1999 y contiene importantes conceptos y precisiones
Comentario a la LOPD (mar 2012)
Reglamento de protección de datos de carácter personal (RD 1720/2007)
La STS 8 feb 2012 anula su art. 10.2b.b); otra y otra de la misma fecha
STJCE 24 nov 2011 (casos C-468/10 y C-469/10 acumulados) (Ver con más detalle más abajo en Tratamiento de Datos por interés legítimo sin el consentimiento del Interesado)
La STS 15 jul 2008 (Rec. 26/2008) anula la frase del artículo 38.1.a) «... o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de los servicios financieros aprobado por Real Decreto 303/2004, de 20 de febrero»
La STS 15 jul 2010 (Rec. 25/2008) anula su artículo 18 y somete su artículo 10.2.a) y b) a cuestión prejudicial ante el TJCE
La STS 15 jul 2010 (Rec. 23/2008) anula varios artículos del Reglamento. EL TS ha resuelto anular el artículo 11 sobre “Verificación de datos en solicitudes formuladas a las Administraciones”, el artículo 18 sobre “Acreditación del cumplimiento del deber de información”, parte del artículo 38 relativo a “Requisitos para la inclusión de los datos” (en los ficheros de solvencia de crédito) y el apartado 2 del artículo 123 que regula el “Personal competente para la realización de las actuaciones previas”. Además, el TS ha planteado una cuestión prejudicial al TJCE sobre la interpretación del artículo 7 f) de la UE Dir 46/1995 en relación a la posible no existencia de consentimiento cuando concurra el interés legítimo.
Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (RD 994/1999, derogado desde el 20 abr 08)
Desarrollo determinados aspectos de la LO 5/1992 (RD 1332/1994, derogado desde el 20 abr 08)
Comunicaciones electrónicas
Más sobre Comunicaciones electrónicas
Internet
Dirección IP - No exención del deber de informar a los usuarios
STS-3ª-6 de 3 oct 2014 (Rec. 6153/2011) - DIRECCIÓN IP. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Se discute si una dirección IP puede considerarse un dato de carácter personal. No cabe duda de que a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado. Los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP -
"El 8 de enero de 2009 la representación de PROMUSICAE presentó un escrito ante la AEPD en el que solicitó, al amparo del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD ), la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales. (...) A la vista del anterior escrito, la AEPD acordó iniciar el procedimiento de exención del deber de información al interesado, previsto en el artículo 5.5 de la LOPD, de conformidad con los trámites establecidos para dicho procedimiento en el artículo 155 del RD 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la LOPD, finalizando el procedimiento por la resolución de la AEPD de 2 de julio de 2009, antes citada, que acordó no autorizar a PROMUSICAE la aplicación de lo dispuesto en el artículo 5.5 de la LOPD , en las condiciones señaladas en la resolución. (...) En este caso, la pretensión de la parte recurrente, según resulta tanto de su escrito de inicio del procedimiento administrativo, como del suplico de su demanda, es la obtención de la exención prevista en el artículo 5.5 LOPD del deber que establece el artículo 5.4 del mismo texto legal de informar a los interesados acerca del tratamiento de sus datos de carácter personal, y no se aprecia que dicho concreto y particular interés haya quedado satisfecho por la reforma operada por la Ley 2/2011, que establece ciertamente medidas de salvaguarda de los derechos de propiedad intelectual, pero por una vía distinta a la interesada por la parte recurrente, pues en la norma invocada por el Abogado del Estado esas funciones de salvaguarda se encomiendan a un órgano administrativo, la Comisión de Propiedad Intelectual, mientras que en el presente recurso la pretensión de la parte recurrente es, con esa misma finalidad de protección de los derechos de propiedad intelectual, la obtención para sí misma de la exención del deber legal de informar a los interesados del tratamiento de sus datos de carácter personal, que es materia sobre la que no puede apreciarse ninguna modificación por la norma citada por el Abogado del Estado. (...) CUARTO.- Como hemos indicado, el segundo motivo del recurso de casación sostiene que la sentencia recurrida se equivoca cuando sienta la premisa de que las direcciones IP son datos de carácter personal, pues para la parte recurrente las direcciones IP que pretende tratar no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP que PROMUSICAE pretende tratar constituyan datos personales, haciendo la sentencia recurrida una lectura equivocada de la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008. Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C- 275/2006.
(...)
Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD , ya que contienen información concerniente a personas físicas "identificadas o identificables". El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que "se considerará identificable toda persona cuya identidadpueda determinarse, directa o indirectamente, en particular mediante un número de identificación...".
No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.
La sentencia recurrida cita, en apoyo de su tesis de que las direcciones IP son datos personales, la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 (asunto C-275/06 ), recaída en una petición de decisión prejudicial planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento promovido por la aquí parte recurrente, PROMUSICAE, contra un proveedor de acceso a internet (Telefónica de España, SAU), para que le comunicase los nombres y direcciones de determinados usuarios de internet. En relación con dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la condición de datos personales de los que eran objeto de la pretensión de la parte recurrente en el litigio principal, es decir, los nombres y direcciones de determinados usuarios solicitada por PROMUSICAE, sin que el TJCE se pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse también que, en el mismo asunto, la Abogado General en sus conclusiones si mantiene (apartado 61), que el dato del usuario al que se han atribuido determinadas direcciones IP es un dato personal, en el sentido del artículo 2.a) de la Directiva 95/46 , es decir, información sobre una persona física identificada o identificable, pues "con ayuda de este dato se relacionan las actividades realizadas mediante el uso de la correspondiente dirección IP con el titular del punto de conexión" .
Por lo tanto, estimamos que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento."
Whatsapp - Su validez procesal
Cómo asegurar la validezde los wasaps en juicio (Pedro del Rosal, 2018)
Cookies - Device Fingerprinting
¿Es equiparable el fingerprinting a las cookies? (José Leandro Núñez, 2015)
Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting - El emisor de este dictamen, el WP del artículo 29) solo desempeña labores consultivas, careciendo sus opiniones de valor normativo.
Informe 11/2014 de la AEPD sobre cookies
Una norma casi incumplible (abr 2014) - Resolución sancionadora R/02990/2013 de la AEPD de marzo de 2014 (Procedimiento Nº PS/00321/2013)
Se transponen directivas en materia de ... comunicaciones electrónicas (RDL 13/2012) - Su Exposición de Motivos dice al respecto:
Por otro lado, mediante este real decreto-ley se efectúa la incorporación al ordenamiento jurídico español del nuevo marco regulador europeo en materia de comunicaciones electrónicas, marco que está compuesto por la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Derechos de los Ciudadanos), y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación).
La transposición de estas Directivas se efectúa mediante la modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, así como una modificación puntual de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.
Las modificaciones introducidas en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, persiguen crear un marco adecuado para la realización de inversiones en el despliegue de redes de nueva generación, que permita ofrecer servicios innovadores y tecnológicamente más adecuados a las necesidades de los ciudadanos. Para ello, entre los objetivos y principios de la Ley, se introduce el fomento de la conectividad y la interoperabilidad extremo a extremo de redes y servicios de comunicaciones electrónicas y la promoción de la capacidad de los usuarios para acceder y distribuir información a través de cualquier aplicación o servicio. Todo ello, sin olvidar, las especiales necesidades de grupos sociales específicos, como los mayores y las personas con discapacidad o en situación de dependencia.
En lo referente a las obligaciones que puedan imponerse a operadores con poder significativo de mercado, se introduce la posibilidad de obligar a realizar una separación funcional entre activos de red y suministro al por mayor de productos de acceso, como remedio extraordinario para supuestos de fallo persistente de la competencia. No obstante, al tratarse de una medida de extraordinario calado, que puede tener fuertes repercusiones a largo plazo en distintos ámbitos, se establecen numerosas cautelas que garantizan que dicha medida solo será adoptada en casos justificados y tras una minuciosa evaluación de impacto.
Asimismo, por este real decreto-ley se introducen importantes novedades en relación a los derechos de los operadores, reforzando su derecho a la ocupación de la propiedad pública y privada, que la norma exige que se garantice de modo efectivo. En todo caso, los límites a este derecho que pudieran llegar a imponerse habrán de estar basados en causas objetivas y ser proporcionados y no discriminatorios. Con el mismo objetivo de facilitar el despliegue de redes, se establece un plazo concreto para la resolución de las solicitudes de ocupación, que no podrá exceder de seis meses, salvo en caso de expropiación.
En materia de protección de datos, se apuesta de manera decidida por alcanzar mayores niveles de seguridad, extremando las cautelas en lo que se refiere al tratamiento y la protección de datos por parte de los operadores.
En línea con la importancia que dan las Directivas 2009/136/CE y 2009/140/CE al refuerzo de la integridad y seguridad de las redes públicas de comunicaciones electrónicas, se obliga a los operadores a gestionar de manera adecuada los riesgos de seguridad que pudieran afectar a sus redes, atribuyendo al Ministerio de Industria, Energía y Turismo la supervisión de las obligaciones de información, notificación de incidentes y auditoría, entre otras, que en esta materia puedan imponerse.
La reforma refuerza, asimismo, los derechos de los usuarios de los servicios de comunicaciones electrónicas, regulando, entre otros, su derecho al cambio de operador con conservación del número, en el plazo de un día laborable y mejorando la información que ha de suministrárseles, prestándose especial atención a las necesidades de los usuarios con discapacidad.
En lo que se refiere a la gestión del dominio público radioeléctrico, se generaliza la aplicación de los principios de neutralidad tecnológica y de los servicios y se profundiza en la regulación del mercado secundario de espectro. Con ello se pretende maximizar el rendimiento de los recursos espectrales asignados a los operadores, lo que redundará en beneficio de la innovación tecnológica y en una mayor oferta de mejores servicios.
Adicionalmente, se refuerzan las facultades de verificación del uso efectivo y eficiente del dominio público radioeléctrico, habida cuenta la relevancia que, como valor escaso y de importancia creciente, adquiere la garantía de un buen uso de este recurso.
Por último, se modifican varios artículos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, a fin de adecuar su régimen a la nueva redacción dada, por la Directiva 2009/136/CE, a la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, debiéndose destacar la nueva redacción que se da a su artículo 22.2, para exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta; dispositivos que pueden facilitar la navegación por la red pero con cuyo uso pueden desvelarse aspectos de la esfera privada de los usuarios, por lo que es importante que los usuarios estén adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad.
Comentarios: UN AÑO DESPUÉS DE APROBARSE LA LEY En España todos se saltan a la torera las normas sobre 'cookies' - El conocimiento nos hará libres (Alexandra Juanas Fabeiro, 2012)
Cloud Computing
Orientaciones para prestadores de Servicios para Cloud Computing (AEPD, 2013)
Informe: Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal (AEPD, Jun 2012)
Guía para empresas: seguridad y privacidad del cloud computing (INTECO, 2011) -
Plataformas colaborativas
Buscadores
Ver Motores de Búsqueda y Marcas
Buscadores de internet (AEPD Decl 1 dic 2007)
Texto íntegro original por el que el TSJCE abre el asunto C-131/12 (AEPD vs Google) - Mediante AAN 2 mar 2012, la Audiencia Nacional le había planteado cuestión prejudicial sobre la responsabilidad de los motores de búsqueda y el Derecho al Olvido - El 25 de junio de 2013 el Abogado General considera que los proveedores de servicios de motor de búsqueda en Internet no son responsables, sobre la base de la Directiva sobre Protección de Datos, de los datos personales incluidos en las páginas web que tratan, AUNQUE la normativa nacional de protección de datos les es de aplicación cuando establecen en un Estado miembro, a fin de promover y vender espacios publicitarios en su motor de búsqueda, una oficina que orienta su actividad hacia los habitantes de dicho Estado, aunque el tratamiento técnico de los datos se realice en otro lugar.
La STJUE (C‑136/17) precisó y actualiza los criterios a la luz del Reglamento General de Protección de Datos.
La STJUE de 13 de mayo de 2014 resuelve el asunto (y también aborda el 'Derecho al Olvido' como vemos más abajo) y la SAN-3ª-1 de 29 de diciembre de 2014 (Rec. 725/2010 - ECLI:ES:AN:2014:5129) la aplica. Esta dice:
"SEXTO .- Actividad del motor de búsqueda.
En primer lugar, debemos partir que diversas cuestiones suscitadas en las demandas después de la STJUE de 13 de mayo de 2014 ya carecen de relevancia al haber sido resueltas por dicha Sentencia, entre ellas si la actividad de un motor de búsqueda como proveedor de contenido debe calificarse de «tratamiento de datos personales».
En efecto, en la contestación a dicha cuestión prejudicial suscitada por esta Sala la citada Sentencia se dice:
"El artículo 2, letras b ) y d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d)".
Por otro lado, en el apartado 28 de la indicada Sentencia se afirma que
"debe declararse que, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente en el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y «facilita el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones están recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva 95/46 , deben calificarse de «tratamiento» en el sentido de dicha disposición".
Se añade en el apartado 30 que
"el Tribunal de Justicia ya ha declarado que las operaciones a las que se refiere el artículo 2, letra b), de la Directiva 95/46 deben calificarse de tal tratamiento también en el supuesto de que se refieran únicamente a información ya publicada tal cual en los medios de comunicación"
y se refiere para justificar esta conclusión en la Sentencia dictada en el asunto C-73/07.
Por lo que se refiere a la pretensión de que se excluya de responsabilidad a quien afirma ser, solamente, un motor de búsqueda se señala en el apartado 38 que
"en la medida en que la actividad de un motor de búsqueda puede afectar, significativamente y de modo adicional a la de los editores de sitios de Internet, a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto y pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular, de su derecho al respeto de la vida privada".
En consecuencia, ninguna duda cabe que la actividad de un motor de búsqueda como proveedor de contenido debe calificarse de «tratamiento de datos personales».
Ligado con lo expuesto, nos encontramos con la cuestión referente a la aplicación en la resolución recurrida de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
La resolución recurrida considera que los buscadores en el ejercicio de su actividad, efectúan un tratamiento de datos de carácter personal por lo que están obligados a hacer efectivo el derecho de cancelación y/oposición del interesado que se opone a que se indexe y sea puesta a disposición de los internautas determinada información a él referente que se encuentra en páginas de tercero y permiten relacionarles con la misma, y a cumplir con los requerimientos que les dirija la AEPD en la tutela de esos derechos.
Al mismo tiempo señala también que como los datos personales obtenidos por el buscador, que es un intermediario de la sociedad de información según la Ley 34/2002, de 11 de julio, pueden afectar a la dignidad de las personas y lesionar derechos de un tercero, el Director de la AEPD como órgano competente para velar por el cumplimiento de la legislación de datos y controlar su aplicación puede requerir al responsable del tratamiento de los datos, la adopción de medidas necesarias para la adecuación del tratamiento de los datos a las disposiciones de la Ley Orgánica 15/1999, ejerciendo las facultades que le atribuye su artículo 37, así como a los efectos establecidos en los artículos 8 y 17 de Ley 34/2002, de 11 de julio.
En las demandas se cuestiona la aplicación de la Ley 34/2002, de 11 de julio, al considerar, en esencia, que el buscador es un mero intermediario de la sociedad de la información y no es responsable del tratamiento.
La Directiva 95/46/CE que regula la protección de datos de las personas físicas, dictada con anterioridad a la aparición, o al menos a la utilización generalizada de los motores de búsqueda, no contiene referencia expresa a los servicios de la sociedad de la información, ni previsión específica respecto a los buscadores.
Posteriormente, se dicta la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos de los servicios de la sociedad de la información y comercio electrónico (Directiva del comercio electrónico), que regula la actividad de los servicios de la sociedad de la información y se remite en materia de protección de datos a la Directiva 95/46.
La Ley 34/2002, de 11 de julio, incorpora al ordenamiento jurídico español la citada Directiva 2000/31/ CE, e incluye (Anexo b) como "servicio de intermediación", entre otros, a los buscadores. Dicha norma en sus artículos 8 y 17 limita la responsabilidad de los buscadores respecto de la información que dirijan a los destinatarios de los servicios, pero permite se les pueda requerir para que retiren los datos que atenten a determinados principios (entre ellos la dignidad de la persona).
Es decir, un motor de búsqueda es un intermediario de la sociedad de la información que, conforme a la Sentencia del TJUE de 13 de mayo de 2014, cuando realiza una actividad consistente en localizar información publicada o incluida en Internet por terceros relativa a personas físicas, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia, efectúa un tratamiento de datos personales sometido a la normativa de protección de datos (Directiva 95/46/CE), siendo el gestor del motor de búsqueda el responsable de dicho tratamiento.
La normativa comunitaria en materia de protección de datos reconoce a los interesados el derecho de obtener del responsable del tratamiento la supresión, bloqueo y oposición, establecidos en los artículos 12.b ) y 14.1.a) de la citada Directiva 95/46/CE y en el mismo sentido se pronuncian los artículos 6.4 y 16 de la LOPD. Por tanto, de acuerdo con la legislación específica de protección de datos, el responsable del tratamiento (que en la definición del artículo 3.d) de la LOPD se equipara con el responsable del fichero) debe atender dicho derecho, y como dicho responsable en supuestos como los que fueron objeto de planteamiento de la cuestión prejudicial ante el TJUE es el gestor del motor de búsqueda, a él le corresponde, en su caso, adoptar las correspondientes medidas en aplicación de la LOPD para hacer efectivo el derecho de oposición del afectado.
En definitiva, la aplicación de la normativa específica de protección de datos permite sin necesidad de acudir a la Ley 34/2002, de 11 de julio, dar respuesta a estos supuestos de tratamiento de datos personales efectuado por un motor de búsqueda del que es responsable el gestor del citado motor de búsqueda.
SÉPTIMO .- Aplicación territorial de la norma.
Otra de las cuestiones que han quedado resueltas en la Sentencia del TJUE de 13 de mayo de 2014 es la referente a la determinación de la aplicación territorial de la norma, es decir, si la normativa europea, y, por tanto, la española en materia de protección de datos es aplicable al presente supuesto, y declara al respecto:
"El artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro".
El artículo 4.1.letra a) de la Directiva 95/46/CE y, en el mismo sentido los artículos 2.1.a) de la LOPD y 3.1.a) del Reglamento de Protección de Datos, establece que los Estados miembros aplican sus disposiciones nacionales
«a todo tratamiento de datos personales cuando [...] sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro».
Dicha disposición continúa así:
«cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable».
En la misma línea se pronuncia el proyecto de reforma del Reglamento Europeo de Protección de Datos, aprobado el 12 de marzo de 2014 por el Parlamento Europeo, pendiente de aprobación definitiva del Consejo, que en su artículo 3.1 dispone:
"El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión, independientemente de que el tratamiento tenga lugar en la UE o no".
Ya hemos dicho que la Sentencia del TJUE de 13 de mayo de 2014 declara, la aplicación al caso que nos ocupa, de la Directiva 45/96/CE al considerar
"que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa «en el marco de las actividades» de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor" (apartado 55).
Para llegar a dicha conclusión parte la Sentencia de "que Google Spain se dedica al ejercicio efectivo y real de una actividad mediante una instalación estable en España. Además, al estar dotada de personalidad jurídica propia, es de este modo una filial de Google Inc. en territorio español, y, por lo tanto, un «establecimiento», en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46 " (apartado 49).
Se añade más adelante, que
"en efecto, en tales circunstancias, las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades (apartado 56).
Y que
"sobre este particular, es necesario recordar que, como se ha precisado en los apartados 26 a 28 de la presente sentencia, la propia presentación de datos personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos. Pues bien, toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español (apartado 57).
Es decir, la normativa europea en materia de protección de datos y, por ende, la legislación del país de la Unión Europea donde se encuentre el establecimiento, en este caso España, es de aplicación cuando
"el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro" (apartado 60).
Por tanto, la tan repetida Sentencia del TJUE declara que Google Spain, S.L. constituye un establecimiento de los referidos en el artículo 4.1.a) de la Directiva 95/46/CE, por constituir una instalación estable en España dotada de personalidad jurídica propia y tratarse de una filial de Google Inc. en territorio español, y realizarse el tratamiento de datos en el marco de las actividades de Google Spain, S.L., que está destinado a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor."
Derecho al Olvido y Derecho al Recuerdo (¿Derecho al Borrado?)
Derecho al olvido como algo distinto a los derechos de cancelación y oposición (Eduard Blasi, feb 2015)
Texto íntegro original por el que el TSJCE abre el asunto C-131/12 (AEPD vs Google) - Mediante AAN 2 mar 2012 , la AN la Audiencia Nacional le había planteado cuestión prejudicial sobre la responsabilidad de los motores de búsqueda y el Derecho al Olvido - El 25 de junio de 2013 el Abogado General trata el derecho al olvido en los párrafos 101 y siguientes y concluye (párrafo 137):
Por estos motivos, propongo al Tribunal de Justicia que responda a la tercera cuestión en el sentido de que los derechos de supresión y cancelación de datos, establecidos en el artículo 12, letra b), y el derecho de oposición, recogido en el artículo 14, letra a), de la Directiva no se extienden a un derecho al olvido como el descrito en el auto de remisión."
Pero la STJCE de 13 de mayo de 2014 (asunto C-131/12) da la vuelta al asunto y reconoce el derecho al olvido y sostiene que una persona "puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate", y, así, declara:
1) El artículo 2, letras b) y d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d).
2) El artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro.
3) Los artículos 12, letra b) y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, para respetar los derechos que establecen estas disposiciones, siempre que se cumplan realmente los requisitos establecidos en ellos, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita.
4) Los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, al analizar los requisitos de aplicación de estas disposiciones, se tendrá que examinar, en particular, si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate.
La STJUE (C‑136/17) de 24-9-2019 precisa y actualiza los criterios del a STJU (C-131/12, AEPD vs Google) a la luz del Reglamento General de Protección de Datos.
La STEDH de 28-6-2018 (caso OF M.L. AND W.W. v. GERMANY, nos. 60798/10 and 65599/10), única dictada por este tribunal
Tras la resolución de la cuestión prejudicial planteada al TSJUE, la SAN-3ª-1 de 29 de diciembre de 2014 (Rec. 725/2010 - ECLI:ES:AN:2014:5129) aplica la STJUE de 13 de mayo de 2014 que resuelve la cuestión sobre el Derecho al Olvido (y la responsabilidad de los motores de búsqueda, como vimos antes).
La STS-1ª 545/2015 de 15 oct (Rec. 2772/2013, ECLI: ES:TS:2015:4132), una de las más técnicas, aunque fue parcialmente revocada por la STC 58/2018 de 4 de junio
STS-1ª núm. 240/2016 de 5 de abril de 2016 (Rec. 3269/2014) - El tratamiento de los datos personales vinculados con la concesión de un indulto en un buscador de Internet deja de ser lícito una vez transcurrido un plazo razonable desde que se ha concedido el indulto si el afectado ejercita su derecho de oposición en relación a estos datos. Se debe ponderar el equilibrio entre el derecho a la información sobre la concesión de indultos y los derechos al honor, intimidad y protección de datos personales del indultado.
El abogado Yago M. Abascal hace esta selección de sentencias de la AN, que dice que es el tribunal con más experiencia sobre derecho al olvido en el mundo:
SAN 5-05-2017 - Críticas a un cirujano (“un saca-perras para el que los pacientes no son más que chuchos”)
SAN 2-11-2018 - Solicitud de patente de una salsa alimentaria a instancia de un cocinero ("salsa minono")
SAN 14-12-2018 - Consumidores alertando sobre las prácticas de un empresario del sector inmobiliario, al que denominan “el artista de la estafa”
SAN 8-11-2017 - El "zar del contrabando" en Colombia
SAN 20-9-2019 - Ex jugador del FC Barcelona condendo hace 14 años por una falta de amenazas
SAN 15-3-2019 - Director del Teléfono de la Esperanza absuelto de delitos contra la libertad sexual de sus pacientes
SAN 21-6-2019 - Empresario del sector del ocio nocturno, vinculado con el caso Gürtel, beneficiado por la amnistía fiscal de 2012
SAN 19-6-2017 - Lista de candidatos a elecciones municipales de 2011
SAN 11-12-2018 - Ex político tratando de silenciar réplicas a su blog (El Pato Magenta)
SAN 26-3-2019 (Rec. 479/2017) - Narcotraficante que intentó comprar el aeropuerto de Ciudad Real
Primera sanción a Google en Francia por no aplicar el derecho al olvido en todo el mundo, siguiendo a la STJUE de 13 may 2014 (30 sep 2014) - STGI-París de 16 sep 2014
Se me olvidó otra vez: Derecho al Olvido o al Borrado (Borja Adsuara, sep 2014)
El derecho al olvido en Internet a la luz de la propuesta de Reglamento General de Protección de Datos Personales (Antonio Troncoso Reigada, oct 2012)
Casos frente a Google por el 'derecho al olvido'
El encaje constitucional del derecho al olvido digital en perspectiva comparada (Pere Simón, Ene 2012)
Derecho al recuerdo (Eneko Delgado Valle, DatosPersonales.org)
STC 186/2000 (FJ 6) - En su conflicto con el derecho a la información -
"En efecto, de conformidad con la doctrina de este Tribunal, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad. A los efectos que aquí importan, basta con recordar que (como sintetizan las SSTC 66/1995, de 8 de mayo, FJ 5; 55/1996, de 28 de marzo, FFJJ 6, 7, 8 y 9; 207/1996, de 16 de diciembre, FJ 4 e), y 37/1998, de 17 de febrero, FJ 8) para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)."
Testamento digital inverso o Derecho al Olvido
Testamento digital inverso: ¿Una forma de ejercicio del derecho al olvido? (Ramón Rey Ruiz, 23 octubre, 2014)
Neutralidad de la Red
El dictamen emitido por el Supervisor Europeo de Protección de Datos (SEPD) - Sobre ello, La Comisión Europea quiere aplicar de forma práctica el principio de neutralidad en la red (Euroalert, 2011)
Tratamiento de Datos por interés legítimo sin el consentimiento del Interesado
STJCE 24 nov 2011 (casos C-468/10 y C-469/10 acumulados) - "1) El artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes. 2) El artículo 7, letra f), de la Directiva 95/46 tiene efecto directo."
Esta STJCE pone en entredicho el art. 10.2.b) del Reglamento español (RD 1720/2007) (Ver más arriba otras sentencias y comentarios relacionados con este RD)
Tratamiento de datos para la satisfacción del interés legítimo del responsable: a propósito de la STJCE 24 nov 2011 - El Tribunal de Justicia se pronuncia sobre el artículo 7 letra f) de la Directiva 95/46 de Protección de Datos. Precepto éste que recoge el principio de habilitación del tratamiento de datos sin el consentimiento del interesado para la satisfacción del interés legítimo del responsable o del tercero al que se comunicaron los datos.
STS 8 feb 2012 (Rec. 25/2008) - Aplica la STJCE 24 nov 2011 y anula el art. 10.2.b) del Reglamento (RD 1720/2007); se refiere a su previa STS 17 jul 2010 - Noticia
La Sala de lo Contencioso-Administrativo del TS ya había anulado, en tres sentencias de julio de 2010, los artículos 11, 18, 38.1.a y 2 y 123.2. del Reglamento (RD 1720/2007).
Solvencia y 'saldo cero'
Diferencias sobre el tratamiento del "saldo cero" en los sistemas español y argentino de protección de datos en un entorno de crisis económica (Isidro Gómez-Juárez, enero 2012)
Movimientos internacionales de datos
Movimientos internacionales de datos (AEPD Instr 1/2000)
Creación de ficheros
STS 5 dic 2008 - Analiza el procedimiento de aprobación de una disposición de carácter general de creación ficheros
Concepto de fichero y esfuerzo despropororcionado
SAN 17 sep 2008 - El nº de móvil por sí no basta para identificar a su usuario sin un esfuerzo 'desproporcionado' y, por tanto, no resulta de aplicación la LOPD. Ademas, la AEPD no es competente para entrar dentro de los contratos entre empresas o anunciantes y particulares.
La cesión de datos vs. el encargo de tratamiento
La cesión de datos vs. el encargo de tratamiento en las relaciones bancarias (Luis Salvador Montero, June 2011)
Datos Sanitarios
La confidencialidad en el ámbito sanitario (Ignacio Escribano, sep 2001, AEPD)
Recién nacidos
Tratamiento de datos personales de los recién nacidos en los centros asistenciales que integran la red sanitaria única de utilización pública de la Comunidad de Madrid (APDCM Instr 1/209)
Justificantes médicos
Tratamiento de datos personales en la emisión de justificantes médicos en la Comunidad de Madrid (APDCM Instr 2/209)
Datos de salud y oposiciones
STC 159/2009 - Facilitar datos de salud obtenidos en un proceso de selección de personal viola el art. 18.1 CE por invadir la intimidad personal. - Breve comentario a la sentencia (Emilio Guichot, en la Revista de la APDCM)
Investigación de accidentes de aviación
Tratamiento de datos personales en el marco de la investigación y prevención de accidentes e incidentes en la aviación civil (María Martín Pardo de Vera, Junio 2011)
Privacidad yTrabajo
Jursprudencia sobre el control del email en el trabajo
Marketing y Protección de Datos
Marketing y Protección de Datos (I) : Concepto de Dato Personal (Víctor Roselló Mallol, 2009, en Noticias Jurídicas)
Marketing y Protección de Datos (II) : Requisitos generales comunes al tratamiento de Datos Personales (Víctor Roselló Mallol, 2009, en Noticias Jurídicas)
Marketing y Protección de Datos (III) : Principios básicos del tratamiento de Datos Personales (Víctor Roselló Mallol, 2009, en Noticias Jurídicas)
Marketing y Protección de Datos (IV) : Uso de datos con fines publicitarios (Víctor Roselló Mallol, 2009, en Noticias Jurídicas)
Derecho a la Información vs Derecho a la Intimidad (protección de datos)
ATC 155/2009 - Comentario (Ángel Igualada, sep 2009, AEPD) - No hay prevalencia del derecho fundamental a la información sobre el derecho fundamental a la protección de datos (intimidad), debiendo resolverse caso a caso, mediante el correspondiente juicio de proporcionalidad, conforme al que, para comprobar si una medida restrictiva de un derecho fundamental es válida, debe cumplir tres condiciones: Si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad), si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad), y finalmente si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)
AMÉRICA
Habeas data - Foro sobre privacidad de profesionales de Hispanoamérica-