El correo electrónico, correo-e, conocido también como e-mail, es un servicio de red que permite a los usuarios enviar y recibir mensajes y archivos rápidamente mediante sistemas de comunicación electrónicos. La dirección de correo electrónico, el e-mail profesional, de empresa o corporativo de los trabajadores es un dato de carácter personal.
Según informe de fecha 15 de noviembre de 2005 de la Agencia Española de Protección de Datos (AEPD), la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.
De lo antedicho se desprende que podemos referirnos a dos supuestos esenciales de dirección de correo electrónico, atendiendo al grado de identificación que la misma realiza con el titular de la cuenta de correo.
El primero de ellos se refiere a aquellos supuestos en que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). En este supuesto no existe duda de que la dirección de correo electrónico identifica, incluso de forma directa al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal. Ejemplos característicos de este supuesto serían aquellos en los que se hace constar como dirección de correo electrónico el nombre y, en su caso, los apellidos del titular (o sus iniciales), correspondiéndose el dominio de primer nivel con el propio del estado en que se lleva a cabo la actividad y el dominio de segundo nivel con la empresa en que se prestan los servicios (pudiendo incluso delimitarse el centro de trabajo en que se realiza la prestación).
Un segundo supuesto sería aquel en que, en principio, la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacernos concluir que no nos encontramos ante un dato de carácter personal.
Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación.
Por todo ello se considera que también en este caso, y en aras de asegurar, en los términos establecidos por la Jurisprudencia de nuestro Tribunal Constitucional, la máxima garantía de los Derechos Fundamentales de las personas, entre los que se encuentra el derecho a la “privacidad”, consagrado por el artículo 18.4 de la Constitución, será necesario que la dirección de correo electrónico se encuentre amparada por el régimen establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Junto con estos dos supuestos, debe añadirse, evidentemente, que si en un fichero junto con la dirección de correo electrónico aparecieran otros datos que permitieran la identificación del sujeto (tales como su nombre y apellidos, su número de teléfono o su domicilio, conjunta o separadamente), la identificación sería absoluta y no se plantearía duda de que nos encontramos ante datos de carácter personal.
La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante LSSI-CE), prohíbe el envío de comunicaciones comerciales realizadas a través de correo electrónico u otro medio de comunicación electrónica equivalente como, por ejemplo, los mensajes a través de los teléfonos móviles, cuando no ha sido solicitada o expresamente autorizada por el destinatario.
Comunicación comercial es toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.
El boletín de noticias o informativo, que a menos que ofrezca algún producto o servicio no es una comunicación comercial, supone la prestación de un servicio de información al que se suscribe voluntariamente el usuario, sea gratuito o no.
Tener en cuenta que la LSSI-CE se aplica a todos los destinatarios de las comunicaciones comerciales, sean personas físicas o entidades públicas o privadas; mientras que la LOPD se aplica sólo a los datos de carácter personal, y, en consecuencia, en los casos de comunicaciones comerciales, sólo a los destinatarios de mensajes de correo electrónico que sean personas físicas.
Con arreglo a la Ley 15/1999, de 13 de diciembre, de Protección de Datos de carácter Personal, hay que tener en cuenta que:
1.- Si la dirección de correo electrónico se obtiene del propio titular, debe informarse al menos, y con carácter previo a la recogida de los datos personales, de la existencia de un fichero o archivo con direcciones de correo electrónico que va a ser utilizado para el envío de comunicaciones publicitarias, promociones u ofertas; los derechos que le asisten; y la identidad y dirección del responsable del fichero.
2.- Si la dirección de correo electrónico no se ha obtenido del propio interesado sino de una tercera persona, la información debe facilitarse dentro de los tres meses siguientes al registro de los datos.
3.- Si la dirección de correo electrónico se obtiene de fuentes accesibles al público (censo promocional, repertorio telefónico, lista de personas pertenecientes a grupos profesionales, diarios y boletines oficiales y medios de comunicación) y se destina a realizar publicidad o prospección comercial, habrá que informar en cada comunicación que se dirija al interesado del origen de los datos, de la identidad del responsable del tratamiento y de los derechos que le asisten (acceso, rectificación, cancelación y oposición).
De conformidad con la LSSI-CE, hay que tener en cuenta que:
1.- Las comunicaciones comerciales realizadas por vía electrónica deben ser claramente identificables como tales y deben indicar la persona física o jurídica en nombre de la cual se realizan. En caso de que se realicen a través de algún medio de comunicación electrónica incluirán, al comienzo del mensaje, la palabra publicidad o la abreviatura publi.
2.- En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar, además del cumplimiento de los requisitos establecidos en el apartado anterior, que queden claramente identificados como tales y que las condiciones de acceso y, en su caso, de participación, se expresen de forma clara e inequívoca.
3.- Se requiere la solicitud del consentimiento o autorización expresa para poder realizar el envío de dichas comunicaciones por vía electrónica. En el caso de solicitarse dicha autorización durante el proceso de contratación o suscripción a un servicio, deberá comunicarse dicha intención y solicitarse el consentimiento antes de finalizar el proceso de contratación.
El consentimiento puede revocarse en cualquier momento mediante procedimientos sencillos y gratuitos.
El reciente Decreto Ley 13/2012, de 30 de marzo, por el que transponen directivas en materia de comunicaciones electrónicas, matiza la prohibición del envío de las comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación. Además, si la comunicación se remite por correo electrónico, debe incluirse una dirección electrónica válida donde poder ejercitar el derecho de oposición.
Toda persona física o jurídica que posea un archivo con datos de carácter personal está obligada a inscribir el fichero en el Registro General de Protección de Datos.
Pueden crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas.
Los ficheros de datos de carácter personal de titularidad privada deben ser notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretende crearlos con carácter previo a su creación.
La notificación indica la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible y, en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.
La inscripción del fichero debe estar en todo momento actualizada. Cualquier modificación que afecte al contenido de la inscripción de un fichero debe ser previamente notificada a la Agencia Española de Protección de Datos.
También deberán notificarse a la Agencia los cambios que se produzcan en la finalidad del fichero, en su responsable y en la dirección de su ubicación.
Para realizar la comunicación, la propia Agencia ha elaborado unos impresos o formularios electrónicos de notificación de creación, modificación o supresión de ficheros.
El sistema de Notificaciones Telemáticas a la AEPD (NOTA) permite a los responsables de ficheros con datos de carácter personal de titularidad pública y de titularidad privada cumplir con la obligación de notificar sus ficheros a la Agencia Española de Protección de Datos; presentar notificaciones a través de Internet con certificado de firma electrónica; notificar de forma simplificada una serie de ficheros; conocer el estado de tramitación de las notificaciones remitidas a través de Internet; y consultar el contenido completo de la inscripción de los ficheros en la web de la Agencia.
La Agencia Española de Protección de Datos analizará el contenido del mismo y, si cumple con todos los requisitos exigidos por la Ley Orgánica de Protección de Datos de Carácter Personal y por el Reglamento de desarrollo, lo inscribirá en el Registro General de Protección de Datos. El Director de la Agencia Española de Protección de datos, a propuesta del Registro General de Protección de datos, dicta resolución acordando, en su caso, la inscripción, una vez tramitado el procedimiento.
Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Española de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.
Se puede incurrir en falta leve o grave si no se notifica la existencia de un fichero, tal y como señala el artículo 44 de la Ley Orgánica 15/1999, quedando sujeto al régimen sancionador previsto en la Ley.
¿Cómo debe actuar un centro docente en el momento de prestar información del menor escolarizado cuando los padres están separados en virtud de una sentencia judicial que produce la suspensión de la vida común de los casados?. ¿A quien debe prestarse la información del menor, al padre, a la madre, a ambos?.
Para resolver esta cuestión debe tenerse presente lo establecido en el Código Civil bajo el título “de las relaciones paterno-filiales”. La separación no exime a los padres de sus obligaciones para con los hijos.
Los hijos no emancipados están bajo la potestad de los padres. La patria potestad se ejerce siempre en beneficio de los hijos, de acuerdo con su personalidad, y con respeto a su integridad física y psicológica, comprendiendo el deber de velar por ellos, tenerlos en su compañía, alimentarlos, educarlos y procurarles una formación integral. Los hijos deben obedecer a sus padres mientras permanezcan bajo su potestad y respetarles siempre.
La patria potestad se ejercerá conjuntamente por ambos progenitores o por uno solo con el consentimiento expreso o tácito del otro. Serán válidos los actos que realice uno de ellos conforme al uso social y a las circunstancias, o en situaciones de urgente necesidad.
Ante una separación, el centro docente debe prestar la información del menor escolarizado a ambos progenitores.
La separación, cuando existen hijos menores de edad, conlleva a atribución de la guarda y custodia en favor de uno de los dos cónyuges, quien decidirá sobre las cuestiones de la convivencia diaria, como por ejemplo, elegir el vestuario. Pero también hay que tomar decisiones importantes que competen a ambos progenitores y que se integran dentro de la patria potestad, como por ejemplo la elección del colegio. Se puede privar a uno de los cónyuges o incluso a ambos del ejercicio de la patria potestad únicamente en casos extremos como malos tratos o no prestar alimentos.
Breve cita a la Ley 15/2005, de 8 de Julio, de reforma del Código Civil en materia de separación y divorcio, que introdujo importantes cambios en cuanto a la guarda y custodia y la patria potestad de los hijos. Se pretende reforzar la libertad de decisión de los padres respecto del ejercicio de la patria potestad y permite que los cónyuges puedan acordar por convenio, o el Juez decidir, en su caso, que el ejercicio de la patria potestad se atribuya a uno sólo de los cónyuges o a ambos de forma compartida, reforzándose así la figura de la "custodia compartida".
El Código Civil matiza que si los padres viven separados la patria potestad se ejercerá por aquel con quien el hijo conviva. ¿Significa esto que cualquier información relevante sobre el menor escolarizado debe ser comunicada únicamente al progenitor custodio?. La respuesta es negativa, pues el progenitor con el que no conviva el menor puede solicitar al Juez, siempre en beneficio del menor, la atribución al solicitante de la patria potestad para que la ejerza conjuntamente con el otro progenitor.
Mientras no exista una resolución judicial que excluya del ejercicio de la patria potestad a uno de los progenitores, ambos están habilitados para que se les faciliten los datos del menor escolarizado.
La Agencia Española de Protección de Datos se pronuncia a este respecto y dice “en lo que se refiere a los datos que guarden relación con las funciones de educación y formación establecidas en el citado artículo 154 del Código Civil, existe una norma con rango de Ley que habilita la cesión o comunicación de datos de carácter personal, por lo que la cesión de los datos académicos o psicopedagógicos que guarden directa relación con esos deberes formativos se encontraría amparada en el artículo 11.2 a) de la Ley Orgánica 15/1999 en relación con el artículo 154 del Código Civil”.
La Agencia de Protección de datos de la Comunidad de Madrid ahonda más en la cuestión y dice que “en casos de padres separados es la resolución judicial que determina la separación la que establece lo relativo a la patria potestad y a la guardia y custodia de los hijos, siendo normalmente compartida la primera, y asignada la segunda a uno de los progenitores. La presentación del documento judicial que haga mención a la patria potestad y asignación de guarda y custodia deberá ser suficiente para acceder a la información asistencial de los menores.
El ejercicio de la patria potestad es determinante para ostentar el ejercicio de la representación legal de los menores y por tanto, para acceder a todos los datos relativos a su salud.
Desde el punto de vista de la legislación de protección de datos, no existe motivo alguno que impida la solicitud de información por parte de uno de los padres respecto a la información asistencial de su hijo, siempre que ambos ostenten la patria potestad, condición que podrá acreditarse, insistimos, con la presentación del documento judicial que recoja lo relativo a la patria potestad de los progenitores (sentencia, o auto que aprueben el convenio regulador). Éstos tienen el derecho de acceso a los datos de sus hijos menores en caso de ostentar ambos la patria potestad, en cuanto se erigen en sus representantes legales.
En caso de que uno de los progenitores esté privado judicialmente de la patria potestad del hijo menor, debe ser acreditado también por el referido documento judicial, ya que en este caso la privación de la patria potestad implica su pérdida de la condición de representante legal, no teniendo por tanto acceso a los datos personales del menor sin el consentimiento del otro progenitor”
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece que los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados o registrados, entendiendo por cancelación el procedimiento en virtud del cual el responsable cesa en el uso de los datos personales del afectado o interesado.
La cancelación implica el bloqueo de esos datos personales. El bloqueo consiste en identificar y reservar los datos personales con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo debe procederse a la supresión de los datos.
En cuanto al modo de llevar a cabo el bloqueo, debe efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto.
Existen determinados supuestos en que la cancelación o bien no podrá tener lugar, dada la obligación de conservación impuesta por la Ley, o bien deberá suponer una fase previa de bloqueo de los datos que, produciendo unos efectos similares al borrado físico de los mismos, salvo en determinadas circunstancias, no implicará automáticamente ese borrado.
Los datos personales pueden conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas pre-contractuales solicitadas por el interesado.
Se permite la conservación de los datos, aún cuando haya desaparecido dicha conexión con los fines para que fueron recabados, siempre que no puedan ser asociados a persona identificada o identificable, es decir cuando se efectúe un procedimiento de disociación sin perjuicio de la obligación de su bloqueo.
Así, a título de ejemplo, puede considerarse que el bloqueo habrá de efectuarse durante los plazos de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento, en los términos previstos por la legislación civil o mercantil que resulte de aplicación, así como el plazo de cuatro años de prescripción de las deudas tributarias, en cuanto los datos puedan revestir trascendencia desde el punto de vista tributario.
Para el caso concreto de la documentación clínica, los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial.
En el caso de los datos personales recabados de forma automatizada por los servicios de seguridad con la finalidad de controlar el acceso a los edificios públicos y privados, así como a establecimientos, espectáculos, certámenes y convenciones, deberán ser destruidos cuando haya transcurrido el plazo de un mes, contado a partir del momento en que fueron recabados.
Pero la cancelación de los datos personales no impide la utilización de éstos para reclamar deudas vencidas como ha reconocido una sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional que anula la sanción impuesta a una entidad mercantil, pues, en contra de lo que entendió la Agencia Española de Protección de Datos, sí atendió a la solicitud del interesado de la cancelación de los datos personales que constaban en sus ficheros, considerando correcta la reclamación posterior a dicha cancelación de una deuda derivada de la previa relación contractual entre las partes.
Las infracciones leves prescriben al año, las graves a los dos años y las muy graves a los tres años, iniciándose el plazo de prescripción desde el día en que la infracción se hubiera cometido. En ocasiones, el inicio del cómputo se retrasa hasta el momento en que la infracción deja de cometerse, es lo que se llama infracciones permanentes.
Fijar el momento de la concreta comisión de una infracción no supone dificultad cuando nos hallamos ante el hecho de incumplir los deberes formales, recoger datos sin facilitar información, el tratamiento de datos, su uso posterior, la comunicación o cesión de datos o incluso vulnerar el deber de guardar secreto.
Pero existen determinados supuestos en los cuales el plazo prescriptivo no empieza a computarse mientras la infracción se mantenga.
A modo de ejemplo, la fecha en que se remite una publicidad cuando no se ha consentido en el tratamiento de los datos propios marca el inicio del cómputo del plazo; la cancelación en el Registro de venta de bienes muebles a plazos supone el inicio del plazo de prescripción en el caso de una denuncia por mantenimiento de datos inexactos.
La fecha del último acceso ilegal a datos prohibidos por parte de un funcionario cuando accede a datos fiscales de un tercero marcará el cómputo del plazo de prescripción. La fecha de emisión cuando se remiten datos a través de un correo electrónico.
El momento en que se entrega el documento con el extracto de la cuenta bancaria cuando se facilitan datos de una cuenta corriente a quien no es titular.
Cuando se encuentran arrojados datos en los contenedores de basura (vulnerando el deber de guardar secreto) la fecha que inicia el cómputo del plazo prescriptivo corresponde a aquella en que los medios de comunicación encuentran la documentación en los contenedores.
El plazo prescriptivo se interrumpe por la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.
La reanudación del plazo de prescripción ocasiona situaciones de impunidad en muchos expedientes tramitados ante la Agencia Española de Protección de Datos (AEPD). Aunque el afectado denuncie en plazo, la infracción podría prescribir igualmente si la AEPD dejara transcurrir los plazos legalmente establecidos, con la consecuencia negativa de producir indefensión del ciudadano. Existen diversos casos donde la vulneración de la normativa de protección es evidente, pero la AEPD, por el hecho de dejar transcurrir muchos meses, ocasiona la prescripción de la infracción.
Las sanciones impuestas por faltas leves prescribirán al año, las impuestas por faltas graves a los dos años y las impuestas por faltas muy graves a los tres años. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquél en que adquiera firmeza la resolución por la que se impone la sanción.
cuando caduca una sancion pusta por un ayuntamiento,el fin de…
En lugar de regular las cookies de terceros o trans-operador,…
¿Y ahora como se supone que se gestionarán las sesiones?
