APEP manifiesta su malestar ante el Convenio de asesoramiento en protección de datos suscrito por la Federación de Municipios de Castilla la Mancha

APEP (Asociación Profesional Española de Privacidad) ha mostrado su rechazo frente al anuncio del Convenio de asesoramiento en materia de LOPD que ha firmado la Federación de Municipios y Provincias de Castilla-La Mancha.  Este desafortunado convenio alienta la práctica fraudulenta conocida como "LOPD a Coste Cero" que desde la Asociación hace tiempo venimos denunciando.

Bajo esta denominación se incluyen las prácticas de ofrecer servicios gratuitos de implantación de LOPD,  financiados con las subvenciones que ofrece la Fundación Tripartita para la formación de los trabajadores.  La propia Fundación Tripartita reconoció estos hechos como constitutivos de fraude (Ver nota informativa de la Fundación Tripartita del 14/04/2010).

Tras conocerse la notícia de la firma del convenio, en la que se hace referencia a la implantación gratuita de la LOPD, APEP publicó una "Carta abierta a la Federación de Municipios y Provincias de Castilla-La Mancha y la Fundación Tripartita" (12/06/2012) mostrando su preocupación por la licitud del objeto del convenio:

Estimados señores:

Leemos con enorme interés la nota de prensa publicada por ABC, así como la nota en la propia web de la Federación, en relación con el convenio de asesoramiento en protección de datos con una conocida empresa. Es positivo que empresas y administraciones se acerquen y hay que felicitarse por ello. Sin embargo, una frase citada entrecomillada, y por tanto no imputable al periodista, nos ha llamado poderosamente la atención: «y todo ello, a coste cero». Bajo ese epígrafe “LOPD a coste cero” se han desarrollado actividades de asesoramiento y consultoría “disfrazadas” de formación y con cargo a la Fundación Tripartita, prácticas que esta Fundación ha considerado fuera de los fines por los cuales se conceden las subvenciones. El expuesto en su comunicado ¿es otro “coste cero” distinto de aquel contra el que la Fundación Tripartita ha advertido en dos ocasiones (http://www.fundaciontripartita.org/index.asp?MP=4&MS=105&TR=A&IDR=11&id=458 y http://www.fundaciontripartita.org/index.asp?MP=4&MS=105&TR=A&IDR=11&id=576)?

(...)

Desde APEP, y en base a experiencias anteriores, rogamos se verifique si existe algún problema de legalidad en el citado Convenio. En caso positivo, los españoles que contribuyen con sus impuestos a la financiación de la formación laboral en España merecen alguna actuación y alguna explicación. 

  

(>> Leer el contenido completo de la "carta abierta" de la APEP)

El 15 de junio la APEP publicó la Nota de Prensa a la que hace referencia el título de este post:

"APEP manifiesta su malestar ante el Convenio de asesoramiento en protección de datos suscrito por la Federación de Municipios de Castilla la Mancha":

Nota de Prensa

Un gran número de asociados ponen en conocimiento los hechos ante la Fundación Tripartita.

El anuncio público de la firma de un Convenio celebrado por la Federación de Municipios y Provincias de Castilla la Mancha en relación con el asesoramiento en materia de LOPD ha generado una reacción de rechazo entre los profesionales de la privacidad en España.

Esta reacción sin duda se debe a que en su denominación se habla de una implantación gratuita: “Convenio de Colaboración entre la Federación de Municipios y Provincias de Castilla-La Mancha y Professional Group Conversia, SLU, sobre la implantación gratuita de la Ley de Protección de Datos en las Entidades Locales de Castilla-La Mancha”

(...)

Debe destacarse que, de acuerdo con el Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, tanto cada Ayuntamiento como la Federación, esta en su consideración de poder adjudicador, se encuentran sometidos a estrictas normas de contratación cuyos objetivos son facilitar la libre concurrencia de ofertas con plena publicidad y en condiciones de igualdad para los licitadores. Cabe preguntarse si estos objetivos se logran adecuadamente con una recomendación recompensada con la gratuidad de un asesoramiento LOPD con un alcance indeterminado.

APEP se abstiene de calificar jurídicamente estos hechos, sin perjuicio de ponerlos en conocimiento de la sociedad y, en su caso, de las autoridades que pudieran ser competentes. 

(>> Leer el contenido completo de la "nota de prensa" de la APEP)

Exención de consentimiento en las cookies

El Grupo de Trabajo del Artículo 29 (Article 29 Working Party) - GT29 -, que engloba a las Autoridades Europeas de Protección de Datos, ha publicado hoy un Comunicado de Prensa para presentar su opinión sobre la exención del consentimiento informado en las «cookies».

El documento (en inglés) "Opinion 04/2012 on Cookie Consent Exemption" está disponible aquí:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf

El Artículo 5.3 de la Directiva 2002/58/CE, revisado por la Directiva 2009/136/CE (conocida como la "Directiva de «cookies»") establecía el requisito del Consentimiento Informado, antes de que los datos sean tratados en el equipo del usuario.  En España, este apartado se recogíó en la reciente modificación de la LSSI del pasado 30 de marzo.

En virtud de ese artículo, se establecía la exención del consentimiento informado al cumplirse alguno de estos dos criterios:

• Cuando la cookie sea utilizada "al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas".
• Cuando la cookie resulte "estrictamente necesaria para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario".

El Documento publicado por el GT29 analiza con detenimiento estos dos requisitos para determinar si una cookie está exenta o no del consentimiento informado.

Después de un análisis de las características de una cookie y de los diferentes escenarios posibles, concluye que las siguientes cookies pueden estar exentas de la obligación del consentimiento informado, bajo determinadas condiciones y siempre que no sean utilizadas para otros fines.

1. "User input cookies" (cookies de sesión utilizadas típicamente cuando el usuario rellena un formulario), son temporales y se eliminan al finalizar la sesión.
2. Cookies de autenticación, para la autenticación del usuario en un sitio web y únicamente mientras dure la sesión (no cuando se trate de cookies persistentes).
3. Cookies de seguridad, utilizadas para prevenir abusos en la autenticación (por ejemplo, detectar repetidos intentos fallidos de validación), siempre que tengan una duración limitada y no se refiera a servicios no solicitados por el usuario.
4. Cookies de sesión de contenido multimedia, contienen datos técnicos de la sesión para reproducir video o audio (por ejemplo de Flash Player) mientras dure la sesión.
5. Cookies de sesión de balanceo de carga, mientras dure la sesión.
6. Cookies para la personalización del interface - "UI customization cookies" (por ejemplo, selección del idioma), de duración determinada y no pueden estar enlazadas con cookies persistentes como el nombre de usuario.
7. Cookies de plug-in de redes sociales - "Social plug-in content shared cookies" que identifican a los miembros de una determinada red social, siempre y cuando el usuario no haya realizado un "log-out" de la red social.

En todos los casos se trata, como vemos, de cookies de sesión  o con una duración determinada, aunque el GT29 señala que antes de entrar en cuestiones técnicas, debería analizarse la finalidad de la cookie para determinar si queda o no exenta de la obligación del consentimiento informado.  En cualquier caso, siempre será necesario obtener el consentimiento informado cuando se trate de cookies de terceros.

En relación al segundo criterio, el GT29 señala que es importante analizar lo que es "estrictamente necesario" siempre desde el punto de vista del usuario, no del proveedor de servicios.