Nuestro Blog

La AEPD lanza una nueva sección web en formato blog para difundir la protección de datos de forma práctica  19-12-2016
El objetivo es potenciar la difusión del derecho fundamental a la protección de datos de forma práctica tanto para el ciudadano como para las entidades que tratan datos
(Madrid, 14 de diciembre de 2016) . La Agencia Española de Protección de Datos (AEPD) ha puesto en marcha hoy El blog de la Agencia, una nueva sección web para potenciar la difusión del derecho fundamental a la protección de datos de forma práctica tanto para el ciudadano como para las entidades que tratan datos.
Con el lanzamiento de este proyecto, la Agencia quiere impulsar el conocimiento de las diferentes iniciativas que el organismo ha puesto o va a poner en marcha, destacando los informes, guías, resoluciones o documentos elaborados en grupos de trabajo internacionales, entre otras materias, aportando una visión cercana tanto del trabajo que se realiza en la Agencia como de la protección de datos en un plano global. Los contenidos que se publicarán en el mismo estarán centrados en dos de las áreas de mayor importancia para la Agencia: que los ciudadanos conozcan el contenido de sus derechos y cómo ejercerlos, y facilitar a los responsables el cumplimiento de sus obligaciones.
La creación este blog es una de las actuaciones que estaban previstas para 2016 en el Plan Estratégico de la AEPD, en el eje ?Una Agencia colaboradora, transparente y participativa?. Durante el primer año de ejecución del Plan, la Agencia ha iniciado la totalidad de las 76 actuaciones que estaban previstas.

¿Está tu negocio adaptado al Reglamento General de Protección de Datos?  16-12-2016
El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos (RGPD) pero no será hasta dentro de dos años cuando empresas y autónomos estén obligados a la aplicación completa de la normativa, que supondrá mayor protección y privacidad para los datos de los clientes y un esfuerzo añadido por parte de todas los negocios, sin importar su tamaño, de cara a la regularización de su información privada.
Teniendo en consideración el cambio progresivo que esta LOPD europea supone se proporcionará a todos los estados de la Unión Europea un periodo de dos años para adaptarse a los cambios del nuevo marco legislativo. Pero ¿están, hoy por hoy, los protocolos de pymes y autónomos preparados para cumplir con el recién estrenado RGPD?
Según un informe realizado por Dell , el 97% de las empresas no tienen planificada esa adaptación y una de cada diez empresas guardan aún datos sin atender a la legalidad.  Además, el 80% están completamente desinformadas sobre los detalles de la nueva LOPD. Es tal el desconocimiento, y por ende, el incumplimiento existente que, si hoy mismo se aplicase el Reglamento General de Protección de Datos, más del 40% de las empresas medianas que operan en la Unión Europea pagarían una multa de hasta el 4% de su facturación anual o 20.000.000 euros por infringirlo .
El  reglamento YA en vigor tiene como fin aportar un único marco europeo para la protección de datos, mejorar el proceso y reducir los trámites burocráticos para contribuir a la libertad de movimiento de las empresas que adquirirán un mayor compromiso con la gestión y privacidad de los datos. ¿Qué prácticas deberán implementar pymes y autónomos para adaptarse al cumplimiento de la normativa?
El nuevo reglamento de Protección de Datos desestima el consentimiento tácito que realiza el cliente para el uso de sus datos y obligan a la revisión de las cláusulas de las empresas para que el consentimiento sea libre, específico, informada e inequívoco como reza la normativa.
Hasta el 25 de mayo de 2018, aquellos consentimientos que han sido obtenidos antes de la aplicación total de la nueva normativa el 25 de mayo de mayo de 2018 tendrán validez en el caso de que fueran adquiridos conforme a los criterios del reglamento. Después de esa fecha, todos los consentimientos deben ser claramente expresos y revocables no permitiéndose ningún otro tipo de consentimiento independientemente de su fecha de obtención.
¿Qué ocurre con las cuestiones adicionales que el reglamento incluye y que no aparecen expresas actualmente en la cláusulas informativas de las empresas? Las novedades procedentes de la normativa deben ser transmitidas al cliente mediante las herramientas habituales de comunicación como páginas webs, boletines informativos o correo electrónico pero además . Además, conviene una revisión y adaptación formal de las políticas informativas de las empresas.
Si tu empresa aún no cuenta con un delegado de Protección de Datos (DPO) estás perdiendo un preciado tiempo. El RGPD exige que las empresas cuenten con un profesional que haga las veces de auditor interno y, en su papel, identifique los riesgos en la protección de determinados datos y aporte soluciones a la compañía. Esta figura tiene la obligación de transmitir a las Autoridades de Control los fallos o las brechas en la seguridad (Data Breach Notifications) en menos de 72 horas y de peticionar la autorización previa para implantar
Una de las novedades que conlleva el Reglamento es la obligatoriedad de poner en marcha una Evaluación de Impacto en la Protección de Datos Personales o Privacy Impact Assessments (PIA) en las empresas. Esta herramienta es muy útil para avanzar en la privacidad de todo el ciclo de vida del dato introducido al someterlo a análisis para comprobar si pone en riesgo el derecho fundamental. Tras el resultado es necesario implementar medidas las medidas de seguridad adecuadas.
Existen una serie de obligaciones que los responsables de tratamientos de privacidad y protección de datos pueden cumplir mediante los Códigos de Conducta que la autoridad de control competente, Estados Miembros, Autoridad de Control, Consejo Europeo de Protección de Datos  deben promover, supervisar o modificar.  Se trata por tanto de una guía práctica para determinados sectores.
Es importante darle visibilidad a tu buen hacer en la protección de datos. Por ello se establecen mecanismos de certificación que confirman el cumplimiento de la normativa RGPD y la calidad de la protección de datos. Estos sellos y certificaciones son por tanto elementos que contribuyen a la distinción en tu reputación corporativa y en consecuencia a la competitividad.

¿CUÁLES SON LOS RIESGOS LEGALES PARA LA EMPRESA Y SUS REPRESENTANTES POR EL USO DE SOFTWARE ILEGAL?  09-12-2016
El software es una herramienta esencial para el funcionamiento de cualquier negocio en cualquier sector de la economía. Y pese a su importancia, no es infrecuente la utilización de programas ilegales o piratas por algunas empresas, con los riesgos no solo técnicos sino también jurídicos que ello supone.

Precisamente a los aspectos legales del uso de software ilegal se dedicó una ponencia en la reciente jornada “Software: riesgos, amenazas y oportunidades para la empresa”, organizada por CEOE, BSA The Software Alliance y la Asociación de Empresas de Electrónica, Tecnologías de la Información, Telecomunicaciones y Contenidos Digitales (AMETIC), con el apoyo de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI).

En la misma, Carlos Pérez, socio de ECIJA y abogado de BSA (Business Software Alliance), comenzó recordando la relevancia económica de este fraude, pues según los datos disponibles, en 2015 un 44% del software utilizado por las empresas era ilegal, con un impacto aproximado de 1.000 millones de euros. En concreto, se estima que por cada punto de incremento de utilización del software legal puede suponer un aumento de 1.500 millones de euros de PIB.

Por ello, el uso y tenencia de software ilegal tiene implicaciones legales para las empresas y su responsabilidad social corporativa, pues constituye un delito contra la propiedad intelectual por el que puede responder no solo la persona física responsable de la misma, sino también, desde 2010, la propia empresa.


A este respecto cabe destacar que los recientes cambios legales (en particular, la LO 1/2015 de reforma de 2015 del Código Penal) han modificado los requisitos de perseguibilidad penal de la acción, pues hasta entonces se requería que esta originase perjuicio para tercero y además se realizase con ánimo de lucro.

Sin embargo, desde 2015 tan solo se requiere la obtención de un “beneficio directo o indirecto”. Este concepto ha sido interpretado por la Fiscalía General del Estado remitiéndose a su Circular 1/2006, a cuyo tenor “dicho elemento intencional ha de entenderse como ánimo de lucro comercial, quedando al margen de la persecución penal aquellos comportamientos que pretenden la obtención de algún tipo de ventaja o beneficio distinto del comercial” (Circular 8/2015, sobre los delitos contra la propiedad intelectual cometidos a través de los servicios de la sociedad de la información tras la reforma operada por ley orgánica 1/2015 ).

En este sentido se considera que el uso de software ilegal proporciona al infractor tanto un beneficio directos, como consecuencia del ahorro de costes de adquisición), como un ahorro indirecto (reflejado en el resultado de la empresa infractora).


Entre las conductas típicas más frecuentes en esta materia, Carlos Pérez citó:

a. La instalación de software sin licencia

b. El acceso a un software legal sin licencia para ello o realizando más accesos de los contratados

c. El acceso a copias no autorizadas en entornos cloud

d. La actuación de los intermediarios que distribuyen software en la nube ocultando al fabricante el número de licencias realmente vendidas

e. La instalación en la empresa de programas desprotegidos o “craqueados”

Responsabilidad de la persona jurídica y de las personas físicas

La persona jurídica responde por estos delitos cuando se hayan cometido por el responsable de la empresa o cuando se hayan cometido por alguien sujeto al control del representante de la empresa.

La dirección de la empresa será responsable en todo caso, salvo que se acredite:

a. Que se han impartido instrucciones expresas al personal de la compañía (que es precisamente lo que no suele haberse hecho)

b. Que se han dado instrucciones específicas al responsable de sistemas de la empresa

c. Que se haya implantado un sistema de gestión conforme a lo previsto por el Código Penal (compliance penal).

Por su parte, el responsable de sistemas de la empresa responde cuando incumple las instrucciones recibidas o cuando, aun no habiéndolas recibido, no cumple con su obligación legal.

Por último, también puede producirse responsabilidad del trabajador cuando incumpla las instrucciones recibidas de sus superiores.

Entre las posibles consecuencias por estas conductas para la persona jurídica destaca, además de las penas de multa económica, la prohibición de contratar con la Administración.


La Ley prevé mecanismos para limitar la responsabilidad empresarial. Para ello es necesario acreditar:

a. Que se ha implantado un modelo de gestión de riesgos aplicados al software corporativo

b. Que se tienen identificadas las situaciones de riesgo (¿Quién puede instalar software en la empresa?)

c. Que se han implantado protocolos para gestionar los riesgos y mecanismos de respuesta a incidentes

d. Que se han asignado recursos financieros al sistema de prevención de forma que este pueda ser efectivamente aplicado

e. Que se cuenta con un canal interno de denuncias

f. Que se ha implantado un sistema disciplinario interno ante este tipo de infracciones

g. Y que se procede a actualizar regularmente el sistema.


Estas conductas se pueden investigar en sede judicial (por medio de un mandato de entrada y registro policial) o extrajudicial (por medio de inspecciones). En ambos casos se pretende que la empresa deje de utilizar software ilegal y que se compense a los fabricantes.

Con esta compensación no se busca el cierre de la empresa infractora, pero se sabe que las sanciones simbólicas no surten efecto. Además, las indemnizaciones no van directamente al fabricante, sino que también cubren los costes litigiosos y se destinan a concienciar y prevenir la piratería.


En las inspecciones, que lógicamente no se avisan previamente para evitar la destrucción de pruebas, se realiza un inventario del número de copias de cada programa instaladas y del número de usuarios y de licencias con que cuenta la empresa, pero sin incautar nada.

En 2015 se recibieron 370 denuncias por uso de software legal, de las cuales solo 170 acabaron en acción legal.

Los sectores más afectados son los de formación e ingeniería y el valor promedio del software ilegal detectado es de unos 400.000 euros por empresa.

Las denuncias suelen proceder de ex empleados de la empresa, por venganza tras un despido, y de empleados en activo (en no pocas ocasiones , responsables de sistemas que previamente han denunciado internamente los hechos, sin haber obtenido respuesta).

"COMPLIANCE" NO SIGNIFICA CUMPLIR  05-12-2016
El sistema debe ser diseñado desde un punto de vista de organización de empresa, desde el conocimiento de sus procesos de trabajo, sus riesgos asociados, etc. y no desde un punto de vista jurídico. El hecho de que el incumplimiento genere una responsabilidad jurídica no implica que evitarlo sea un tema jurídico, es un tema organizativo.

¿NOS CUESTA ENTENDER EL COMPLIANCE EN ESPAÑA?  05-12-2016
Ya no resulta difícil adecuar las estrategias de las empresas al cumplimiento de las normas y eso a pesar de un entorno jurídico cada día más complejo. Implantar y controlar un eficaz sistema de cumplimiento, COMPLIANCE, incide de forma directa y positiva en el crecimiento económico de las organizaciones. Este, posiblemente, sea el único argumento de peso que nos llegue a hacer comprender la eficacia de un sistema COMPLIANCE, que su implantación y resultados no sean el resultado de la observación del éxito de otros, sino de nuestro propio éxito.

El Reglamento europeo de protección de datos y la concienciación entre ciudadanos y entidades centrarán las actuaciones de la AEPD en 2017  05-12-2016
La AEPD ha presentado el balance del primer año de su Plan Estratégico y las líneas prioritarias para 2017, entre las que destacan nuevas vías y materiales para informar a los ciudadanos de sus derechos, así como herramientas sencillas para que las entidades obligadas puedan cumplir con la nueva legislación.

INFORME SOBRE TIPOLOGIAS DE BLANQUEO DE CAPITALES  01-12-2016

LAS EMPRESAS, OBLIGADAS A REGISTRAR LA JORNADA DE TRABAJO DE SUS EMPLEADOS  01-12-2016
La Sala de lo Social de la Audiencia Nacional, en su reciente sentencia de 6 de mayo de 2016, nos recuerda la obligación que, de acuerdo con el artículo 35.5 del Estatuto de los Trabajadores, tienen todas las empresas de registrar día a día la jornada de trabajo de los trabajadores. Las empresas, además, han de entregar a cada trabajador la información que le competa sobre dicho registro, totalizando la información que corresponda en el período fijado para el abono de las retribuciones. Es decir, el trabajador tiene derecho a recibir de la empresa información sobre las horas que ha realizado durante el mes, si es que cobra mensualmente.
Esta entrega de información, parafraseando a la Audiencia Nacional, tiene por objeto procurar al trabajador un medio de prueba documental que facilite la acreditación, de otra parte siempre difícil, de la realización de horas extraordinarias, cuya probanza le incumbe.
Así mismo recuerda que los Inspectores de Trabajo no pueden controlar si se superan o no los límites de la jornada ordinaria, si no existe el registro de jornada diaria regulado en el artículo 35.5 del Estatuto de los Trabajadores, cuya finalidad es registrar la jornada diaria.
En su Sentencia de 6 de mayo de 2016, la Audiencia Nacional (AN) ha confirmado su doctrina previa establecida en las sentencias de 4 de diciembre de 2015 y de 19 de febrero de 2016, así como la ya fijada por el Tribunal Supremo, en relación con la obligación de la empresas de establecer un sistema de registro de la jornada diaria efectiva que permita conocer no sólo la realización de las horas extraordinarias, en su caso, sino también la duración de la jornada ordinaria.
No nos encontramos, por tanto ante una nueva obligación, pero si, posiblemente, ante una mayor necesidad de información fruto de los distintos sistemas de jornadas vigentes en la actualidad: jornada flexible, distribución irregular, extensiones de jornada, reducciones de jornada... que hacen más necesario que los controles que se han venido haciendo por las empresas, lleguen al trabajador.
En las sentencias se analizan una serie de conflictos colectivos, donde los sindicatos demandantes reclaman a las empresas el cumplimiento del art. 35.5 del Estatuto de los Trabajadores, que obliga al registro de la jornada, día a día, de los trabajadores, a efectos del cómputo de las horas extraordinarias, así como de la DA 3ª del Real Decreto 1561/1995, relativo al derecho de los representantes de los trabajadores a ser informados mensualmente sobre las horas extraordinarias realizadas.
Las empresas entienden que no han incumplido la legislación ya que no habiendo horas extraordinarias no debían informar a los representantes de los trabajadores, sin embargo, se recuerda a las empresas: la obligación de tener un sistema de registro de las horas día a día, la obligación de informar a los trabajadores y, por último, la obligación de tener dicha información accesible para la inspección.
Estas Sentencias no han de pasar desapercibidas, ya que de una forma totalmente clara nos recuerda la obligación de las empresas de contar con un sistema de registro de la jornada diaria, independientemente que se realicen o no horas extraordinarias y a informar mensualmente tanto a los trabajadores, con las consecuencias prácticas que implica el establecimiento de estas medidas y el impacto que pueden tener incluso respecto de los sistemas de control de acceso establecidos en los centros.
Marta Alamán

Socia de Laboral de PwC Tax & Legal Services
Más artículos de PWC
11:22
11:12
11:08
SUSCRÍBETE
Personaliza la información económica que quieres recibir por secciones.

LOS 5 MÉTODOS MÁS SEGUROS PARA ALMACENAR CONTRASEÑAS  29-11-2016
Aprender a gestionar nuestras claves de las cuentas de redes sociales o páginas web es fundamental.

DELEGADO DE PROTECCION DE DATOS EN 7 PREGUNTAS CLAVE  28-11-2016
Empresas y Administraciones Públicas deben tener esta figura regulada.

ERRORES MÁS COMUNES DE UNA PYME CON LA LOPD  28-11-2016
Los directivos y emprendedores están acostumbrados a proceder sin tener en cuenta la LOPD, lo que les expone a sanciones por parte de la Administración.

CAMBIOS EUROPEOS EN MATERIA DE MARCAS  28-11-2016
El nuevo Reglamento persigue promover el uso de marcas en las pymes.
A partir de ahora, las marcas podrán representarse en cualquier forma que se considere adecuada usando la tecnología disponible, siempre que dicha representación sea clara, precisa, autosuficiente, accesible, inteligible, duradera y objetiva.

LAS DIRECCIONES IP DE LOS USUARIOS DE INTERNET DEBEN SER CONSIDERADAS COMO DATOS PERSONALES Y POR TANTO, ESTÁN PROTEGIDOS POR LA LOPD  25-11-2016
La Sección Sexta de la Sala de lo contencioso-administrativo del Tribunal Supremo ha dictado una sentencia de fecha 3 de octubre de 2014 (recurso número 6153/2011), por la que establece una interesante doctrina sobre la consideración de la claves IP, a efectos de la protección de datos de carácter personal.
La sentencia estima, con base en la STJUE de sentencia de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10, caso ASNEF), que  las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.
Al no producirse la imposibilidad de informar a los intersados del tratamiento de sus direcciones IP, ni exigir dicho trámite un esfuerzo desproporcionado al obligado al mismo,  no concurren los motivos exigidos para aplicar la exención del deber de informar al interesado del tratamiento de sus datos.
Además, no cabe presumir, de forma segura e indudable, tal como exige el artículo 6 de la LOPD que los interesados han otorgado su consentimiento para el tratamiento de sus datos por el hecho de conectarse a una red P2P.
El hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida, no  significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma  específica el tratamiento de sus datos que pretende la parte recurrente. Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.
Igualmente la sentencia señala que los 138.3, 139.1 h) y 141.6 de la Ley de Propiedad Intelectual (RDLegislativo 1/1996), no contienen ninguna habilitación, ni referencia expresa, a la dispensa del consentimiento de los interesados para el tratamiento de sus datos, como tampoco lo hace el artículo 24 CE al garantizar el derecho a obtener la tutela efectiva de los jueces y tribunales. Pues, "Cuando una norma jurídica establece excepciones a las prohibiciones de tratamiento de datos sin el consentimiento del interesado, es exigible que lo efectúe de una forma precisa, como sucede con las excepciones previstas en los apartados 2 y 5 del artículo 6 de la Directiva 2002/58, que se refieren al tratamiento de los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones, o de la lucha contra el fraude, entendiendo por tal, de acuerdo con el considerando 29 de la Directiva, el consistente en la utilización sin pago de servicios de comunicaciones electrónicas, pues una habilitación legal tácita o implícita para tratar datos personales sin consentimiento del titular, en los términos que pretende la parte recurrente, no es conforme con el contenido del derecho a la protección de datos como derecho fundamental, con un régimen de especial protección en la CE."
Además, resuelve que, de acuedo con la STJU ... "no cabe añadir ningún otro requisito de carácter excluyente a los dos requisitos acumulativos contemplados en el artículo 7.f) de la Directiva 95/46/CE para la realización de un tratamiento de datos, si bien es admisible que, en la ponderación de los intereses en conflicto a que se refiere el segundo de los requisitos mencionados, se valore si los datos personales de que se trate figuran en fuentes accesibles al público." 
Si bien matiza que "sin perjuicio de lo anterior, los razonamientos de la sentencia impugnada sobre las fuentes de procedencia de los datos objeto de tratamiento, han de entenderse en el contexto en que se producen, que era el de respuesta a la concreta alegación de la demanda, que propugnaba una interpretación en sentido amplio de la expresión “fuente accesible al público” del artículo 6.2 LOPD, equiparando las redes P2P a los medios de comunicación e incluyéndolas entre estos, sin que la sentencia recurrida aceptara esta interpretación amplia, por considerar que, tanto el artículo 3.1.j) LOPD como el artículo 7 de su Reglamento de desarrollo, contienen una lista exhaustiva o cerrada de lo que deben considerarse fuentes accesibles al público, en la que no se incluye internet."
Por último, la Sala determina que "que no es posible entregar las direcciones IP a una entidad privada, como la recurrente, que “ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas”, lo que llevó a la sentencia recurrida a estimar reforzada su conclusión, razonada en los fundamentos precedentes, sobre la improcedencia de la pretensión de la parte recurrente."


Los hechos
La parte recurrente  presentó un escrito ante la AEPD en el que solicitó, al amparo del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales.
La AEPD acordón no autorizar dicha exención y la la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictó sentencia desestimatoria del recurso contencioso administrativo interpuesto contra dicha decisión, contra la que se ha interpuesto recurso de casación.
La sentencia
Por su interés reproducimos los principales fundamentos de derecho Octavo de la sentencia, de la que ha sido ponente el magistrado señor del Riego Valledor:
"CUARTO.- Como hemos indicado, el segundo motivo del recurso de casación sostiene que la sentencia recurrida se equivoca cuando sienta la premisa de que las direcciones IP son datos de carácter personal, pues para la parte recurrente las direcciones IP que pretende tratar no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP  que PROMUSICAE pretende tratar constituyan datos personales, haciendo la sentencia recurrida una lectura equivocada de la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008.
Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C-275/2006.
La Sala comparte y hace suyos los razonamientos de la Sala de instancia.
De acuerdo con el escrito de solicitud de la exención del deber de informar del tratamiento a los titulares de los datos (folio 3 del expediente administrativo), el tratamiento de datos que PROMUSICAE pretende llevar a cabo se refiere al nombre de usuario, la dirección IP, el día y la hora en que se realicen de forma masiva los actos de puesta a disposición de fonogramas o videos musicales, el número de archivos protegidos que ese usuario tenía a disposición del público en su carpeta compartida, los títulos de los fonogramas y videos musicales que ponía a disposición del público y el nombre del artista.
Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD, ya que contienen información concerniente a personas físicas “identificadas o identificables”. El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que “se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación…".
No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.
La sentencia recurrida cita, en apoyo de su tesis de que las direcciones IP son datos personales, la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 (asunto C-275/06), recaída en una petición de decisión prejudicial planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento promovido por la aquí parte recurrente, contra un proveedor de acceso a internet (Telefónica de España, SAU), para que le comunicase los nombres y direcciones de determinados usuarios de internet. En relación con dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la condición de datos personales de los que eran objeto de la pretensión de la parte recurrente en el litigio principal, es decir, los nombres y direcciones de determinados usuarios solicitada por P, sin que el TJCE se pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse también que, en el mismo asunto, la Abogado General en sus conclusiones si mantiene (apartado 61), que el dato del usuario al que se han atribuido determinadas direcciones IP es un dato personal, en el sentido del artículo 2.a) de la Directiva 95/46, es decir, información sobre una persona física identificada o identificable, pues “con ayuda de este dato se relacionan las actividades realizadas mediante el uso de la correspondiente dirección IP con el titular del punto de conexión”.
Por lo tanto, estimamos que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.
Se desestima el segundo motivo del recurso de casación.
QUINTO.- En su tercer motivo del recurso, PROMUSICAE alega que, en la hipótesis de que se entienda que las direcciones IP constituyen datos de carácter personal, debía concederse la exención del deber de informar al interesado, de conformidad con el artículo 5.5 LOPD, por resultar imposible el cumplimiento de dicho deber. Entiende la parte recurrente que la imposibilidad de informar a los interesados ha quedado acreditada a lo largo del procedimiento, y así lo declara la sentencia recurrida, al aceptar que dicha parte no es capaz de averiguar la identidad, el domicilio, ni ningún otro dato identificativo de los usuarios de redes P2P cuya dirección IP fuera recogida. 
El artículo 5 de la LOPD establece, en los casos de tratamiento de datos de carácter personal, el deber de informar previamente a los titulares de los datos, y si los datos de carácter personal no han sido recabados del interesado, como sucede en este caso, el apartado 4 del artículo 5 LOPD impone al responsable del fichero el deber de informar al interesado dentro de los tres meses siguientes al registro de los datos, si bien, el artículo 5.5 LOPD exceptúa de dicho deber de información determinados supuestos: cuando la ley expresamente lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, y cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. 
En desarrollo de dicha previsión legal, el Reglamento de la LOPD, aprobado por Real Decreto 1720/2007, en sus artículos 153 y siguientes, estableció el procedimiento a seguir para obtener de la AEPD la exención del deber de información al interesado del tratamiento de sus datos, cuando resulte imposible o exija esfuerzos desproporcionados, siendo este procedimiento al que acudió la parte recurrente, y la sentencia de la Audiencia Nacional basa la desestimación del recurso en el argumento de que no concurre, o al menos la parte recurrente no ha justificado, la circunstancia de imposibilidad de información a los interesados del tratamiento de sus datos.
El recurso de casación impugna la resolución recurrida a partir de una  premisa equivocada, pues considera la parte recurrente en este tercer motivo que “la imposibilidad de informar a los interesados del tratamiento de sus direcciones IP ha quedado acreditada a lo largo del procedimiento seguido ante la Audiencia Nacional, y así lo viene a declarar la Sentencia recurrida”, cuando no es así, sino que sucede justamente lo contrario, que la sentencia recurrida establece con claridad (FD Segundo), que “ninguna de las circunstancias que prevé el artículo 5.5 LOPD concurre en el caso presente”, en el que estima que “no consta dificultad especial para realizar dicha información”, insistiendo en que la autorización del tratamiento de datos sin realizar la preceptiva información al titular de los datos y sin contar con su consentimiento solo puede realizarse excepcionalmente, cuando concurran las circunstancias previstas en el artículo 5 LOPD “que, en el caso presente, no concurren".
La propia parte recurrente, en contradicción con lo afirmado en este motivo tercero del recurso de casación, reconoce en el motivo primero que la sentencia basa la desestimación de la demanda en que la parte no ha justificado la concurrencia de los requisitos exigidos por el artículo 5.5 LOPD y, por tal razón, combate en dicho motivo primero la -en su criterio irracional apreciación de la prueba llevada a cabo por la sentencia recurrida, que incurrió en un error palmario en la valoración de la prueba, que desemboca en una resolución irracional o arbitraria. No obstante, debe recordarse, como ya se ha indicado en esta sentencia, que este motivo primero del recurso de casación fue inadmitido por auto de la Sección 1ª de esta Sala, de 20 de diciembre de 2012, por su defectuosa preparación, pues el motivo debió invocarse en base a la letra d) del artículo 88.1 LJCA, como un error in iudicando, y no por el cauce de la letra c) de dicho precepto legal, como un error in procedendo. 
Al no haberse combatido eficazmente en este recurso de casación la valoración de la prueba por la Sala de instancia, hemos de mantener ahora su apreciación respecto de la falta de acreditación de las circunstancias del artículo 5.5 LOPD habilitantes de la exención del deber de informar, entre ellas la imposibilidad o exigencia de esfuerzos desproporcionados de la información.
Por las razones indicadas se desestima el tercer motivo del recurso de casación.
SEXTO.- El cuarto motivo del recurso de casación considera que concurre el consentimiento tácito de los interesados para el tratamiento de datos que P pretende llevar a cabo, que se desprende de su decisión libre y voluntaria de poner a disposición del público la información que estiman pertinente, incluida su dirección IP.
El artículo 3.h) LOPD define el consentimiento del interesado como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen” y, desde luego, en este caso no puede mantenerse que, entre otros requisitos, exista una manifestación de voluntad informada del interesado.
Es cierto que el artículo 6 LOPD exige el consentimiento del interesado, sin la previsión de que sea expreso, pero como afirma la sentencia recurrida, el consentimiento podrá ser tácito pero, en todo caso, deberá ser inequívoco, y esta Sala considera que no cabe presumir, de forma segura e indudable, el consentimiento de los interesados al tratamiento de sus datos por el hecho de conectarse a una red P2P.
A la hora de analizar si existe un consentimiento tácito del titular de los datos para su tratamiento, debe tenerse en cuenta la finalidad de los actos de los que se deduce esa voluntad, que en este caso están encaminados a operar en las redes P2P, sin que sea razonable deducir de dicho propósito el consentimiento para el tratamiento de los datos. En este sentido, como decía la sentencia de este Tribunal de 17 de abril de 2007 (recurso 3755/2003), “resulta incongruente hablar de consentimiento tácito cuando ni siquiera se ha producido la  necesaria información a los titulares sobre la existencia de tal tratamiento y fichero".
El hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida, no significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos que pretende la parte recurrente.
Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.
Se desestima el cuarto motivo del recurso de casación.
SÉPTIMO.- El motivo quinto del recurso considera que, de conformidad con el artículo 6.1 LOPD, existen varias habilitaciones legales para el tratamiento de datos pretendido por la parte recurrente, sin el consentimiento del afectado, contenidas de forma implícita en los artículos 138.3, 139.1.h) y 141.6 de la Ley de Propiedad  Intelectual y el artículo 24 CE.
El artículo 6.1 LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, “salvo que la ley disponga otra cosa.”
Como se ha indicado, la parte recurrente considera que son varias las disposiciones legales que,  implícitamente, dispensan el consentimiento del afectado para el tratamiento de datos que pretende. Se trata de los artículos 138.3, 139.1.h) y 141.6 del Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (LPI), en los que se prevé que el titular del  derecho de propiedad intelectual podrá solicitar el cese, y la medida cautelar de suspensión de los servicios prestados por intermediarios a terceros que se valgan de ellos para infringir derechos de propiedad intelectual, y que dicho cese y medida cautelar podrán también solicitarse, cuando sean apropiadas, contra los intermediarios a cuyos servicios recurra un tercero para infringir derechos de propiedad intelectual reconocidos en la LPI, aunque los actos de dichos intermediarios no constituyan en sí mismos una  infracción.
En la tesis de la parte recurrente, el tratamiento de datos a que se refiere su solicitud es imprescindible para poder iniciar con posibilidades de éxito un procedimiento judicial en defensa de sus intereses, en el que solicitar y obtener ese cese de la actividad, o la medida cautelar de suspensión de los servicios en cuyo ámbito se produce la infracción de los derechos de propiedad intelectual.
Sin embargo, ninguno de los preceptos citados por la parte recurrente contiene ninguna habilitación, ni  referencia expresa, a la dispensa del consentimiento de los interesados para el tratamiento de sus datos, como tampoco lo hace el artículo 24 CE al garantizar el derecho a obtener la tutela efectiva de los jueces y tribunales. 
Cuando una norma jurídica establece excepciones a las prohibiciones de tratamiento de datos sin el consentimiento del interesado, es exigible que lo efectúe de una forma precisa, como sucede con las excepciones previstas en los apartados 2 y 5 del artículo 6 de la Directiva 2002/58, que se refieren al tratamiento de los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones, o de la lucha contra el fraude, entendiendo por tal, de acuerdo con el considerando 29 de la Directiva, el consistente en la utilización sin pago de servicios de comunicaciones electrónicas, pues una habilitación legal tácita o implícita para tratar datos personales sin consentimiento del titular, en los términos que pretende la parte recurrente, no es conforme con el contenido del derecho a la protección de datos como derecho fundamental, con un régimen de especial protección en la CE.
En este sentido, el Tribunal Constitucional, en la sentencia 292/2000 (FJ 16), sobre cuestiones relacionadas sobre el derecho fundamental a la protección de datos, ha señalado no solo la necesidad de que las limitaciones a un derecho fundamental estén fundadas en una previsión legal que tenga justificación constitucional y sean proporcionadas, sino además, “que la Ley que restrinja este derecho debe expresar con precisión todos y cada uno de los presupuestos materiales de la medida limitadora”, y tal requisito de precisión y certeza no es compatible con la limitación normativa implícita del derecho fundamental a la protección de datos que alega el recurrente en este motivo.
De acuerdo con lo razonado, no cabe acoger el motivo quinto del recurso de casación.
OCTAVO.- El motivo sexto del recurso de casación denuncia la infracción del artículo 6.2 in fine de la LOPD, a través de dos submotivos. El primero alega la falta de conformidad de la interpretación que efectúa la sentencia recurrida del artículo 6.2 in fine de la LOPD con el artículo 7.f) de la Directiva 95/46 y el segundo se refiere a la existencia de un interés legítimo prevalente por parte de P para realizar el tratamiento pretendido.
En el primero de los submotivos citados, la parte recurrente aduce que no es necesario el consentimiento del afectado para tratar un dato personal, siempre que el tratamiento responda a un interés legítimo preponderante del responsable del fichero, sin que sea necesario, además, que el tratamiento conste en una fuente accesible al público. 
El artículo 6.2 LOPD establece que no será preciso el consentimiento del afectado en determinados supuestos que detalla, y entre ellos, “cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”
A su vez, el artículo 7.f) de la Directiva 95/46/CE señala que los Estados miembros dispondrán que el tratamiento de datos personales sólo puede efectuarse si: “f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”
En la interpretación del artículo 7.f) de la Directiva 95/46/CE, el Tribunal de Justicia de la Unión Europea ha dicho, en sentencia de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10, caso ASNEF), que el mencionado precepto “establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado” (apartado 38), de lo que se sigue que el indicado artículo 7.f) de la Directiva 95/46 “se opone a toda normativa nacional que, en el caso de que no exista consentimiento del interesado, imponga exigencias adicionales que se sumen a los dos requisitos acumulativos mencionados en el apartado anterior.” (apartado 39). 
Ahora bien, que el artículo 7.f) de la Directiva no contemple el requisito de que los datos figuren en fuentes accesibles al público para admitir su tratamiento sin consentimiento del interesado, no significa que dicha circunstancia no pueda ser ponderada al examinar el segundo de los requisitos establecido en el indicado precepto, que exige que no prevalezca el interés o los derechos y libertades fundamentales del titular de los datos sobre el interés legítimo perseguido por el responsable del tratamiento o [sic].
En efecto, añade la sentencia del TJCE citada que “En lo que respecta a la ponderación requerida por el artículo 7, letra f), de la Directiva 95/46, cabe tomar en consideración el hecho de que la gravedad de la lesión de los derechos fundamentales de la persona afectada por dicho tratamiento puede variar en función de que los datos figuren ya, o no, en fuentes accesibles al público” (apartado 44), pues “a diferencia de los tratamientos de datos que figuran en fuentes accesibles al público, los tratamientos de datos que figuran en fuentes no accesibles al público implican necesariamente que el responsable del tratamiento y, en su caso, el tercero o terceros a quienes se comuniquen los datos dispondrán en lo sucesivo de ciertas informaciones sobre la vida privada del interesado. Esta lesión, más grave, de los derechos del interesado consagrados en los artículos 7 y 8 de la Carta debe ser apreciada en su justo valor, contrapesándola con el interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos” (apartado 45).
Por tales razones, concluye sobre esta cuestión la referida sentencia del TJCE que: 
"Apartado 46: A este respecto, procede subrayar que nada se opone a que, en ejercicio del margen de apreciación que les confiere el artículo 5 de la Directiva 95/46, los Estados miembros establezcan los principios que deben regir dicha ponderación. 
Apartado 47: No obstante, si una normativa nacional excluye la posibilidad de tratar determinadas categorías de datos personales, estableciendo con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de tales categorías, sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto, no se trata ya de una precisión en el sentido del citado artículo 5.
Apartado 48: Por lo tanto, sin perjuicio del artículo 8 de la Directiva 95/46, relativo al tratamiento de determinadas categorías particulares de datos, disposición que no se discute en el litigio principal, el artículo 7, letra f), de dicha Directiva se opone a que un Estado miembro excluya de forma categórica y generalizada la posibilidad de someter a un tratamiento de datos determinadas categorías de datos personales, sin permitir ponderar los derechos e intereses en conflicto en cada caso concreto."
Así pues, de acuerdo con la sentencia del TJUE citada, no cabe añadir ningún otro requisito de carácter excluyente a los dos requisitos acumulativos contemplados en el artículo 7.f) de la Directiva 95/46/CE para la realización de un tratamiento de datos, si bien es admisible que, en la ponderación de los intereses en conflicto a que se refiere el segundo de los requisitos mencionados, se valore si los datos personales de que se trate figuran en fuentes accesibles al público.
Sin perjuicio de lo anterior, los razonamientos de la sentencia impugnada sobre las fuentes de procedencia de los datos objeto de tratamiento, han de entenderse en el contexto en que se producen, que era el de respuesta a la concreta alegación de la demanda, que propugnaba una interpretación en sentido amplio de la expresión “fuente accesible al público” del artículo 6.2 LOPD, equiparando las redes P2P a los medios de comunicación e incluyéndolas entre estos, sin que la sentencia recurrida aceptara esta interpretación amplia, por considerar que, tanto el artículo 3.1.j) LOPD como el artículo 7 de su Reglamento de desarrollo, contienen una lista exhaustiva o cerrada de lo que deben considerarse fuentes accesibles al público, en la que no se incluye internet. 
En todo caso, y como resulta de la sentencia del TJUE antes citada, el debate abierto por el escrito de demanda, sobre la inclusión o no de las redes P2P en el concepto de fuente accesible al público del artículo 6.2 LOPD, no resulta decisivo para resolver la pretensión de la parte recurrente, y debe relegarse, en caso de estimarse necesario, al momento del examen de la concurrencia del segundo requisito contemplado por los artículos 6.2 LOPD y 7.f) de la Directiva 95/46/CE, que exige ponderar la prevalencia entre el derecho fundamental a la protección de datos de los afectados y el legítimo interés del responsable del fichero en el tratamiento de los datos.
En relación con este segundo requisito, la parte recurrente mantiene que la Sala de instancia no se pronunció al respecto y que concurre el interés prevalente de PROMUSICAE sobre los derechos de los usuarios de redes P2P, si bien esta Sala no comparte ninguno de esos dos argumentos.
La sentencia recurrida si contiene un pronunciamiento sobre la prevalencia entre los derechos en conflicto, pues en el Fundamento de Derecho Quinto tiene en cuenta, para rechazar el tratamiento de las direcciones IP pretendido, que la recurrente “es una simple entidad privada y ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas” y en el Fundamento de Derecho Sexto añade que “todo ello no puede servir para justificar, como pretende la parte recurrente que se lleve a cabo una aplicación de la LOPD que sea claramente lesiva de los derechos en materia de protección de datos. La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala, pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos (entendida en un sentido mucho más amplio que el simple derecho a la intimidad).”
Las alegaciones del motivo sobre la prevalencia del interés legítimo de P en el presente caso tampoco pueden prosperar.
Como hemos visto con anterioridad, el artículo 7.f) de la Directiva 95/46 admite el tratamiento de datos personales cuando sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado, en este caso, su derecho a la intimidad, en lo que respecta al tratamiento de sus datos personales, protegido por el artículo 1.1 de la Directiva, y la aplicación de este precepto exige una ponderación de los derechos e intereses en conflicto, en atención a las circunstancias concurrentes en el caso particular.
Como primera cuestión, hemos de señalar que es jurisprudencia reiterada del TJUE, como resalta su sentencia de 8 de abril de 2014 (asuntos acumulados C-293/12 y C-594/12, apartado 52), que las excepciones a la protección de los datos personales y las restricciones a dicha protección han de establecerse sin sobrepasar los límites de lo estrictamente necesario, y en este caso la parte recurrente no ha acreditado la concurrencia de la necesidad de acudir al tratamiento de datos en cuestión, para la satisfacción de su interés legítimo de protección de los derechos de propiedad intelectual, pues si bien afirma en su recurso que, a fin de poder concretar las conductas ilícitas de los usuarios de las redes P2P que motivan el ejercicio de su derecho a la tutela judicial efectiva, “no tiene más remedio” que tratar las direcciones IP de los usuarios de dichas redes, sin embargo, en criterio de esta Sala, no justifica de forma suficiente esa necesidad, por inexistencia de medidas protectoras alternativas en el ordenamiento jurídico, bien en el orden civil, en particular en la Ley de Propiedad Intelectual, bien en el orden penal, más respetuosas del derecho a la protección de los datos personales.
Por otro lado, también tenemos en cuenta las características y extensión del tratamiento de datos a que se refiere este recurso, de acuerdo con el escrito de la parte recurrente, de solicitud a la AEPD de la exención del deber de informar a los titulares de los datos personales (folio 3 del  expediente administrativo), que seria realizado por la empresa danesa, DtecNet Software, domiciliada en Copenhague, con la que P ha contratado la prestación de este servicio, y se refiere a los datos siguientes: el nombre de usuario, la dirección IP, el día y la hora en que se realicen de forma masiva los actos de puesta a disposición de fonogramas o videos musicales, el número de archivos protegidos que ese usuario tenía a disposición del público en su carpeta compartida, los títulos de los fonogramas y videos musicales que ponía a disposición del público y el nombre del artista. 
También resulta de interés advertir que la parte recurrente en ningún momento ha ofrecido indicación alguna, siquiera aproximada, sobre el número de interesados cuyos datos personales pueden ser objeto del tratamiento exento de su autorización, como puso de relieve la sentencia impugnada.
En el otro lado de la balanza tenemos en cuenta que el derecho a la protección de datos personales es un derecho fundamental, cuyo contenido consiste, de acuerdo con la sentencia 292/2000, del Tribunal Constitucional en “un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permit e al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso”, de donde se sigue que el consentimiento del interesado sobre la recogida y uso de sus datos personales forma parte del contenido esencial de este derecho fundamental.
En la ponderación de derechos e intereses que efectuamos hemos de tener también presente el precedente, de especial interés en este recurso, constituido por la sentencia del TJUE de 29 de enero de 2008, anteriormente citada, recaída en un asunto en el que P intervenía en defensa de los mismos derechos de propiedad intelectual hace valer en el presente recurso, que señaló (apartado 57) que la protección efectiva que las Directivas 2000/31, 2001/29 y 2004/48 otorgan a la propiedad intelectual no puede ir en perjuicio de las exigencias relativas a la protección de los datos personales.
Por todo lo anterior, estimamos que en el presente caso, por sus particulares características de extensión y falta de acreditación de su estricta necesidad para la finalidad legítima perseguida, el tratamiento de datos que pretende la parte recurrente no justifica las limitaciones en el contenido esencial del derecho fundamental a la protección de datos de un número desconocido de personas, por lo que no concurre el segundo de los requisitos exigidos por los artículos 6.2 LOPD y 7.f) de la Directiva 95/46/CE.
De acuerdo con los anteriores razonamientos, se desestima el motivo sexto del recurso de casación.
NOVENO.- El séptimo motivo del recurso considera que la sentencia recurrida ha aplicado indebidamente el artículo 6 de la Ley 25/2007, porque no es cierto que la parte recurrente pretenda que los prestadores de servicios de Internet le cedan las direcciones IP de sus abonados, sino que lo que pretende es obtener dichas direcciones IP por si misma de las redes P2P, sin que el tratamiento de datos sobre el que versa el presente procedimiento requiera ninguna cesión de datos sometida a la Ley 25/2007.
La Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, establece la obligación de los operadores de telecomunicaciones de retener determinados datos generados o tratados por los mismos, con el fin de posibilitar que dispongan de ellos los agentes facultados, entendiendo por tales los miembros de los Cuerpos Policiales autorizados para ello en el marco de una investigación criminal por la comisión de un delito, el personal del Centro Nacional de Inteligencia para llevar a cabo una investigación de seguridad amparada en la Ley 11/2002 y L.O. 2/2002 y los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el artículo 283.1 de la Ley de Enjuiciamiento Criminal.
En este contexto, el artículo 6 de la citada Ley 25/2007 dispone que los datos conservados de conformidad con lo dispuesto en dicha Ley, sólo podrán ser cedidos de acuerdo con los fines que se determinan y previa autorización judicial. 
Para esta Sala es claro que la sentencia recurrida no incurre en la confusión que le atribuye la parte recurrente, de estimar que la pretensión de P es que los prestadores de servicios telefónicos le cedan las direcciones IP en el marco de la Ley 25/2007. Basta la lectura del Fundamento Jurídico Segundo de la sentencia recurrida, para apreciar que la misma es perfecta conocedora de que la pretensión de la parte recurrente, tal y como aparece articulada en la solicitud que inicia el expediente administrativo y en el escrito de demanda, es obtener la exención por la AEPD del deber de informar al interesado acerca del tratamiento de sus datos de carácter personal, prevista en el artículo 5.5 LOPD y en los artículos 153 y siguientes de su Reglamento de desarrollo.
La cita que efectúa la sentencia recurrida al artículo 6 de la Ley 25/20067 no tiene otro objeto que el de resaltar la relevancia del dato de dirección IP, que figura entre los datos objeto de conservación establecidos por el artículo 3 de la indicada Ley, cuya cesión por los operadores de telecomunicaciones a los agentes facultados está sujeta a condiciones restrictivas, entre ellas, a la previa autorización judicial. 
Esta regulación legal es tenida en cuenta por la sentencia recurrida, para efectuar la ponderación ordenada por el artículo 6.2 de la LOPD, de los intereses y derechos concurrentes en el presente caso, en cuanto pone de manifiesto la especial protección dispensada por el legislador a los datos vinculados a la comunicación a través de Internet, que la sentencia recurrida tiene en cuenta para afirmar (FJ Quinto), que no es posible entregar las direcciones IP a una entidad privada, como la recurrente, que “ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas”, lo que llevó a la sentencia recurrida a estimar reforzada su conclusión, razonada en los fundamentos precedentes, sobre la improcedencia de la pretensión de la parte recurrente.
Se desestima el séptimo motivo del recurso de casación por las razones expresadas."

Aemol Consulting, presente en AsturFranquicia 2016  25-11-2016
La franquicia Aemol Consulting ha estado presente durante el fin de semana pasado en la Feria de Franquicias AsturFranquicia, celebrada en Gijón los días 19 y 20 de noviembre.
Siendo una franquicia referente en el sector, María Jesús Álvarez, Directora Comercial de Aemol Consulting, fue entrevistada para el Panorama Regional emitido en La 1 de TVE.
En esta entrevista se hace un pequeño resumen sobre los Servicios a Empresas que ofrece la franquicia Aemol Consulting, como son la Ley Orgánica de Protección de Datos, Corporate Compliance, Garantías Jurídicas GarantiDat® con reembolso de sanciones LOPD, Gestión y Control de Tiempos(iPunch®), Registro de Marcas Nacionales, Comunitarias e Internacionales, Prevención de Riesgos Laborales, Prevención del Blanqueo de Capitales (Audiblac®), Desarrollo de aplicaciones en la nube, Seguridad Informática, Implantación de Normas ISO, Club de Compras ShopClub®…
Todos estos servicios que ofrece la franquicia Aemol Consulting son imprescindibles para cualquier empresa en el desarrollo de su actividad.
Sobre Aemol Consulting
Aemol Consulting es una franquicia Consultora Técnico-Legal para empresas, profesionales y autónomos.
Esta franquicia, pionera y referente en su sector, comercializa servicios tales como Ley de Protección de datos personales; garantías jurídicas y seguro GarantiDat® con reembolso de sanciones LOPD; Corporate Compliance: Responsabilidad penal de las personas jurídicas; Gestión y control de tiempos (iPunch®), Marcas Nacionales, Comunitarias, Internacionales; Prevención de Riesgos Laborales; Prevención de Blanqueo de Capitales (Audiblac®); Desarrollo de aplicaciones en la nube; Seguridad Informática; Implantación de Normas ISO y Club de Compras ShopClub®, entre otros.
Para montar una franquicia de Aemol Consulting, no es necesario disponer de conocimientos técnicos o legales: ellos te los aportan. Lo que sí es necesario es tener un marcado carácter y contar con experiencia en el ámbito comercial.
Sin local, sin inversión, ni alquileres, sin obras, sin problemas, sin stock, sin riesgos. Clientela empresarial y profesional. Bajo coste de implantación. Formación continuada. Financiación bancaria o directa. Más de 14 años de experiencia, más de 20.000 clientes. Son solo algunos de los parámetros que definen el negocio en franquicia de Aemol Consulting. Para más información, no dudes en ponerte en contacto con ellos.

GUIA SOBRE EL USO DE LAS COOKIES  25-11-2016
Como es sabido, una de las formas en que la publicidad en Internet se lleva a cabo es a través de las cookies. Las cookies son herramientas que tienen un papel esencial para la prestación de numerosos servicios de la sociedad de la
información que concentran la mayor inversión publicitaria, facilitan la navegación del usuario y ofrecen una publicidad basada en ocasiones en los hábitos de navegación.

¿HARTO DE LAS REDES SOCIALES? ASÍ PUEDES BORRAR TUS CUENTAS Y QUE NO QUEDE NI RASTRO  23-11-2016
Descubre cómo eliminar tu rastro en Facebook, Instagram, Twitter, Google, Snapchat, Linkedin y Vine.

MARCO JURIDICO DE LA PROTECCION DE DATOS  23-11-2016
El marco jurídico básico que configura la protección de datos de carácter personal en España, está formado por las siguientes normas:
1. Constitución. Artículo 18.4 de la Constitución Española de 1978.
2. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
3. Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal.
4. Reglamento. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
5. Instrucciones de la Agencia Española de Protección de Datos.

PROTEGE TUS DATOS EN INTERNET  22-11-2016
El proyecto de vídeos online "Protege tus datos en Internet" tiene como objetivo mostrar al ciudadano cómo puede gestionar su privacidad en la Red. Para ello, este canal incluye vídeos didácticos en formato de videotutoriales en los que se explica, paso a paso, cómo configurar las opciones de privacidad de los navegadores, redes sociales y sistemas operativos móviles más comunes.

COMPLIANCE, UNA HERRAMIENTA PARA RENOVAR LA CONFIANZA EN LA BANCA  22-11-2016
En el sector financiero, la confianza entre cliente y entidad resulta fundamental para garantizar el funcionamiento del sistema; sin embargo, los grandes esc?alos de corrupci?inculados a la banca han degenerado esta relaci?ist?a, especialmente tras el estallido de la crisis econ?a.
Para expertos como el socio director de Conesa Legal Josep Conesa, la soluci? este problema de reputaci?st?n los programas de vigilancia del cumplimiento normativo ("compliance"), una "excelente herramienta" capaz de generar prestigio, tanto interno como externo, sobre todo en ?itos como el bancario, que formaliza por escrito su ?ca empresarial.
En Europa, la lenta recuperaci?xperimentada por su econom?se ha traducido en un ligero aumento de la confianza en estas instituciones, si bien los datos contin?mostrando la reticencia del cliente hacia el mundo financiero.
Y es que aunque el "Trust Barometer" 2016 de la agencia Edelman muestra unos niveles de confianza en aumento durante el ?mo lustro, cuando ascendi? 51 %, ocho puntos m?que en 2012, evidencia adem?que el de las finanzas es el sector que mayor recelo genera en el consumidor por delante incluso del farmac?ico.
Desde asociaciones como Adicae vinculan esta circunstancia al fantasma de la insolvencia bancaria, el cual ha arrastrado a las peque?entidades a ser integradas en grupos tras el "expolio", explican, cometido por sus antiguos directivos, generalmente a trav?de la venta de productos t?os.
Pero tambi?por esc?alos como las prejubilaciones millonarias de la antigua c?a de Novacaixagalicia -ahora Abanca-, la ocultaci?e las p?idas sufridas por Caja Castilla-La Mancha -hoy Liberbank- en 2008 o el juicio por las pol?cas tarjetas opacas de Caja Madrid -integrada en Bankia- que sienta en el banquillo a sus expresidentes Miguel Blesa y Rodrigo Rato por presunta apropiaci?ndebida y administraci?esleal.
Unas conductas que podr? haberse prevenido de contar con el programa de "compliance" adecuado, un "traje a medida", dice Conesa, con el que cada compa?establece normas como el empleo de tarjetas de cr?to para gastos de representaci? el uso de herramientas inform?cas, no establecidas por convenio.
Al margen de eventuales condenas a los responsables del delito, la ley permite a la justicia investigar hasta qu?unto una compa?est?bligada a responder penalmente por tales conductas, un supuesto que ratifica la reciente jurisdicci?el Tribunal Supremo.
Seg?alora para Efe la responsable de "compliance" del despacho de abogados Ceca Mag? Silvia Quiles, este marco legal ha supuesto una "carrera contrarreloj" para las empresas, obligadas a implementar un programa eficaz que instaure las prevenciones necesarias para evitar la comisi?e delitos o da?reputacionales.
En este sentido, asegura que el cumplimiento normativo permitir? las entidades financieras avanzar "de manera significativa" en la tramitaci?e reclamaciones, las operaciones personales o la externalizaci? los conflictos de intereses, requisitos exigidos por la nueva disposici?uropea.
La entrada en vigor de la directiva MiFID II, prevista para enero de 2018, "supondr?ambiar el modelo de gesti?el riesgo", indica el socio director de Fortuny Legal Miquel Fortuny, quien cree que ?a obligar? prestar atenci? impactos como el originado por publicidad enga?, cuya pena para la persona jur?ca puede alcanzar el "qu?uple" del beneficio obtenido.
Una visi?ue comparte el socio de Ecix Group Carlos Alberto S?, para quien la nueva MiFID refuerza la tutela del inversor, ahora amparado por el Reglamento Europeo de Protecci?e Datos, y ampl?las posibles sanciones a las instituciones financieras, a las que la directiva invita a mejorar su nivel de transparencia y de confianza.
"Implementar un buen compliance acredita que la empresa cumple de forma ?ca y legal con sus obligaciones", resume Conesa, y concluye garantizando que la adopci?e estos protocolos repercutir?ositivamente incluso en inspecciones de trabajo, pues velar por la norma "siempre genera buena reputaci? no s?en los juzgados, sino tambi?de cara al resto de la sociedad.

LOS PROFESIONALES DE LA PRIVACIDAD EN EL CENTRO DE LA REFORMA DE PROTECCIÓN DE DATOS  21-11-2016
Con la aprobación  en el Parlamento Europeo del nuevo paquete jurídico de protección de datos tras cuatro años de negociaciones, y la propia publicación del Reglamento General de Protección de Datos , se inicia una revolución regulatoria en la Unión Europea en el que los profesionales de la privacidad jugarán un papel clave. No en vano, entre otras medidas, se introduce la figura legal del Delegado de Protección de Datos (DPO, por su siglas en inglés), que será obligatorio en determinados casos, como en las Administraciones Públicas o en las empresas que monitorizan de forma periódica y sistemática grandes cantidades de datos personales.
Desde la Asociación Profesional Española de Privacidad (APEP) se quiere destacar, por otro lado, como principal virtud de la iniciativa que el Reglamento va a garantizar la circulación de datos en el mercado interior y va a resolver los problemas de incompatibilidades entre las normativas existentes de los diferentes países. Pero, además, es pertinente resaltar que este Reglamento también se aplica en el caso de responsables no establecidos en la UE, cuando las actividades de tratamiento de datos personales estén relacionadas con la oferta de bienes o servicios a residentes en la UE o el control de su comportamiento (en la medida en que este control tenga lugar en la UE).
Por primera vez en la historia todos los países de la UE tendrán un único marco normativo, que además estará adaptado al nuevo entorno de internet. De este modo, se favorecerá el crecimiento de la economía digital y una adecuada tutela de este derecho fundamental de los ciudadanos. Según comunicó el Parlamento Europeo, el Reglamento General de Protección de Datos tiene como objetivo ?dar más control a los ciudadanos sobre su información privada?. Las nuevas reglas incluyen, entre otros requerimientos, la necesidad de un ?consentimiento claro y afirmativo? de la persona concernida al tratamiento de sus datos personales, la ?portabilidad? o el derecho a trasladar los datos a otro proveedor de servicios, el derecho a ser informado si los datos personales han sido pirateados, un lenguaje claro y comprensible sobre las cláusulas de privacidad, y la posibilidad de ejercer el llamado derecho al ?olvido?, mediante la rectificación o supresión de datos personales en internet. Es conveniente mencionar que el nuevo Reglamento aumenta las sanciones de forma muy notable, llegando a multas de hasta el 4% de la facturación global de las empresas.
El Reglamento entró en vigor el 25 de mayo, 20 días después de su publicación  en el Diario Oficial de la Unión Europea. Sus disposiciones serán de aplicación directa en todos los Estados miembros dos años después, el 25 de mayo de 2018.
+
El creciente protagonismo de los profesionales en privacidad
Para APEP el Reglamento supone un desarrollo destacado de la cultura de la privacidad en el ámbito económico y social, exigiendo nuevas obligaciones y responsabilidades a Administración y empresas. Los preceptos de protección de datos deberán integrarse desde el principio en cualquier proyecto, producto o servicio que requiera gestión de datos personales (privacidad por diseño), con la obligación añadida de que en su configuración automática por defecto sólo recopile y gestione aquellos datos que sean estrictamente necesarios (privacidad por defecto). Además, en determinados casos, los responsables deberán evaluar con carácter previo los procedimientos de tratamiento de datos personales para evitar posibles riesgos (Data Protection Impact Assessment, DPIA). Otro elemento muy destacable de la reforma es que introduce el concepto de accountability, que implica que no sólo existe responsabilidad por una infracción, sino que la no adopción de todas las medidas requeridas para el perfecto cumplimiento normativo, o falta de diligencia, supone también una responsabilidad punible.
APEP quiere destacar que los profesionales de la privacidad se encuentran en el centro de la reforma de la protección de datos, al asumir nuevas responsabilidades y exigírseles todavía más rigor en el desarrollo de metodologías de cumplimiento normativo. De este modo se les requerirán nuevas competencias, mayor formación y su acreditación de especialización a través de certificaciones confiables. De este modo, cabe reseñar que la norma introduce la figura del DPO, que será obligatorio para la Administración y para empresas que cumplan una serie de requisitos, fundamentalmente, que realicen una monitorización periódica y sistemática de datos a gran escala (estudios de solvencia, mercados, riesgos?) o gestionen datos de categorías especiales (datos considerados sensibles). APEP venía destacando desde hace años, tanto a nivel nacional como europeo (siendo miembro fundador de la Confederation of European Data Protection Organisations-CEDPO ) la utilidad de esta figura del DPO en aras de una mejor gestión de la protección de datos y la privacidad en las organizaciones y del respeto al derecho fundamental. Y también para promover la integración y toma en consideración de la privacidad como valor añadido de las empresas en un mercado global competitivo.
Pero, la Asociación reclama a las instituciones que definan de la forma más concreta posible la figura del DPO, garantizando que estos profesionales tengan una formación y conocimientos adecuados y puedan ser identificados fácilmente. Para este particular APEP ya trabaja para formar y acreditar a los profesionales expertos en privacidad en España, a través de su rigurosa y transparente Certificación APEP ACP  (APEP-CertifiedPrivacy) y sus cursos de formación especializada , que a su vez sirven para conseguir la Certificación APEP ACP. Parece oportuno destacar en este sentido que la Asociación considera esencial la figura del profesional experto en privacidad y protección de datos, también, para dar garantía, confianza y seguridad en el mercado.
?El DPO constituirá una figura esencial, un apoyo indispensable para el despliegue de una futura Norma particularmente complicada. Su deber consistirá sin duda en asegurar el cumplimiento normativo diligente, y por tanto accountable, de los responsables haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos del negocio, y la garantía del derecho fundamental a la protección de datos y la seguridad de la información.

LAS EMPRESAS, OBLIGADAS A REGISTRAR A DIARIO LA JORNADA DE CADA TRABAJADOR  17-11-2016
La Inspección de Trabajo intensifica el seguimiento de las horas extra en las pymes asturianas y verifica si disponen de un sistema de control.
Nuestra solución iPunch resuelve éste y otros muchos problemas comunes a las Empresas.

Pág. anterior (11) 
Ir a la pagina... 1  2  3  4  5  6  7  8  9  10  11  12  13  Pág. siguiente (13)

© 2002-2017 Aemol Consulting® · No te espiamos: no usamos cookies propias ni de terceros, pero puedes consultar nuestros avisos legales más abajo. En algunas páginas pueden contener cookies exclusivamente de navegación. No existen cookies de terceros ni se almacena dato alguno ajeno a esta sesión.
Consulta nuestro Código de Conducta 
Avisos Legales:
En virtud de la legislación vigente en España, le informamos de nuestros datos mercantiles: Aemol Consulting®, empresa domiciliada en Madrid con número de identificación Fiscal B87434148, registrada en el Registro Mercantil de Madrid Tomo 34195, Folio 10, Hoja M-615107. En el servidor donde se encuentra alojado este sitio no se almacena información alguna de los visitantes ni de los clientes. De cualquier forma, a través del correo electrónico, puede ejercitar sus derechos y acceder, modificar o dar de baja los datos personales que en virtud de nuestras relaciones comerciales pudieran existir en nuestros ficheros, todos ellos registrados en la Agencia española de Protección de Datos. Se reconoce la propiedad intelectual de las marcas mencionadas en este sitio web, a cada uno de sus respectivos propietarios. Toda la información gráfica como escrita recopilada en este sitio web pertenece y está ampara por copyright a favor de Aemol Consulting®. Aemol Consulting® no asume responsabilidad, y la declina explícitamente, alguna por los contenidos que puedan existir en otros sitios web que pudieran aparecer aquí vinculados o mencionados.