La Voz de Galicia lavozdegalicia.es - blogs | Inmobiliaria | Empleo | Mercadillo

Entradas etiquetadas como ‘aepd’

La nueva Evaluación de Impacto de Protección de Datos (Reglamento UE)

miércoles, abril 27th, 2016

Ya está. Ya lo tenemos aquí. Tras cuatro años de tramitación, el nuevo Reglamento General de la Protección de Datos de la Unión Europea ha sido finalmente aprobado por el pleno del Parlamento Europeo el pasado 14 de abril de 2016.

Lupa.na.encyklopedii

Esta norma, que será de aplicación directa en todos los países de la UE sin necesidad de transposición legal interna, trae muchas novedades que tendremos la oportunidad de analizar hasta su plena entrada en aplicación allá por 2018.

Una de las que más me ha llamado la atención es, sin duda, la nueva obligación de llevar a cabo una “Evaluación de Impacto relativa a la protección de datos” contemplada en el artículo 35 del nuevo texto jurídico.

¿Qué significa esta obligación?

Obviamente, recuerda bastante a la famosa “Evaluación de Impacto Ambiental” preceptiva en todo proyecto que pueda afectar el entorno medioambiental y no anda muy lejos, como veremos.

La Evaluación de Impacto de Protección de Datos se exigirá siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas”. Como veis, un concepto muy ambiguo pero su definición tendrá una gran importancia en la práctica, pues obligará al responsable a realizar un detallado estudio previo, que no será sencillo.

Afortunadamente, el Reglamento nos da “pistas” sobre en qué casos concretos será exigible. De modo resumido, serían éstos:

  • Tratamientos que impliquen una “evaluación sistemática y exhaustiva de aspectos personales”, con base tecnológica, como la elaboración de perfiles, sobre cuya base se tomen decisiones que produzcan efectos jurídicos para los interesados;
  • Tratamiento a gran escala de datos sensibles, que ahora se redefinen como: la raza, la ideología o creencias, los datos genéticos, datos biométricos identificativos, datos de salud, vida u orientación sexual y condenas e infracciones penales y
  • La observación sistemática a gran escala de una zona de acceso público.

Estos casos deberán ser concretados y publicados en una lista por parte de la autoridad de control, en nuestro país, la Agencia de Protección de Datos, la cual podrá también publicar la lista de los tipos de tratamiento que no requerirán dichas evaluaciones de impacto previas, de modo coherente con el resto de autoridades de la Unión Europea.

 

Y, ¿cómo se realiza la Evaluación de Impacto de Protección de Datos?

Para la elaboración de este estudio, el responsable del tratamiento deberá recabar el asesoramiento del llamado “delegado de protección de datos” o DPO, otra importante novedad del Reglamento, cuya contratación se exige para determinados tipos de entidades y situaciones.

En cualquier caso, el contenido mínimo de la Evaluación de Impacto deberá ser:

  • La descripción detallada de lo siguiente:
    1. las operaciones de datos previstas,
    2. las distintas finalidades del tratamiento y
    3. En su caso, del interés legítimo perseguido por el responsable;
  • Un análisis de la necesidad y la proporcionalidad de las antedichas operaciones de tratamiento en relación a su finalidad;
  • La necesaria evaluación de los riesgos para los derechos y libertades de los interesados anteriormente mencionados, y
  • Las medidas previstas para afrontar dichos riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos y demuestren el cumplimiento del Reglamento.

Otros contenidos adicionales, en su caso, serían:

  • Referencia a posibles Códigos de Conducta aplicables (una herramienta muy útil para la autorregulación de sectores de actividad concretos).
  • Recabo de la opinión de los interesados o de sus representantes, sin perjuicio de la protección de intereses públicos o comerciales o la seguridad del tratamiento.

Finalmente, el Reglamento dispensa de realizar dicha Evaluación de Impacto si se trata de tratamientos que dimanen de una obligación legal y para los cuales se haya realizado ya una Evaluación de Impacto General con la adopción de su base jurídica.

Eso sí, si ya se ha realizado una Evaluación de Impacto de Protección de Datos y al menos cuando haya un cambio de riesgo posterior, el responsable deberá volver a revisarla y comprobar su conformidad con las nuevas circunstancias.

Según el resultado de la Evaluación, el responsable deberá actuar o no y, en su caso, incluso realizar una consulta previa ante la autoridad de control (nuestra Agencia Española de Protección de Datos) cuando se detecte un alto riesgo para los derechos de los afectados.

Sin duda, traerá cola.

 

Publicado originalmente en: http://pintos-salgado.com/2016/04/27/la-nueva-evaluacion-de-impacto-de-proteccion-de-datos-reglamento-ue/

El SPAM mediante SMS

jueves, marzo 17th, 2011

Estamos acostumbrados a oír de hablar del SPAM en el correo electrónico. De hecho, es un mal que sufrimos a diario.

Sin embargo, existe otros tipos de SPAM de los que ya hemos tenido la oportunidad de hablar en otras ocasiones como el SPAM telefónico.

En concreto, hoy me gustaría abordar el no tan manido pero igualmente molesto SPAM mediante mensajes a móviles de tipo SMS.

Seguro que, en alguna ocasión, hemos recibido mensajes publicitarios en nuestro teléfono móvil sin que, en ningún momento, los hayamos solicitado o hayamos dado nuestra autorización para recibirlos.

Un caso especialmente masivo fue la reciente campaña relativa a un concurso de Antena 3 Televisión que ya fue tratado en el blog de nuestro compañero Samuel Parra y dio lugar a un buen número de denuncias ante la Agencia Española de Protección de Datos (AEPD).

Pues bien, en los últimos días se han conocido ya dos sanciones impuestas por la AEPD a Antena 3 Televisión y a la productora Zed Worldwide por un importe total que ronda los 70.000 euros para ambas entidades: la Resolución R/01396/2010 y la Resolución R/01729/2010.

A muchos ha sorprendido, sin embargo, que estas sanciones no se basen en un incumplimiento de la famosa Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) sino, especialmente, de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). Esto es debido a que la Ley 59/2003, de 19 de diciembre, de firma electrónica atribuyó competencias a la propia AEPD para conocer de determinadas infracciones de la LSSI y, en particular, del incumplimiento del artículo 21 y concordantes de dicha Ley relativo al SPAM.

¿Y cuáles son la obligaciones que impone la LSSI al respecto?

Pues, muy sencillo. Podemos resumirlas en los siguientes puntos:

1- Identificación clara del mensaje publicitario mediante la inclusión de la palabra “Publi” o “publicidad” al comienzo del mismo.

2- Identificación con datos del anunciante y, en su caso, acceso a las condiciones generales y bases de concursos y acciones promocionales.

3- Solicitud o consentimiento expreso previo de cada uno de los destinatarios para recibir publicidad por dicho medio (salvo excepciones muy tasadas).

4- Dar opción de oponerse al tratamiento, mediante un procedimiento sencillo y gratuito, para darse de baja y evitar futuros envíos.

A pesar de su claridad y simplicidad, son muchos los abusos que se han cometido (y que se siguen cometiendo) por parte de todo tipo de proveedores y anunciantes que se dirigen con demasiada frecuencia a nuestros móviles.

Confiemos en que estas prácticas ilícitas sean poco a poco desterradas en el futuro.

¿Puedo borrar mis datos de Google?

jueves, enero 20th, 2011

Todos tenemos un pasado. Algún día, fuimos jóvenes (los más afortunados, aún lo sois) y cometimos alguna que otra “locura” que no quedaría bien en un curriculum vitae al uso.

Normalmente, dichas locuras quedan simplemente en el recuerdo o en alguna que otra vieja fotografía que ha sobrevivido a sucesivas “purgas” en algún álbum perdido en el trastero.

Foto bajo CC por Libertinus Yomango

Foto bajo CC por Libertinus Yomango

Lo sé, hoy en día (me diréis) esa foto puede estar en Facebook o su vídeo en Youtube para escarnio y vergüenza de su protagonista. Esto es cierto, pero de ello ya hemos hablado y hablaremos otro día.

Lo que ahora me preocupa es qué pasa con aquellos casos en los que la información en cuestión se publica en un medio que, por su misma esencia, no puede alterar su contenido: Me refiero a un boletín oficial o a un medio de comunicación cuyas reseñas no se pueden eliminar una vez publicadas (salvo en lo referente a la vía de “corrección de errores”).

Esto es un caso muy habitual: imaginemos que nos ponen una multa por exceso de velocidad o por orinar en la calle. ¿Qué ocurre con todas esas multas que no hemos ido a recoger a correos? Pues que acaban publicándose en el Boletín Oficial correspondiente (Generalmente el BOP) y, aunque la paguemos o la recurramos e, incluso, la ganemos, lo cierto es que ya nunca se podrá eliminar de allí.

Obviamente, esto no suponía un problema hace 10 años: ¿Quién se iba a leer un Boletín Oficial perdido en una estantería? En este sentido, nuestra “dignidad y privacidad” estaban a salvo.

Sin embargo, hoy en día todos los Boletines Oficiales ya tienen su versión electrónica y, gracias a la “magia” de los buscadores modernos, ese antiguo “dato perdido” en una estantería aparece destacado cuando alguien simplemente busca nuestro nombre completo en Google.

Por tanto, el problema no es tanto que el BOP haya publicado algo sobre nosotros sino que Google lo haya indexado y destacado de modo tan penosamente eficiente. Atacando, en definitiva, tanto a nuestra privacidad como a nuestro honor.

Desgraciadamente, no sólo se publican multas en los Boletines: hay casos más graves aún, como la declaración de determinadas incapacidades o, incluso, la concesión de un indulto de una condena previa por un delito cometido hace años y que no puede constar ya como antecedente penal en el registro oficial.

Lo cierto es que, desde que se dieran los primeros casos, ya se han planteado un centenar de este tipo ante la Agencia Española de Protección de Datos (AEPD) reclamando que dichos datos sean eliminados, no ya de sus fuentes originales, sino del propio buscador Google. Dichos casos, han sido resueltos por la AEPD en el sentido de solicitar a Google la retirada de dichas referencias.

Sin ir más lejos, ayer se han visto en la Audiencia Nacional los primeros 5 casos ante la repetida negativa de Google a eliminar dichos enlaces de su sistema.

Lo que está en juego es el reconocimiento efectivo del, tan traído y llevado, derecho al olvido de nuestros datos en Internet.

Los argumentos de Google son, en resumen, los siguientes:

  1. Que los contenidos no son suyos y, por tanto, no les compete a ellos su eliminación sino al responsable de su introducción en la Red; y
  2. Que es técnicamente inviable impedir que dicho enlace vuelva a aparecer debido a que sus sistema se alimenta de “robots” automáticos que constantemente rastrean la Red e, indefectiblemente, volverán a enlazar ese contenido de nuevo.

Por el contrario, la AEPD argumenta que, si bien Google no es el responsable de dichos contenidos, actúa no sólo como un mero intermediario sino como un “facilitador” decisivo en el acceso a los mismos y, por tanto, debe responder.

A mayor abundamiento y en este sentido, la Ley 34/2002, de 11 de julio, de Servicios de Sociedad de la Información y de Comercio Electrónico (LSSI) dispone que, si bien el prestador intermediario no tiene responsabilidad, a priori, por los contenidos ajenos, sí se convierte en responsable si, teniendo conocimiento efectivo de que lesionan derechos de terceros, no actúa para suprimir o neutralizar el enlace correspondiente. Así lo dispone textualmente su artículo 17.1:

“Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que:

a- No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o

b- Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.

Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.”

En este caso, se entendería que Google asumiría una responsabilidad por no eliminar dichos enlaces después de haber tenido conocimiento efectivo de su lesión del derecho a la protección de datos y del honor de las personas mediante su notificación por parte de la AEPD.

Habrá que estar atentos a las sentencias firmes que se produzcan en el futuro inmediato sobre este asunto.

Como hemos apuntado, el derecho al olvido en Internet está ahora en juego en nuestros tribunales.

 

Actualización:

Enlace de interés:

Servicio de Reputación Online de Pintos & Salgado Abogados: http://pintos-salgado.com/servicio-reputacion-online/

Una Agencia de Protección de Datos para Galicia

jueves, junio 10th, 2010

Esta semana saltaba la noticia: El director de la Agencia Española de Protección de Datos se reúne con sus homólogos de las Agencias autonómicas. Desgraciadamente, la gallega no está entre ellas.

apd_galicia

En estos momentos, somos la única de las llamadas “Comunidades Históricas” que no tenemos este fundamental organismo. Tanto Cataluña como el País Vasco la tienen, además de Madrid que tiene tanto la central como la autonómica.

Pero, me diréis, ¿para qué sirve una Agencia de Protección de Datos?

Pues bien, una APD es un ente público autónomo que tiene como misión fundamental velar por la aplicación de la Ley Orgánica 15/1999 de Protección de Datos (LOPD) en su ámbito de competencias. Aunque su Director es nombrado por el Gobierno (a propuesta de un Consejo Asesor), su independencia está reconocida y reforzada por su inamovilidad en el cargo durante su mandato (el cuál usualmente suele coincidir entre gobiernos de distinto signo).

Por otro lado, y por imperativo legal, la APD no depende jerárquicamente de ningún Ministerio ni Consejería, teniendo total autonomía organizativa y funcional.

Entre sus variadas competencias, destacan las propias de inspección y sanción. Aquí las autonómicas se diferencian principalmente de la central en que las primeras sólo asumen dichas funciones respecto a las propias administraciones públicas locales y autonómicas de su Comunidad, mientras que la AEPD las ejerce tanto sobre el resto de administraciones como sobre todo el sector privado nacional.

¿Por qué entiendo que es fundamental tener una APD en Galicia?

Podría destacar varios motivos, como la aplicación del principio de subsidiariedad europeo, el no depender de Madrid a efectos de inspección y sanción de nuestras administraciones públicas locales y autonómica, o la necesidad de proteger un derecho fundamental desde nuestra propia tierra en un ámbito en plena expansión como es el de la administración electrónica o las redes sociales, pero voy a centrarme sólo en uno: en su fundamental papel para la formación, sensibilización y asistencia de nuestro sector público (y privado) en la responsabilidad de la protección y buen uso de los datos de todos los ciudadanos residentes en Galicia.

En la experiencia de otras Comunidades Autónomas, esto ha supuesto una aportación fundamental de sus Agencias que, desgraciadamente, no puede ser abordada en toda su amplitud por una AEPD central, cada vez más saturada y centrada principalmente en labores de instrucción y sanción.

Un ejemplo de ello ha sido, sin duda, la importantísima labor desarrollada en este sentido de la Agencia de Protección de Datos de la Comunidad de Madrid. La misma, lejos de convertirse en referente coercitivo, se ha centrado especialmente en tareas de difusión y concienciación tanto de sus administraciones “tuteadas” como del público general. Así lo avalan sus más de 30 libros especializados publicados y más de 50 seminarios y jornadas de formación impartidas a todos los niveles y campañas de sensibilización dirigidas al público sólo en lo últimos tres años.

Éste es el modelo que están imitando también el resto de Agencias autonómicas. Sus resultados, hablan por si mismos: unas administraciones públicas mucho mejor adaptadas a la LOPD y sensibilizadas respecto a la privacidad de sus ciudadanos. Esta labor social, sin duda, ha sido fundamental, diferenciadora y muy valorada por el resto de agentes públicos y privados de sus respectivos ámbitos de actuación.

¿Para cuándo una “Axencia Galega de Protección de Datos”? Esperemos que no pase mucho tiempo antes de que un Director de la AGPD represente a Galicia en una futura reunión de Agencias a nivel nacional.

¿Una LOPD para América?

jueves, mayo 6th, 2010

Definitivamente, algo está cambiando. Hace apenas dos semanas comentábamos la gran diferencia entre la normativa europea y la norteamericana a la hora de proteger (y definir) la privacidad de los ciudadanos. Básicamente, en Europa hay una fuerte tradición al respecto, con protección constitucional y legislativa de por medio en materia de protección de datos personales, y en Estados Unidos ha sido clamorosa la ausencia de una protección mínimamente equiparable… ¡Hasta hoy!

federal trade commission-sealAcaba de publicarse un Proyecto de Ley Federal en Estados Unidos que bien podría tratarse del primer paso real hacia una LOPD norteamericana: se trata del Staff Discussion Draft for a Bill to require notice to and consent of an individual prior to the Collection and disclosure of certain personal information relating to that individual(Borrador de Proyecto de Ley Federal para requerir la notificación y consentimiento de una persona antes de la recolección y divulgación de cierta información personal sobre la misma).

Esta importante iniciativa legislativa, coincide en el tiempo con la aprobación final en México de la esperada Ley Federal de Protección de Datos Personales en posesión de los particulares.

Sin duda, estos son los últimos frutos del camino iniciado el pasado noviembre durante la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada en Madrid y auspiciada por la AEPD, donde se adoptó un texto común de Estándares Internacionales sobre Protección de Datos y Privacidad (También denominado “la Resolución de Madrid”). Dicho documento pretendía servir de base para futuras normativas en la materia adoptadas por países sin tradición al respecto y, sin duda, está consiguiendo dicho objetivo.

Y es que el pasado 20 de abril, ni más ni menos que 10 Autoridades nacionales de protección de datos lanzaron un comunicado conjunto para exigir a Google y otras multinacionales de Internet el respeto por las normas de privacidad en el lanzamiento de nuevos servicios. Dicho comunicado, que se materializó en una carta abierta, fue presentado por Canadá, España, Israel, Francia y Holanda mediante rueda de prensa en Washington DC. Es decir, en la capital de un país que no cuenta con dichas normas en su legislación federal… Hasta ahora, como hemos visto.

Pero ¿Cuál es el contenido de este Proyecto de Ley Federal norteamericana? ¿Es una verdadera LOPD?

Pues no exactamente, pero vamos a hablar brevemente del contenido de este borrador en comparación con nuestra Ley Orgánica de Protección de Datos (salvando las distancias, claro). Lo resumimos en los siguientes puntos destacados:

1. Su ámbito es más limitado que el de la LOPD: se aplica sólo sobre entidades que no sean gubernamentales y que recaben datos de más de 5.000 personas al año.

2. A diferencia de la LOPD que protege cualquier información personal, el Proyecto de Ley Federal especifica los datos protegidos (“covered information”) que son: nombre, dirección, teléfono, email, identificación biométrica (huellas, retina…), números de identificación documental, datos financieros, nick o número IP en Internet, perfil de preferencias o cualquier otra información recabada en conexión con estos datos.

3. El Proyecto de Ley Federal comparte la definición esencial de “datos sensibles” de la LOPD (datos de salud, raza, religión, orientación sexual) pero añade dos nuevos tipos de datos aquí: datos financieros (saldos y movimientos de cuentas) y, como nota curiosa, datos de “geolocalización” exacta de personas.

4. En cuanto a la información obligatoria a facilitar al ciudadano a la hora de recabar sus datos, en el Proyecto de Ley Federal es sustancialmente más amplia que la exigida en la LOPD. En concreto, el Proyecto incluye: la identidad de la entidad destinataria, la descripción de la información recabada, cómo se recaba la misma, su finalidad, cómo se almacena, cómo se combina o enlaza con otra información recabada de terceros, cuanto tiempo la conserva de modo identificable, cómo se hace anónima, la finalidad para la que se puede ceder a terceros, los medios para que los interesados accedan, pregunten, limiten o prohíban su tratamiento; medio de notificación de cambios en la política de privacidad; la fecha de dicha política y un enlace a la web de la Autoridad Federal competente (la FTC). Esta información, sin embargo, sólo será exigible para los datos recabados por Internet, no si se obtienen por otros medios.

5. En cuanto al consentimiento, el Proyecto de Ley Federal obliga a obtenerlo de forma expresa o tácita, pero siempre previa notificación de la información descrita (o de sus modificaciones ulteriores) al interesado, con el procedimiento para manifestar su autorización u oposición, actual o posterior. Dicho consentimiento se exigirá siempre en el caso de finalidad de marketing, publicidad, venta o cesión de datos a otras entidades distintas. Asimismo, en el caso de datos sensibles será siempre expreso.

6. La Autoridad Federal competente para controlar su cumplimiento y sancionar, en su caso, (es decir el equivalente a nuestra AEPD) será la Federal Trade Commission (FTC) o Comisión Federal de Comercio.

7. Finalmente, destacamos que se excluye el ejercicio de Acciones Civiles directas de los particulares contra las entidades incumplidoras. Un punto polémico pero hasta cierto punto comprensible habida cuenta de las cuantiosas indemnizaciones que obtienen los particulares en acciones civiles en Estados Unidos (nada que ver con las nuestras) uniendo su condición “punitiva” y no sólo reparadora del daño.

¿Nos encontramos pues ante el germen de una futura LOPD para Estados Unidos? El tiempo lo dirá pero sin duda supondrá un importante precedente si se aprueba finalmente este Proyecto de Ley Federal, aunque sea en un ámbito tan restringido, ubicado dentro de la normativa de protección de consumidores y usuarios norteamericana.

¿Cuántos amigos tienes en tu Red Social?

martes, abril 6th, 2010

Como decía la canción de Roberto Carlos: “Yo quiero tener un millón de amigos”. Éste es el sueño dorado de muchos usuarios de Redes Sociales. De hecho, el número de amigos en Facebook o Tuenti o de seguidores en Twitter se ha convertido en un símbolo de prestigio social en la Red (y fuera de ella).

Si eres uno de estos usuarios “coleccionistas de amigos” debes de ser especialmente cauteloso con lo que compartes en la Red. Y no sólo por los motivos obvios de mantener protegida tu privacidad sino también porque, como bien apuntó Samuel Parra, “podrías tener un problema legal” dado que se te podrían aplicar las obligaciones de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Demasiados Amigos en Facebook para la AEPD

Según el reciente Informe Jurídico 0615-2008 de la Agencia Española de Protección de Datos (AEPD), tener un número demasiado alto de amigos podría exceder el ámbito de nuestras “relaciones privadas” y, por tanto, entenderse como una posible comunicación pública ilícita.

En efecto, el artículo 2.2.a) de la LOPD excluye de la aplicación de la Ley a aquellos ficheros que se usen “exclusivamente” en el ámbito privado. Dicho artículo dispone lo siguiente:

“ El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.”

Pero, ¿Qué se entiende por “actividad personal o doméstica”?

Como bien refiere el citado Informe de la AEPD, este concepto fue aclarado por la Sentencia de 15 de junio de 2006 de la Audiencia Nacional del siguiente modo:

“Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos.”

¿Y cómo se traduce esto en el ámbito de las Redes Sociales?

Se remite aquí el Informe al Dictamen 5/2009 relativo a las redes sociales en línea, adoptado el 12 de junio de 2009 por el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, órgano consultivo independiente de la UE sobre protección de los datos y la vida privada. Dicho Dictamen señala que:

“Generalmente, el acceso a los datos de un usuario (datos del perfil, mensajes, historias…) se limita a los contactos elegidos. Sin embargo, en algunos casos, los usuarios pueden adquirir un gran número de contactos terceros y no conocer a algunos de ellos. Un gran número de contactos puede indicar que no se aplica la excepción doméstica y el usuario podría entonces ser considerado como un responsable del tratamiento de datos.”

Por tanto, argumenta la AEPD que no se beneficiarán de este concepto privilegiado de “ámbito personal” aquellos casos en que “la publicación se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito.”

¿Y en qué se traduce que se pueda aplicar la LOPD a los usuarios con “muchos amigos”?

Pues, por ejemplo, a la hora de publicar datos o imágenes de otras personas (fotos de cenas, amigos, hijos, hijos de amigos, etc.) se deberá obtener el consentimiento previo e inequívoco de dichas personas o de sus representantes legales, según concluye la AEPD, “tanto para la obtención de la imagen como para su publicación en la página web, en tanto que ésta última constituye una cesión o comunicación de datos de carácter personal tal y como viene definida por el artículo 3 j) de la LOPD, esto es, como «Toda revelación de datos realizada a una persona distinta del interesado».”

Como abogado, debo recomendaros obtener dicho consentimiento siempre por un medio que deje constancia (idealmente por escrito) ya que, como responsables del fichero, deberéis probarlo en su caso, so pena de ser sancionados con multas que oscilarán entre los 600 a 600.000 euros (no, no se me han escapado ceros de más), según los datos compartidos sean más o menos sensibles.

Y es que, también en la Redes Sociales, la popularidad tiene un precio (a veces, demasiado alto).

Día de Protección de Datos: Ni idea tras 10 años de LOPD

miércoles, enero 27th, 2010

Mañana, día 28 de enero, se celebra el “Día Europeo de la Protección de Datos”, una jornada promovida por el Consejo de Europa, la Comisión Europea y todas las autoridades de protección de datos de los países miembros de la Unión Europea, en nuestro país lo impulsa la Agencia Española de Protección de Datos (AEPD).

Día Europeo de Protección de Datos

Según la nota de prensa oficial, “la celebración del Día de Protección de Datos en Europa tiene como objetivo principal impulsar el conocimiento entre los ciudadanos europeos de cuáles son sus derechos y responsabilidades en materia de protección de datos, de forma que puedan familiarizarse con un derecho fundamental, que pese a ser menos conocido, está presente en todas las faceta de sus vidas diarias.”

Este año, la celebración es doblemente especial en España ya que se acaban de cumplir los 10 años de la entrada en vigor de nuestra LOPD.

Pero, ¿cuánto se conoce realmente esta Ley?

Pues, con ocasión de este aniversario, salieron varios reportajes en los medios de comunicación de los que destacó uno de Antena 3 Noticias que me llamó poderosamente la atención al respecto. Lo muestro a continuación:

Reconozco que estoy afectado por la deformación profesional, pero no dejo de sorprenderme ante el deficiente conocimiento que aún tenemos los ciudadanos respecto a los derechos que nos asisten en general y respecto al derecho a la protección de nuestros datos en particular.

Ello, la verdad, contrasta con la gran sensibilización de una importante parte de nuestro tejido empresarial por el mero hecho de que nuestro país es especialmente duro en cuanto a las sanciones que se aplican en caso de incumplimiento de la LOPD, que fácilmente pueden superar los 60.000 ó 300.000 euros (no, no se me han colado ceros de más), incluso en el caso de PYMES.

Sin duda, aún queda mucho camino por recorrer especialmente en labores de difusión e información social por medios más efectivos y amigables que la mera aplicación de sanciones a los incumplidores. Una muestra de ello puede ser este video promocionado por la propia AEPD desde su página web:

Vídeo sobre Internet

Muy ilustrativo sobre el preocupante tema de los menores en relación a las redes sociales sobre el que ya llamamos la atención en su día.

Aún queda, sin embargo, para que podamos ver también este tipo de vídeos en anuncios de televisión (¿Quizás con la nueva TVE “sin publicidad”?). Ello, sin duda, contribuiría a un cambio radical en el conocimiento y sensibilización de la población y de los agentes sociales ante este importante derecho fundamental.

O ¿quién no se acuerda de la famosa campaña de “Hacienda somos todos” de la Agencia Tributaria?

El “Gran Hermano” me vigila

miércoles, noviembre 11th, 2009

La cámaras nos rodean. Aunque no seamos famosos, todos los días somos vigilados por decenas de videocámaras de seguridad: por la calle, en el parking, haciendo compras, etc.

La verdad es que ya nos hemos acostumbrado pero, los últimos años, su número ha crecido exponencialmente.

logo_videovigilancia

¿Quién nos vigila y para qué?

En la magistral novela de George Orwell, “1984”, era el propio gobierno (el “Gran Hermano”) el que vigilaba sin cesar a sus ciudadanos a través de unas pantallas ubicadas incluso dentro de los domicilios.

A diferencia de la novela, lo cierto es que, hoy en día, tenemos muchos “grandes hermanos”: el supermercado, el banco, la farmacia, la tienda de ropa, el ayuntamiento, el Centro Comercial, la oficina, etc. Todos ellos, instalan y mantienen cámaras de vigilancia en sus locales.

La finalidad de estas cámaras puede ser variada:

1- Por seguridad: para vigilar y disuadir ante la posible comisión de delitos en los comercios.

2- Como medio de obtención de pruebas en un proceso de investigación criminal.

3- Para la vigilancia del cumplimiento de las obligaciones laborales, como es el caso de las cámaras ubicadas en los puestos de trabajo.

4- Como apoyo a la información meteorológica o de control del tráfico, como las que muestran en los informativos de televisión.

5- O, incluso, para la promoción turística o comercial, como son las llamadas “Webcams” que retransmiten imágenes en tiempo real a través de Internet a todo el mundo.

Vale, me vigilan, y ¿qué derechos tengo yo frente a ello?

Los principales derechos que nos protegen a los ciudadanos frente a esta vigilancia son tres: el derecho a la intimidad, el derecho a la propia imagen y el derecho a la privacidad.

El derecho a la intimidad impide que, a diferencia de la obra de Orwell, nos puedan vigilar en nuestro propio domicilio o en nuestras comunicaciones privadas.

Por su parte, el derecho a la propia imagen garantiza el anonimato a todas las personas que no autoricen que su imagen física se haga pública a través de un medio de comunicación.

En los supuestos comentados de Webcams o de información meteorológica o de tráfico, dado que son imágenes que se hacen públicas, la normativa exige que no se pueden mostrar personas que resulten “identificables”. Es decir, las cámaras deberán estar ubicadas de modo que no enfoquen a personas a corta o media distancia, como es frecuente en Webcams americanas como la conocida de Times Square de Nueva York.

Finalmente, el derecho a la privacidad, obliga a las entidades que realizan las labores de vigilancia a someterse a una serie de requisitos y a adoptar una serie de medidas en el ámbito de la protección de datos de carácter personal.

En este ámbito, es plenamente de aplicación la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal (LOPD) y, en especial, la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Entre los requisitos y obligaciones que recoge esta normativa, destacamos los siguientes:

1º- Deber de Información: todas las áreas con cámaras de videovigilancia, tanto públicas como privadas, deben estas adecuadamente señalizadas mediante un cartel visible de “Zona Videovigilada” y, en todo caso, también se pondrá a disposición del público información ampliada acerca del responsable, finalidad, uso de las imágenes captadas y derechos del interesado sobre las mismas.

2º- Se prohíbe la captación de imágenes de la calle o zonas públicas, salvo supuestos especiales.

3º- En el caso de grabación de las imágenes, sólo se podrán conservar el tiempo imprescindible con un máximo de un mes en el caso de vigilancia de seguridad.

4º- En su caso, se comunicará la existencia de la videovigilancia a la propia Agencia Española de Protección de Datos (AEPD) además de a las autoridades gubernativas competentes.

El incumplimiento de estas obligaciones, puede dar lugar a fuertes sanciones económicas para la entidad responsable.

En cualquier caso, está en nuestra mano ejercer nuestros derechos y, si no son respetados, denunciar al responsable ante la AEPD para protegerlos.

La Propia AEPD ha editado una Guía divulgativa en materia de Videovigilancia cuya lectura recomendamos.

¿Cómo borro mis datos de Internet?

miércoles, septiembre 30th, 2009

Sin duda, una de las experiencias más impactantes es buscar nuestro nombre en Google. Todavía se hace más intensa si entrecomillamos nuestro nombre completo en el campo de búsqueda. Los resultados son sorprendentes y, en ocasiones y por qué no decirlo, espeluznantes. Realmente, la Red tiene mucha más información sobre nosotros de la que siquiera somos conscientes: un expediente académico, una publicación ya olvidada, nuestra ficha de antiguos alumnos, nuestro perfil en redes sociales, esa multa que no fuimos nunca a recoger a correos, y un largo etcétera.

privacy_cautionMucha de esta información (por no decir la mayoría) la hemos suministrado nosotros mismos: aquel formulario de alta en el servicio de correo gratuito o en el foro de mi cantante favorito, mi perfil de Facebook o MySpace, mi cuenta de Flickr, mi usuario con videos favoritos de Youtube, nuestro perfil profesional para búsqueda de empleo o contactos, etc. A ello se suma que no siempre el titular de la Web nos ha informado adecuadamente ni ha obtenido válidamente nuestra autorización para publicar nuestros datos en la Red.

Ante esto, vaya por delante nuestra recomendación general de limitar al máximo los datos que damos por Internet. Recientemente, se están desarrollando métodos y herramientas de software que permiten incluso la autodestrucción de dicha información pasado un tiempo desde su publicación en la Red.

Igualmente, recomendamos leer siempre la información “legal” que se debe acompañar a los formularios que cubrimos (si no es así, malo) y desmarcar o marcar las casillas donde nos piden autorización para ceder o comunicar datos a otras entidades o publicarlos en la Red. En nuestro pasado artículo “Mi hijo sale en la Red”, ya tuvimos la ocasión de comentar los requisitos que debe cumplir dicha información y recabo de consentimiento en el caso de los menores de edad.

De acuerdo, todo eso está muy bien” – me diréis – “Pero, ¿qué pasa con los datos que ya están en la Red? ¿Qué hay de la información que otros han incluido sobre mi? ¿Y ese vídeo que alguien ha colgado donde aparece mi hijo siendo acosado en el colegio? ¿Y ese foro donde se me insulta?…”

Ante esto, y como ya apuntábamos en dicho artículo, la Ley pone en nuestras manos unas armas muy poderosas para defendernos: los llamados derechos del interesado“. Dichos derechos están reconocidos por los artículos 15 y siguientes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y son principalmente los siguientes: el derecho de acceso, el derecho de rectificación y el derecho de cancelación u oposición.

Todos estos derechos pueden ser ejercidos en cualquier momento y gratuitamente por el propio titular de los datos o su representante legal frente a cualquier entidad que posea o trate dichos datos, estando obligado el responsable del tratamiento a actuar en consecuencia en el plazo taxativo de entre 10 días y un mes desde la solicitud, so pena de incurrir en importantes sanciones económicas. En concreto:

1- El derecho de acceso nos sirve para que nos informen de todos los datos que tienen sobre nosotros, así como del origen de dichos datos (de dónde los han obtenido) y a quién se los han comunicado;

2- El derecho de rectificación, nos faculta para instar la corrección de cualquier dato erróneo o incompleto sobre nosotros o nuestros representados y

3- El derecho de cancelación u oposición, supone que podemos obligar a la completa retirada o bloqueo de nuestros datos de un fichero concreto o de la Red, salvo excepción legal aplicable.

Estos derechos pueden ser ejercidos ante el propio titular o responsable de la Web a través de los medios y datos de contacto indicados por él mismo en su clausulado informativo, según viene obligado por la Ley (en ocasiones, incluso, se puede realizar simplemente por teléfono o email) y, en todo caso, sin coste alguno para el solicitante.

Para garantizar y orientar en el correcto ejercicio de estos derechos, la Agencia Española de Protección de Datos (AEPD) ha confeccionado una serie de modelos y formularios para utilizar como guía en las solicitudes de estos y otros derechos del interesado. Con base a los mismos, hemos confecionado el siguiente modelo para ejercer nuestro derecho de cancelación con el fin de borrar nuestros datos publicados en un sitio Web de Internet:

“D./ Dña. ……………………………………………………………………………………………., mayor de edad, con domicilio en la C/Plaza …………………………………………………………………………….. nº…….., Localidad ……………………………………. Provincia …………………………………… C.P . …………… Comunidad Autónoma …………………………………….. con D.N.I…………………….., del que acompaña copia, por medio del presente escrito ejerce el derecho de cancelación de conformidad con lo previsto en el artículo 16 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en los artículos 31 y 32 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la misma y en consecuencia,

SOLICITA,

Que se proceda a acordar la cancelación de los datos personales publicados sobre mi persona en la siguiente dirección de Internet: ___________________________ en forma de texto/imágenes y/o vídeo, que se realice en el plazo de diez días a contar desde la recogida de esta solicitud, y que se me notifique de forma escrita el resultado de la cancelación practicada.

Que en caso de que se acuerde dentro del plazo de diez días hábiles que no procede acceder a practicar total o parcialmente las cancelaciones propuestas, se me comunique motivadamente a fin de, en su caso, solicitar la tutela de la Agencia Española de Protección de Datos, al amparo del artículo 18 de la citada Ley Orgánica 15/1999.

Que si los datos cancelados hubieran sido comunicados previamente se notifique al responsable del fichero la cancelación practicada con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el artículo 4 de la mencionada Ley Orgánica 15/1999.

En ……………………….a………de………………………de 20……


Firmado: …………………..”

Con el correcto y asiduo ejercicio de estos derechos podremos controlar y limitar mucha de la información que, sobre nosotros, se publica a diario en la Red. Está en nuestras manos proteger nuestra información y la de nuestros hijos.

Actualización:

Enlace de interés:

Servicio de Reputación Online de Pintos & Salgado Abogados: http://pintos-salgado.com/servicio-reputacion-online/

 

Yes, we Spam?

jueves, septiembre 17th, 2009

Sí, lo sé, no buscamos novia en Rusia, no queremos modificar partes de nuestra anatomía ni, de momento, necesitamos Viagra. Sin embargo, todos los días recibimos ofertas de este tipo en nuestro buzón de correo electrónico ¡y a montones!

No al Spam

El Spam, o correo electrónico publicitario no solicitado, se ha convertido en una lacra para el internauta. Continuamente, nos vemos obligados a bucear entre decenas o incluso cientos de mensajes de correo basura para rescatar nuestros casi ahogados correos legítimos.

En los últimos años, los gobiernos a nivel mundial han legislado y actuado activamente contra esta práctica. Incluso en Estados Unidos, donde tuvo su origen y donde, según un reciente informe, se sigue originando el mayor porcentaje de Spam del Mundo, ya se están viendo condenas criminales, con penas que superan los dos años de prisión, para los llamados “spammers”.

De un modo más taimado, la Unión Europea, a través de su Directiva 2000/31/CE de Comercio Electrónico, dejó en manos de los Estados Miembros la decisión de prohibir el Spam completamente o bien permitirlo dando a los internautas la posibilidad de registrarse en unas listas especiales de exclusión o de “opt out”.

Nuestro país ha optado por la decisión más restrictiva: la completa prohibición del Spam. Así, el artículo 21.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) dispone que:

“Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”

En base a ello, para enviar legalmente información comercial en España por email es necesario obtener el previo consentimiento expreso del destinatario. Es decir, la persona o entidad que quiera enviarnos información publicitaria por dicho medio debe preguntarnos si queremos recibirla y aguardar nuestra respuesta afirmativa (y todo ello, por supuesto, antes de enviarnos ninguna publicidad). ¿Y si no contestamos? Pues la Ley estima que nuestra respuesta es negativa y el remitente no podrá enviarnos dicha publicidad.

Esto, sin duda, ha sido un golpe muy duro para nuestras empresas las cuales han visto una seria desventaja competitiva en relación a otras legislaciones más “benévolas”. Es por ello que este artículo fue reformado posteriormente para añadir la siguiente excepción en su apartado 2:

Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.”

Es decir, que si hemos sido clientes de una empresa y le hemos facilitado nuestros datos de forma legítima (en particular nuestra dirección de email), dicha empresa puede enviarnos publicidad sobre productos similares por email sin ser catalogada como eventual “spammer” por nuestra legislación.

Eso sí, dicho apartado dispone finalmente que “En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.”

Una práctica muy sencilla de ejercer este derecho de oposición es, simplemente, contestar al correo no deseado con la palabra “BORRAR” en el encabezado o en el cuerpo del mensaje.

El incumplimiento de esta legislación en España acarrea fuertes sanciones económicas que pueden alcanzar los 150.000 euros de multa para la persona o entidad originaria del Spam.

Dichas sanciones son impuestas por la Agencia Española de Protección de Datos (AEPD – www.agpd.es), la cual se encarga de inspeccionar de oficio o por denuncia previa a los eventuales “spammers” establecidos en nuestro país.

Por cierto, la propia AEPD ha elaborado una Guía para la lucha contra el Spam con una serie de recomendaciones prácticas y útiles para prevenirlo a nivel de usuario.