La Voz de Galicia lavozdegalicia.es - blogs | Inmobiliaria | Empleo | Mercadillo

Entradas etiquetadas como ‘lopd’

La nueva Evaluación de Impacto de Protección de Datos (Reglamento UE)

Miércoles, Abril 27th, 2016

Ya está. Ya lo tenemos aquí. Tras cuatro años de tramitación, el nuevo Reglamento General de la Protección de Datos de la Unión Europea ha sido finalmente aprobado por el pleno del Parlamento Europeo el pasado 14 de abril de 2016.

Lupa.na.encyklopedii

Esta norma, que será de aplicación directa en todos los países de la UE sin necesidad de transposición legal interna, trae muchas novedades que tendremos la oportunidad de analizar hasta su plena entrada en aplicación allá por 2018.

Una de las que más me ha llamado la atención es, sin duda, la nueva obligación de llevar a cabo una “Evaluación de Impacto relativa a la protección de datos” contemplada en el artículo 35 del nuevo texto jurídico.

¿Qué significa esta obligación?

Obviamente, recuerda bastante a la famosa “Evaluación de Impacto Ambiental” preceptiva en todo proyecto que pueda afectar el entorno medioambiental y no anda muy lejos, como veremos.

La Evaluación de Impacto de Protección de Datos se exigirá siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas”. Como veis, un concepto muy ambiguo pero su definición tendrá una gran importancia en la práctica, pues obligará al responsable a realizar un detallado estudio previo, que no será sencillo.

Afortunadamente, el Reglamento nos da “pistas” sobre en qué casos concretos será exigible. De modo resumido, serían éstos:

  • Tratamientos que impliquen una “evaluación sistemática y exhaustiva de aspectos personales”, con base tecnológica, como la elaboración de perfiles, sobre cuya base se tomen decisiones que produzcan efectos jurídicos para los interesados;
  • Tratamiento a gran escala de datos sensibles, que ahora se redefinen como: la raza, la ideología o creencias, los datos genéticos, datos biométricos identificativos, datos de salud, vida u orientación sexual y condenas e infracciones penales y
  • La observación sistemática a gran escala de una zona de acceso público.

Estos casos deberán ser concretados y publicados en una lista por parte de la autoridad de control, en nuestro país, la Agencia de Protección de Datos, la cual podrá también publicar la lista de los tipos de tratamiento que no requerirán dichas evaluaciones de impacto previas, de modo coherente con el resto de autoridades de la Unión Europea.

 

Y, ¿cómo se realiza la Evaluación de Impacto de Protección de Datos?

Para la elaboración de este estudio, el responsable del tratamiento deberá recabar el asesoramiento del llamado “delegado de protección de datos” o DPO, otra importante novedad del Reglamento, cuya contratación se exige para determinados tipos de entidades y situaciones.

En cualquier caso, el contenido mínimo de la Evaluación de Impacto deberá ser:

  • La descripción detallada de lo siguiente:
    1. las operaciones de datos previstas,
    2. las distintas finalidades del tratamiento y
    3. En su caso, del interés legítimo perseguido por el responsable;
  • Un análisis de la necesidad y la proporcionalidad de las antedichas operaciones de tratamiento en relación a su finalidad;
  • La necesaria evaluación de los riesgos para los derechos y libertades de los interesados anteriormente mencionados, y
  • Las medidas previstas para afrontar dichos riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos y demuestren el cumplimiento del Reglamento.

Otros contenidos adicionales, en su caso, serían:

  • Referencia a posibles Códigos de Conducta aplicables (una herramienta muy útil para la autorregulación de sectores de actividad concretos).
  • Recabo de la opinión de los interesados o de sus representantes, sin perjuicio de la protección de intereses públicos o comerciales o la seguridad del tratamiento.

Finalmente, el Reglamento dispensa de realizar dicha Evaluación de Impacto si se trata de tratamientos que dimanen de una obligación legal y para los cuales se haya realizado ya una Evaluación de Impacto General con la adopción de su base jurídica.

Eso sí, si ya se ha realizado una Evaluación de Impacto de Protección de Datos y al menos cuando haya un cambio de riesgo posterior, el responsable deberá volver a revisarla y comprobar su conformidad con las nuevas circunstancias.

Según el resultado de la Evaluación, el responsable deberá actuar o no y, en su caso, incluso realizar una consulta previa ante la autoridad de control (nuestra Agencia Española de Protección de Datos) cuando se detecte un alto riesgo para los derechos de los afectados.

Sin duda, traerá cola.

 

Publicado originalmente en: http://pintos-salgado.com/2016/04/27/la-nueva-evaluacion-de-impacto-de-proteccion-de-datos-reglamento-ue/

Seminarios CPETIG en LOPD y eAdministración Judicial

Viernes, Mayo 16th, 2014

Tenemos el honor de colaborar, gracias al Colegio Profesional de Ingenieros Técnicos en Informática de Galicia (CPETIG) y a la Xunta de Galicia, en la celebración de sus Seminarios sobre “Protección de Datos, eAdministración y Expediente Electrónico en la Administración de Justicia”, dirigidos a Jueces, Fiscales, profesionales de la Justicia y expertos interesados.

Dichos seminarios, se celebrarán de forma paralela en Santiago de Compostela y en Vigo, los días 22 y 23 de mayo de 2014 (jueves y viernes, respectivamente), de 16:00 a 20:00.

Tenemos también la fortuna de contar en el mismo con Prof. Dr. Francisco Javier Sanz Larruga, consumado experto en administración electrónica y Catedrático de Derecho Administrativo de la Universidad de A Coruña) y Dr. Antonio Gudín Rodríguez-Magariños, Secretario del Juzgado Central de Instrucción nº 6 de la Audiencia Nacional, y con amplia experiencia en el primer modelo de éxito de implantación del expediente judicial electrónico en España.

El objetivo de estos seminarios, es informar sobre los aspectos más relevantes de la normativa de protección de datos y de la administración electrónica judicial, así como de los importantes beneficios de la incorporación y uso de las nuevas tecnologías en el proceso judicial. En particular, se abordará tanto la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) como la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia (LUTICAJ).

Muchas gracias, tanto al CPETIG como a la AMTEGA de la Xunta de Galicia, por confiar de nuevo en nosotros!

A continuación, indicamos el enlace con toda la información, inscripciones y programa:

http://cpetig.org/gl/component/virtuemart/?page=shop.product_details&flypage=flypage_cpetig.tpl&product_id=27&category_id=3&vmcchk=1

 

Publicado Originalmente en: http://pintos-salgado.com/2014/05/16/seminarios-cpetig-en-lopd-y-eadministracion-judicial/

Cómo cumplir la ley en Internet y no morir en el intento ;-)

Jueves, Abril 3rd, 2014

La semana pasada, tuve el gran placer de intervenir en los desayunos de WeKCo, sin duda uno de los centros de coworking de referencia en Galicia para empresas startups tecnológicas.

El título de mi intervención fue “¿Hay Derecho 2.0?” o “Cómo cumplir la ley en una startup TIC y no morir en el intento ;-)”.

Lanzar una startup ya es, en sí mismo, un deporte de riesgo. Si además lo hacemos en el cambiante y desafiante entorno TIC, es ya una auténtica heroicidad, no digamos si le sumamos el hecho de tener que lidiar con un entorno legal ambiguo y vagamente adaptado a esta nueva realidad. Para ayudar a no ahogarse en el intento, en el #WeKCoDesayuno intenté dar algunas claves para evitar los #fails más peligrosos en este entorno.

Un pequeño salvavidas legal para nuestros aguerridos y tan necesarios emprendedores de Internet…

Gracias al gran trabajo de GMO Comunicación, os dejo su magnífico resumen de mi intervención publicado en el blog de WekCo:

http://wekco.net/asi-fue-el-wekcodesayuno-con-victor-salgado/

Muchas gracias y hasta la próxima!

¿Por qué son gratis las redes sociales?

Jueves, Marzo 14th, 2013

Parece una pregunta baladí pero nos hemos acostumbrado tanto al llamado “todo gratis” de Internet que no nos paramos a pensarlo: ¿Por qué son gratis las redes sociales? ¿Por qué son gratis las búsquedas? ¿Son acaso ONGs quienes ofrecen estos servicios? Por supuesto que no, son empresas que, como Facebook o Google, se valoran en miles de millones precisamente por el ofrecimiento de este tipo de servicios.

Entonces, ¿dónde está el truco? Porque, ya lo decía mi abuela:  “Nadie da duros a cuatro pesetas”.

Autor: Ruth Suehle para opensource.com bajo licencia CC

Pues bien, el truco está en que en realidad no son gratis en absoluto sino que pagamos con otra moneda distinta y que nos afecta directamente: nuestra privacidad.

De hecho, gracias a la más permisiva legislación de Estados Unidos y a la mayor mentira de Internet: “He leído atentamente y acepto las condiciones de uso”, todos los datos personales así como todos los contenidos que publicamos o introducimos en estos servicios, pertenecen legalmente a los proveedores. De ello hemos hablado ampliamente en otros artículos del blog: aquí y aquí. Ello hace, por ejemplo, que Facebook haya sido valorada en unos 80.000 millones de dólares. ¿Qué vale esta exorbitada cantidad en Facebook? ¿Su tecnología? ¿Sus instalaciones? No. Lo valen los datos y contenidos de más de mil millones de seres humanos que en este momento son usuarios de su red social.

Lo mismo cabe decir de Google: cada vez que hacemos una búsqueda, ésta se indexa y se vincula a nuestro perfil, al igual que todo lo que publicamos o enviamos a través de sus múltiples y variados servicios (Sí, también Gmail).

Y ello ¿para qué? Pues la finalidad principal, según informan los proveedores con este modelo de negocio, es la construcción de perfiles avanzados para su explotación publicitaria. Es decir, saber nuestros intereses, gustos y aficiones a fin de mostrarnos información comercial optimizada que, esta vez sí, venden económicamente  a sus verdaderos clientes: los anunciantes.

Es posible que nos pueda parecer un intercambio justo, especialmente en un contexto actual de crisis económica en la que cada euro debe ser medido “al gramo” (y, si no, que se lo cuenten a WhatsApp), pero lo cierto es que este modelo de negocio supone un riesgo enorme para nuestra privacidad e intimidad del cual, al menos, debemos de ser conscientes:

Esta semana el diario El Mundo ha publicado una noticia muy reveladora al respecto: “Los riesgos para la intimidad de los ‘Me gusta’ de Facebook” donde se hace eco de un informe publicado en Estados Unidos por investigadores de la Universidad de Cambridge sobre una base de 58.000 usuarios. Este estudio advierte de que, simplemente por el mero hecho de marcar el botón “me gusta” de Facebook, se puede deducir un completo perfil de personalidad del individuo y revelar información muy sensible de su intimidad: “Preferencias políticas, gustos personales, orientación sexual, creencias religiosas, rasgos de la personalidad, estabilidad emocional, etnia, edad, sexo o cociente intelectual” son algunos de los datos que, según los investigadores, pueden ser inferidos fácilmente de nuestro comportamiento en la red social.

Este “data mining” choca directamente con la legislación europea, mucho más protectora de la privacidad de los ciudadanos que la americana y en actual proceso de revisión para, entre otras cosas, poder aplicarse más claramente a los prestadores de servicios extranjeros que traten datos de europeos. No nos deben sorprender medidas como la adoptada por un estado de Alemania que en 2011 declaró ilegal la integración del botón “me gusta” de Facebook por parte de los administradores web de su región.

En España, dicha información es catalogada como datos sensibles por la Ley Orgánica 15/1999, de Protección de Datos de Carácter personal (LOPD) y requiere un consentimiento expreso y/o por escrito para su recogida y tratamiento, siempre que el mismo fuera “adecuado, pertinente y no excesivo” para la finalidad declarada, lo cual muy difícil por no decir imposible para uso publicitario.

En definitiva, debemos de hacernos la siguiente pregunta: ¿Por cuánto venderíamos nuestra intimidad?

Videoblog: Privacidad en Internet

Jueves, Diciembre 1st, 2011

Muchos ríos de tinta (y de bits) se han vertido sobre la privacidad en Internet. Ayer mismo se publicaba que Facebook ha acordado con las autoridades de Estados Unidos cambios en sus prácticas de privacidad, así como el sometimiento a un control más estricto de la misma. Pero, ¿cómo se entienden este tipo de noticias? ¿Cuál es el verdadero régimen de la privacidad en Internet? ¿Qué diferencias hay entre los EE.UU. y la Unión Europea en materia de protección de datos?

Éstas y otras cuestiones son las que intentaré abordar en el videoblog de hoy:

Imagen de previsualización de YouTube

Gracias por la excelente acogida, ánimos y comentarios sobre este “videoblog-experimento” que inauguramos ya la semana pasada. Sin vosotros, nada de esto tendría sentido.

Privacidad en redes sociales: conferencia para B.Web

Lunes, Mayo 30th, 2011

Durante los próximos días 2 y 3 de junio tendrá lugar en EXPOCoruña uno de los grandes eventos de referencia en materia de comunicación y marketing empresarial: El II Encuentro profesional online & digital business B.Web 2011.

Durante el segundo de estos dos intensos y apasionantes días de actividades, tengo el honor de impartir una conferencia bajo el título Más allá de la LOPD: Privacidad en las redes sociales y normativa en el entorno online. A continuación reproduzco unas breves líneas usadas a modo de presentación:

“Hoy en día estamos inmersos en el fenómeno de la Web 2.0. Fenómenos como el de los Blogs, los foros de opinión y las webs de imágenes y vídeos publicados por los usuarios o las propias redes sociales son muy recientes y han supuesto una nueva revolución tanto dentro de la propia Red como, muy especialmente, fuera de ella.

Nos hemos acostumbrado, además, a que todos estos servicios de la Red que usamos más habitualmente sean completamente gratuitos: las bús- quedas que realizamos, nuestro correo electrónico, el perfil de nuestra red social, etc. Esto no es cierto, como veremos, en realidad estamos pagando con otra moneda que no conoce divisa: nuestros propios datos personales. Este nuevo modelo de negocio hace que, hoy más que nunca, se deba vigilar la protección de los derechos de intimidad y privacidad en la Red.

Pero, ¿Qué entendemos por intimidad? ¿Y por privacidad? ¿Qué normativa se aplica a la Red? ¿Cómo se deben proteger los datos personales en las Redes Sociales? ¿Qué obligaciones debo cumplir si tengo una Web o una página en Facebook? ¿Cómo protejo mi marca en la Red? ¿Puedo publicar una fotografía de un evento con otras personas? ¿Qué requisitos debo cumplir para hacer campaña de publicidad a través de una red social? ¿Puedo usar los datos de mis amigos? ¿Y de mis seguidores? ¿Y de mis fans?”

Para más información sobre el evento e inscripciones, podéis consultar el Programa completo aquí y su página web oficial aquí.

¡Espero veros por allí!

ACTUALIZACIÓN:

El viernes 3 de junio a las 18:00 tendré el honor de participar también en una original experiencia de “speed assesoring” para emprendedores, de la mano de Iniciador Galicia y dentro del mismo evento B.Web 2011.

El SPAM mediante SMS

Jueves, Marzo 17th, 2011

Estamos acostumbrados a oír de hablar del SPAM en el correo electrónico. De hecho, es un mal que sufrimos a diario.

Sin embargo, existe otros tipos de SPAM de los que ya hemos tenido la oportunidad de hablar en otras ocasiones como el SPAM telefónico.

En concreto, hoy me gustaría abordar el no tan manido pero igualmente molesto SPAM mediante mensajes a móviles de tipo SMS.

Seguro que, en alguna ocasión, hemos recibido mensajes publicitarios en nuestro teléfono móvil sin que, en ningún momento, los hayamos solicitado o hayamos dado nuestra autorización para recibirlos.

Un caso especialmente masivo fue la reciente campaña relativa a un concurso de Antena 3 Televisión que ya fue tratado en el blog de nuestro compañero Samuel Parra y dio lugar a un buen número de denuncias ante la Agencia Española de Protección de Datos (AEPD).

Pues bien, en los últimos días se han conocido ya dos sanciones impuestas por la AEPD a Antena 3 Televisión y a la productora Zed Worldwide por un importe total que ronda los 70.000 euros para ambas entidades: la Resolución R/01396/2010 y la Resolución R/01729/2010.

A muchos ha sorprendido, sin embargo, que estas sanciones no se basen en un incumplimiento de la famosa Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) sino, especialmente, de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). Esto es debido a que la Ley 59/2003, de 19 de diciembre, de firma electrónica atribuyó competencias a la propia AEPD para conocer de determinadas infracciones de la LSSI y, en particular, del incumplimiento del artículo 21 y concordantes de dicha Ley relativo al SPAM.

¿Y cuáles son la obligaciones que impone la LSSI al respecto?

Pues, muy sencillo. Podemos resumirlas en los siguientes puntos:

1- Identificación clara del mensaje publicitario mediante la inclusión de la palabra “Publi” o “publicidad” al comienzo del mismo.

2- Identificación con datos del anunciante y, en su caso, acceso a las condiciones generales y bases de concursos y acciones promocionales.

3- Solicitud o consentimiento expreso previo de cada uno de los destinatarios para recibir publicidad por dicho medio (salvo excepciones muy tasadas).

4- Dar opción de oponerse al tratamiento, mediante un procedimiento sencillo y gratuito, para darse de baja y evitar futuros envíos.

A pesar de su claridad y simplicidad, son muchos los abusos que se han cometido (y que se siguen cometiendo) por parte de todo tipo de proveedores y anunciantes que se dirigen con demasiada frecuencia a nuestros móviles.

Confiemos en que estas prácticas ilícitas sean poco a poco desterradas en el futuro.

¿Puedo borrar mis datos de Google?

Jueves, Enero 20th, 2011

Todos tenemos un pasado. Algún día, fuimos jóvenes (los más afortunados, aún lo sois) y cometimos alguna que otra “locura” que no quedaría bien en un curriculum vitae al uso.

Normalmente, dichas locuras quedan simplemente en el recuerdo o en alguna que otra vieja fotografía que ha sobrevivido a sucesivas “purgas” en algún álbum perdido en el trastero.

Foto bajo CC por Libertinus Yomango

Foto bajo CC por Libertinus Yomango

Lo sé, hoy en día (me diréis) esa foto puede estar en Facebook o su vídeo en Youtube para escarnio y vergüenza de su protagonista. Esto es cierto, pero de ello ya hemos hablado y hablaremos otro día.

Lo que ahora me preocupa es qué pasa con aquellos casos en los que la información en cuestión se publica en un medio que, por su misma esencia, no puede alterar su contenido: Me refiero a un boletín oficial o a un medio de comunicación cuyas reseñas no se pueden eliminar una vez publicadas (salvo en lo referente a la vía de “corrección de errores”).

Esto es un caso muy habitual: imaginemos que nos ponen una multa por exceso de velocidad o por orinar en la calle. ¿Qué ocurre con todas esas multas que no hemos ido a recoger a correos? Pues que acaban publicándose en el Boletín Oficial correspondiente (Generalmente el BOP) y, aunque la paguemos o la recurramos e, incluso, la ganemos, lo cierto es que ya nunca se podrá eliminar de allí.

Obviamente, esto no suponía un problema hace 10 años: ¿Quién se iba a leer un Boletín Oficial perdido en una estantería? En este sentido, nuestra “dignidad y privacidad” estaban a salvo.

Sin embargo, hoy en día todos los Boletines Oficiales ya tienen su versión electrónica y, gracias a la “magia” de los buscadores modernos, ese antiguo “dato perdido” en una estantería aparece destacado cuando alguien simplemente busca nuestro nombre completo en Google.

Por tanto, el problema no es tanto que el BOP haya publicado algo sobre nosotros sino que Google lo haya indexado y destacado de modo tan penosamente eficiente. Atacando, en definitiva, tanto a nuestra privacidad como a nuestro honor.

Desgraciadamente, no sólo se publican multas en los Boletines: hay casos más graves aún, como la declaración de determinadas incapacidades o, incluso, la concesión de un indulto de una condena previa por un delito cometido hace años y que no puede constar ya como antecedente penal en el registro oficial.

Lo cierto es que, desde que se dieran los primeros casos, ya se han planteado un centenar de este tipo ante la Agencia Española de Protección de Datos (AEPD) reclamando que dichos datos sean eliminados, no ya de sus fuentes originales, sino del propio buscador Google. Dichos casos, han sido resueltos por la AEPD en el sentido de solicitar a Google la retirada de dichas referencias.

Sin ir más lejos, ayer se han visto en la Audiencia Nacional los primeros 5 casos ante la repetida negativa de Google a eliminar dichos enlaces de su sistema.

Lo que está en juego es el reconocimiento efectivo del, tan traído y llevado, derecho al olvido de nuestros datos en Internet.

Los argumentos de Google son, en resumen, los siguientes:

  1. Que los contenidos no son suyos y, por tanto, no les compete a ellos su eliminación sino al responsable de su introducción en la Red; y
  2. Que es técnicamente inviable impedir que dicho enlace vuelva a aparecer debido a que sus sistema se alimenta de “robots” automáticos que constantemente rastrean la Red e, indefectiblemente, volverán a enlazar ese contenido de nuevo.

Por el contrario, la AEPD argumenta que, si bien Google no es el responsable de dichos contenidos, actúa no sólo como un mero intermediario sino como un “facilitador” decisivo en el acceso a los mismos y, por tanto, debe responder.

A mayor abundamiento y en este sentido, la Ley 34/2002, de 11 de julio, de Servicios de Sociedad de la Información y de Comercio Electrónico (LSSI) dispone que, si bien el prestador intermediario no tiene responsabilidad, a priori, por los contenidos ajenos, sí se convierte en responsable si, teniendo conocimiento efectivo de que lesionan derechos de terceros, no actúa para suprimir o neutralizar el enlace correspondiente. Así lo dispone textualmente su artículo 17.1:

“Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que:

a- No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o

b- Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.

Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.”

En este caso, se entendería que Google asumiría una responsabilidad por no eliminar dichos enlaces después de haber tenido conocimiento efectivo de su lesión del derecho a la protección de datos y del honor de las personas mediante su notificación por parte de la AEPD.

Habrá que estar atentos a las sentencias firmes que se produzcan en el futuro inmediato sobre este asunto.

Como hemos apuntado, el derecho al olvido en Internet está ahora en juego en nuestros tribunales.

 

Actualización:

Enlace de interés:

Servicio de Reputación Online de Pintos & Salgado Abogados: http://pintos-salgado.com/servicio-reputacion-online/

Una Agencia de Protección de Datos para Galicia

Jueves, Junio 10th, 2010

Esta semana saltaba la noticia: El director de la Agencia Española de Protección de Datos se reúne con sus homólogos de las Agencias autonómicas. Desgraciadamente, la gallega no está entre ellas.

apd_galicia

En estos momentos, somos la única de las llamadas “Comunidades Históricas” que no tenemos este fundamental organismo. Tanto Cataluña como el País Vasco la tienen, además de Madrid que tiene tanto la central como la autonómica.

Pero, me diréis, ¿para qué sirve una Agencia de Protección de Datos?

Pues bien, una APD es un ente público autónomo que tiene como misión fundamental velar por la aplicación de la Ley Orgánica 15/1999 de Protección de Datos (LOPD) en su ámbito de competencias. Aunque su Director es nombrado por el Gobierno (a propuesta de un Consejo Asesor), su independencia está reconocida y reforzada por su inamovilidad en el cargo durante su mandato (el cuál usualmente suele coincidir entre gobiernos de distinto signo).

Por otro lado, y por imperativo legal, la APD no depende jerárquicamente de ningún Ministerio ni Consejería, teniendo total autonomía organizativa y funcional.

Entre sus variadas competencias, destacan las propias de inspección y sanción. Aquí las autonómicas se diferencian principalmente de la central en que las primeras sólo asumen dichas funciones respecto a las propias administraciones públicas locales y autonómicas de su Comunidad, mientras que la AEPD las ejerce tanto sobre el resto de administraciones como sobre todo el sector privado nacional.

¿Por qué entiendo que es fundamental tener una APD en Galicia?

Podría destacar varios motivos, como la aplicación del principio de subsidiariedad europeo, el no depender de Madrid a efectos de inspección y sanción de nuestras administraciones públicas locales y autonómica, o la necesidad de proteger un derecho fundamental desde nuestra propia tierra en un ámbito en plena expansión como es el de la administración electrónica o las redes sociales, pero voy a centrarme sólo en uno: en su fundamental papel para la formación, sensibilización y asistencia de nuestro sector público (y privado) en la responsabilidad de la protección y buen uso de los datos de todos los ciudadanos residentes en Galicia.

En la experiencia de otras Comunidades Autónomas, esto ha supuesto una aportación fundamental de sus Agencias que, desgraciadamente, no puede ser abordada en toda su amplitud por una AEPD central, cada vez más saturada y centrada principalmente en labores de instrucción y sanción.

Un ejemplo de ello ha sido, sin duda, la importantísima labor desarrollada en este sentido de la Agencia de Protección de Datos de la Comunidad de Madrid. La misma, lejos de convertirse en referente coercitivo, se ha centrado especialmente en tareas de difusión y concienciación tanto de sus administraciones “tuteadas” como del público general. Así lo avalan sus más de 30 libros especializados publicados y más de 50 seminarios y jornadas de formación impartidas a todos los niveles y campañas de sensibilización dirigidas al público sólo en lo últimos tres años.

Éste es el modelo que están imitando también el resto de Agencias autonómicas. Sus resultados, hablan por si mismos: unas administraciones públicas mucho mejor adaptadas a la LOPD y sensibilizadas respecto a la privacidad de sus ciudadanos. Esta labor social, sin duda, ha sido fundamental, diferenciadora y muy valorada por el resto de agentes públicos y privados de sus respectivos ámbitos de actuación.

¿Para cuándo una “Axencia Galega de Protección de Datos”? Esperemos que no pase mucho tiempo antes de que un Director de la AGPD represente a Galicia en una futura reunión de Agencias a nivel nacional.

¿Una LOPD para América?

Jueves, Mayo 6th, 2010

Definitivamente, algo está cambiando. Hace apenas dos semanas comentábamos la gran diferencia entre la normativa europea y la norteamericana a la hora de proteger (y definir) la privacidad de los ciudadanos. Básicamente, en Europa hay una fuerte tradición al respecto, con protección constitucional y legislativa de por medio en materia de protección de datos personales, y en Estados Unidos ha sido clamorosa la ausencia de una protección mínimamente equiparable… ¡Hasta hoy!

federal trade commission-sealAcaba de publicarse un Proyecto de Ley Federal en Estados Unidos que bien podría tratarse del primer paso real hacia una LOPD norteamericana: se trata del Staff Discussion Draft for a Bill to require notice to and consent of an individual prior to the Collection and disclosure of certain personal information relating to that individual(Borrador de Proyecto de Ley Federal para requerir la notificación y consentimiento de una persona antes de la recolección y divulgación de cierta información personal sobre la misma).

Esta importante iniciativa legislativa, coincide en el tiempo con la aprobación final en México de la esperada Ley Federal de Protección de Datos Personales en posesión de los particulares.

Sin duda, estos son los últimos frutos del camino iniciado el pasado noviembre durante la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada en Madrid y auspiciada por la AEPD, donde se adoptó un texto común de Estándares Internacionales sobre Protección de Datos y Privacidad (También denominado “la Resolución de Madrid”). Dicho documento pretendía servir de base para futuras normativas en la materia adoptadas por países sin tradición al respecto y, sin duda, está consiguiendo dicho objetivo.

Y es que el pasado 20 de abril, ni más ni menos que 10 Autoridades nacionales de protección de datos lanzaron un comunicado conjunto para exigir a Google y otras multinacionales de Internet el respeto por las normas de privacidad en el lanzamiento de nuevos servicios. Dicho comunicado, que se materializó en una carta abierta, fue presentado por Canadá, España, Israel, Francia y Holanda mediante rueda de prensa en Washington DC. Es decir, en la capital de un país que no cuenta con dichas normas en su legislación federal… Hasta ahora, como hemos visto.

Pero ¿Cuál es el contenido de este Proyecto de Ley Federal norteamericana? ¿Es una verdadera LOPD?

Pues no exactamente, pero vamos a hablar brevemente del contenido de este borrador en comparación con nuestra Ley Orgánica de Protección de Datos (salvando las distancias, claro). Lo resumimos en los siguientes puntos destacados:

1. Su ámbito es más limitado que el de la LOPD: se aplica sólo sobre entidades que no sean gubernamentales y que recaben datos de más de 5.000 personas al año.

2. A diferencia de la LOPD que protege cualquier información personal, el Proyecto de Ley Federal especifica los datos protegidos (“covered information”) que son: nombre, dirección, teléfono, email, identificación biométrica (huellas, retina…), números de identificación documental, datos financieros, nick o número IP en Internet, perfil de preferencias o cualquier otra información recabada en conexión con estos datos.

3. El Proyecto de Ley Federal comparte la definición esencial de “datos sensibles” de la LOPD (datos de salud, raza, religión, orientación sexual) pero añade dos nuevos tipos de datos aquí: datos financieros (saldos y movimientos de cuentas) y, como nota curiosa, datos de “geolocalización” exacta de personas.

4. En cuanto a la información obligatoria a facilitar al ciudadano a la hora de recabar sus datos, en el Proyecto de Ley Federal es sustancialmente más amplia que la exigida en la LOPD. En concreto, el Proyecto incluye: la identidad de la entidad destinataria, la descripción de la información recabada, cómo se recaba la misma, su finalidad, cómo se almacena, cómo se combina o enlaza con otra información recabada de terceros, cuanto tiempo la conserva de modo identificable, cómo se hace anónima, la finalidad para la que se puede ceder a terceros, los medios para que los interesados accedan, pregunten, limiten o prohíban su tratamiento; medio de notificación de cambios en la política de privacidad; la fecha de dicha política y un enlace a la web de la Autoridad Federal competente (la FTC). Esta información, sin embargo, sólo será exigible para los datos recabados por Internet, no si se obtienen por otros medios.

5. En cuanto al consentimiento, el Proyecto de Ley Federal obliga a obtenerlo de forma expresa o tácita, pero siempre previa notificación de la información descrita (o de sus modificaciones ulteriores) al interesado, con el procedimiento para manifestar su autorización u oposición, actual o posterior. Dicho consentimiento se exigirá siempre en el caso de finalidad de marketing, publicidad, venta o cesión de datos a otras entidades distintas. Asimismo, en el caso de datos sensibles será siempre expreso.

6. La Autoridad Federal competente para controlar su cumplimiento y sancionar, en su caso, (es decir el equivalente a nuestra AEPD) será la Federal Trade Commission (FTC) o Comisión Federal de Comercio.

7. Finalmente, destacamos que se excluye el ejercicio de Acciones Civiles directas de los particulares contra las entidades incumplidoras. Un punto polémico pero hasta cierto punto comprensible habida cuenta de las cuantiosas indemnizaciones que obtienen los particulares en acciones civiles en Estados Unidos (nada que ver con las nuestras) uniendo su condición “punitiva” y no sólo reparadora del daño.

¿Nos encontramos pues ante el germen de una futura LOPD para Estados Unidos? El tiempo lo dirá pero sin duda supondrá un importante precedente si se aprueba finalmente este Proyecto de Ley Federal, aunque sea en un ámbito tan restringido, ubicado dentro de la normativa de protección de consumidores y usuarios norteamericana.