Entradas

Un murmullo en espera de la “nueva” LOPD: La 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos | Eurovima Consulting

Un murmullo en espera de la “nueva” LOPD

La 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos

Un murmullo en espera de la “nueva” LOPD: La 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos | Eurovima ConsultingEl pasado jueves, 25 de mayo de 2017, ha tenido lugar en el centro de Conferencias Fundación Pablo VI de Madrid la 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD).

Como cada año, y ya van 7 de las 9 sesiones anuales realizadas a las que hemos podido asistir, el aforo se completó de profesionales interesados en conocer de boca de la Agencia las últimas novedades referentes al RGPD. La expectación era máxima, prueba de ello es que el aforo se completó a las 4 horas de abrirse la inscripción.

La sesión se ha celebrado justo 365 días antes de que sea de aplicación el Reglamento General de protección de datos (RGPD), es decir, en mitad del periodo de transición hacia el nuevo marco normativo europeo.

Antes de nada, felicitar y dar la enhorabuena a los premiados por la labor que realizan en los ámbitos de la investigación y comunicación en materia de protección de datos, por sus trabajos y dedicación en aras de acercar el mundo de la privacidad a toda la sociedad.

En poco más de media hora, tiempo que duró la intervención de la Directora de la AEPD, las expectativas se tornaron en decepción:

Como sucede en otros ámbitos en este tipo de casos, lamentablemente lo expuesto no ha cubierto las expectativas ya que Mar España, directora de la Agencia, “informó” sobre el estado del anteproyecto de modificación de la LOPD (adaptación al Reglamento Europeo) indicando que esperaba estuviese disponible al público antes del verano (hace meses se indicó que esperaba fuese posible en el primer trimestre de 2017) y que no podía avanzar nada sobre el mismo por un tema de confidencialidad.

Nos contó que el borrador ya ha sido remitido al Ministerio de Justicia para que pueda comenzar el proceso de tramitación (que no es corto), esperando que su aprobación llegue a tiempo, es decir, antes del 25 mayo de 2018.

En definitiva, se generó un sonoro murmullo entre los asistentes al evento ante tal decepción.

Entramos, o mejor dicho continuamos, en el ámbito de la protección de datos personales, en un periodo de incertidumbre sobre si su aprobación llegará antes de que el Reglamento Europeo sea de aplicación y por tanto, a que el texto definitivo no sea conocido hasta casi el último momento, cuestión que entrañará una mayor dificultad a la hora de lograr la integración del nuevo marco normativo europeo “a la carrera”.

Nuevas herramientas del reglamento general de protección de datos:

En la presentación de nuevas herramientas del reglamento general de protección de datos, además de citar las guías ya publicadas, se mencionaron:

  • La que se publicó ese mismo día orientada al “Ciudadano”; ‘Protección de Datos: Guía para el Ciudadano’ que incorpora referencias al nuevo Reglamento Europeo, en aras de informar a los ciudadanos acerca de sus derechos en relación con el tratamiento de sus datos de carácter personal, el asesoramiento en la presentación de denuncias y reclamaciones, etc.
  • Se anunció la publicación de sendas guías para padres y colegios, ya que la formación en materia de seguridad en internet orientada a los menores es y ha sido una prioridad para la AEPD.
  • Herramienta de ayuda web “NanoPymes”. Disponible en junio en la web de la AEPD, pretende “facilitar”* el cumplimiento de las pymes siempre que traten datos con nivel de riesgo muy bajo, en base a los datos del tejido empresarial español y del tipo de tratamiento que realiza una pyme (72.5% del total de tratamiento son de nivel bajo). La AEPD incide en su presentación que es un programa de ayuda en general y los documentos generados serán válidos en la medida en que se ajusten las respuestas con la realidad y por supuesto, su uso no garantiza el cumplimiento del RGPD.

*Andrés Calvo (AEPD): la herramienta “NanoPymes” no reemplaza el asesoramiento de un profesional

Sobre otras cuestiones más destacadas o de relevancia, señalar lo siguiente:

Datos del avance de la memoria 2016: se han recibido unas 12.000 denuncias o tutelas de derechos ante la AEPD, con aplicación del 20% de reducción en cada vez más casos de sanción, sobre todo por pago espontaneo o reconocimiento.

Respecto a la necesidad de realizar una Evaluación de Impacto sobre la protección de datos (EIPD) parece que además del “alto riesgo”, en la lista creada por el Grupo de Trabajo del Artículo 29 encontraremos más consideraciones para su realización. Eso sí, invocando a la “diligencia” a la que la AEPD siempre se refiere, cuando dudes en hacerla o no, si puedes, hazla.

Sobre las certificaciones de profesionales (se encuentra en curso la elaboración del Esquema de Certificación) se reiteró que la certificación es instrumento de garantía de profesionalidad y de transparencia para responsables y encargados, pero no única vía de acceso.

Sobre las entidades que deberán tener un Delegado de Protección de Datos (DPD ó DPO), la Agencia ha dado un primer esbozo de lista que pueden consultar en la web de la AEPD (presentaciones 9 jornada)

La Agencia va a crear una unidad de atención a los responsables y profesionales en materia de privacidad, recomendando que las consultas se realicen a través de asociaciones profesionales.

En casos concretos, el interés legítimo permitirá consentimiento tácito obtenido antes de la aplicación del RGPD. Se podría permitir el consentimiento tácito para el envío de publicidad cuando exista un contrato con el interesado. En todo caso, son cuestiones a concretar….

Se pone fin a la excepción del artículo 2.2 RLOPD (Ámbito objetivo de aplicación: datos de “contacto”)

Finalmente recordar a la AEPD, que el análisis de las sentencias, informes y resoluciones más relevantes, fueron expuestas un año más, a toda pastilla. En menor medida los informes y sentencias relevantes, pero que en todo caso, las revisaremos con calma en los videos expuestos en la web de la Agencia, ya que en directo, es difícil sacar muchas conclusiones.

En definitiva, toca esperar para tener toda la información necesaria para hacer bien nuestro trabajo y mientras, sean DILIGENTES y respeten y cuiden su PRIVACIDAD (y la de los demás).

Un año más: Feliz Navidad y Feliz Privacidad 2017 | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Un año más: Feliz Navidad y Feliz Privacidad 2017

Un año más: Feliz Navidad y Feliz Privacidad 2017 | Eurovima Consulting | Agencia de Protección de Datos en MadridOtro año que va pasando y nuevamente queremos aprovechar esta época para hacer llegar a nuestros clientes, colaboradores, lectores y amigos nuestro mejores deseos.

Nuevamente ha sido un buen año para Eurovima, en el que hemos seguido apostando por el servicio y atención. La “familia” de Eurovima, interna y externa se ha incrementado, por eso volvemos a dar las gracias a los clientes de antaño por continuar a nuestro lado, a los nuevos que se han sumado y a los que vendrán decirles, que les esperamos con los brazos abiertos.

Respecto a “nuestro mundo”, otro año, y van demasiados, en los que la privacidad y la seguridad han vivido momentos convulsos, con el azote nuevamente del terrorismo y las amenazas de la ciberseguridad en el uso del Big Data y el Internet de las Cosas, de manera que una vez más vuelve a poner en liza el valor y la ponderación que ha de tener la privacidad frente a la seguridad. Sin olvidarnos de nuestros menores y las redes sociales: mucho por enseñar y educar.

Un año en el que pensamos que estamos de enhorabuena, ya que el cambio en la Agencia Española de Protección de Datos (AEPD) ha sido para bien, consolidando esas buenas primeras impresiones que nos causó la nueva Directora, Mar España Martí a finales de 2015.

Impresiones que también son positivas sobre el Plan Estratégico que la AEPD estableció con unos objetivos que a nuestro modo de ver van logrando alcanzar en cada uno de los cinco grandes ejes estratégicos en los que se estructuró.

  1. Prevención para una protección más eficaz
  2. Innovación y protección de datos: factor de confianza y garantía de calidad
  3. Una Agencia colaboradora, transparente y participativa
  4. Una Agencia cercana a los responsables y a los profesionales de la privacidad
  5. Una Agencia más ágil y eficiente.

En lo normativo, hemos visto ¡¡¡por fin!!!, la aprobación el pasado abril del nuevo marco regulatorio en materia de Protección de Datos de carácter personal. La aprobación del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea, aunque no será de aplicación hasta dentro de dos años, mayo de 2018, supone contar con un marco jurídico homogéneo, elevando el nivel de responsabilidad de las empresas y concediendo al ciudadano un mayor control sobre sus datos personales.

Veremos ahora el papel de la AEPD a la hora de definir, desarrollar y revisar las cuestiones que el Reglamento confiere a las Autoridades Nacionales de Control de los Estados Miembros, que por otra parte se traducirá en que la LOPD (publicación prevista del anteproyecto de reforma en el primer trimestre de 2.017) y sus normas de desarrollo deben ser revisadas y adaptadas al Reglamento.

Agradecer nuevamente al equipo de colaboradores de Eurovima, a los de siempre y a las nuevas incorporaciones, su esfuerzo y dedicación. A los que han emprendido nuevos retos, desearles mucha suerte y a todos decirles una vez más que hemos tenido mucha suerte de compartir trabajo, conocimiento y experiencias a lo largo de todo este año, deseando repetir.

En definitiva, desde EUROVIMA, haceros llegar nuestros mejores deseos y el agradecimiento por seguir al otro lado.

¡¡¡¡Seguimos contando con vosotr@s!!!! Un fuerte abrazo,

El equipo de Eurovima

Nota de prensa de la AEPD: “El Reglamento de protección de datos en 12 preguntas”

NEWS5Hoy, 26 de mayo de 2016, la Agencia Española de Protección de Datos (AEPD) ha publicado en su página web un documento en el que de manera simple, siguiendo un formato de pregunta-respuesta, facilita la comprensión del nuevo marco normativo tanto a los ciudadanos, como para ayudar a las organizaciones a adaptarse a los cambios que va a incorporar y cumplir así con sus obligaciones, en el momento en que entre en vigor.

Os emplazamos a consultar la nota en el siguiente enlace y como siempre a vuestra disposición para cualquier duda, consulta o comentario.

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción | Eurovima Consulting S.L.

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción | Eurovima Consulting S.L.

Delete Button For Erasing Or Deleting Trash by Stuart Miles in FreeDigitalPhotos.net

Aunque sobre este tema ya hemos hablado en algún que otro post, queremos hacer hincapié en la utilidad de cumplir nuestros propios protocolos, no sólo por la sanción que nos puedan imponer, sobretodo por no manchar nuestra imagen de marca o negocio.

No atender convenientemente el ejercicio de derechos ARCO (acceso, rectificación, cancelación y oposición) al tratamiento de los datos personales de un cliente o usuario, es uno de los motivos más recurrentes de sanción en el ámbito de la LSSI (Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD)

Normalmente las entidades que han realizado un proyecto de adecuación normativo, habrán establecido un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que habrá notificado a todo su personal con el fin de atenderlos convenientemente, de lo contrario el proyecto de adecuación normativo a la LOPD no ha sido ni completo ni riguroso.

La eterna lucha contra el SPAM

Recordemos que se denomina “spam” a todo tipo de comunicación no solicitada que se realiza por vía electrónica y que se lleva a cabo mediante el envío de correos electrónicos comerciales, SMS o por medios de comunicación electrónica equivalentes.

Como el coste es mínimo y se trata de envíos que se realizan de manera sencilla y ágil, esta práctica se ha extendido entre aquellas empresas que prefieren arriesgarse y lograr una publicidad efectiva antes que legal y respetuosa con sus clientes y los que pudieran llegar a serlo.

El SPAM se considera grave cuando se realiza de forma masiva, abusiva e indiscriminada según se establece en el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, modificado por el Real Decreto-Ley 13/2012, de 30 de marzo.

En definitiva, cualquier envío de comunicación con publicidad por medios de comunicación electrónica estarán supeditados a que exista un consentimiento previo, específico, inequívoco e informado, salvo relación contractual anterior y que no se indique voluntad en contra – Comunicaciones electrónicas no deseadas: motivo recurrente de sanción.

La AEPD resuelve que queda acreditado el envío de 3 correos publicitarios una vez manifestó su oposición.

La AEPD acredita en su resolución que el denunciante solicitó en 2 ocasiones la petición del cese en el envío de información comercial, señalando respecto al envío de los 3 correos electrónicos publicitarios lo siguiente:

“[…] No contaba con el consentimiento previo y expreso de la denunciante, toda vez que se enviaron con posterioridad a que éste hubiera manifestado su oposición a la recepción de envíos publicitarios. Por ello, los 3 correos electrónicos enviados […] incumplían la prohibición de remitir comunicaciones comerciales no autorizadas o solicitadas establecida en el artículo 21.1 de la LSSI, ya que se trataba de envíos publicitarios no consentidos por su destinatario, quien había manifestado a la citada entidad su voluntad de no continuar recibiendo publicidad circunstancia perfectamente conocida por dicha entidad”.

Respecto a la culpabilidad de conducta de la imputada, la AEPD señala que:

[…] Le era exigible otra conducta diferente de la que observó, habida cuenta que no adoptó todas las precauciones necesarias en orden a asegurarse que los procedimientos instaurados para tramitar las bajas en el envío de comunicaciones publicitarias funcionaban correcta y efectivamente, considerándose que el argumento de la buena fe resulta insuficiente en atención a la diligencia que le resulta exigible como empresa habituada a la remisión de envíos publicitarios por medios de comunicación electrónica, debiendo, por tanto, velar por el cumplimiento de los derechos de los destinatarios de tales mensajes recogidos en la LSSI, causa por la que debió actuar con más prudencia para justificar la legalidad de su conducta.”

La sanción no fue mayor, ya que la AEPD valoró como circunstancias atenuante la ausencia de intencionalidad, o que hubieses ocasionado perjuicios relevantes al denunciante o generado beneficios a la empresa imputada como resultado de los envíos.

La importancia de cumplir con nuestros procedimientos de respuesta y actuación ante el ejercicio de derechos ARCO

Aunque en la resolución podemos ver que aunque la entidad denunciada manifestó que: disponemos de protocolo interno de atención a cualquier solicitud ARCO referenciada al email […] o por correo ordinario, con personas responsables y sistemas de comunicación. En esta ocasión y debido a que la empresa en esas fechas estaba inmersa en cambios estructurales se ha demorado en el tiempo proceder a la cancelación de los datos solicitada por la denunciante. Entienden que ha habido una demora en el tiempo de ejecución de la mencionada cancelación.”

En definitiva, aunque la entidad manifestó su error al no atender la petición, alegando estar en un momento de cambios internos, no le valió para librarse de la sanción, por eso insistimos a nuestros clientes que si han realizado un proyecto de adecuación normativo riguroso, y por tanto han implementado un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que presten especial atención a los mismos al igual que con la gestión de las suscripciones a los boletines o newsletter,

Seguir los procedimientos que hemos implementado y se encontrarán recogidos en nuestro documento de seguridad es vital para cumplir tanto la LOPD como de la LSSI y de paso trasmitir una imagen de garantías a nuestros clientes y a los potenciales a los que nos queremos acercar.

Puedes encontrar más información acerca de los derechos ARCO en este artículo que tenemos publicado: Como cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”

¿Qué pasa con mis datos personales y los de las empresas una vez invalidado Safe Harbour? | Eurovima Consulting S.L.

¿Qué pasa con mis datos personales y los de las empresas una vez invalidado Safe Harbour?

¿Qué pasa con mis datos personales y los de las empresas una vez invalidado Safe Harbour? | Eurovima Consulting S.L.

Social Network Stock Photo.
Photo by suphakit73 in FreeDigitalPhotos.net

Ayer, 6 de octubre de 2015, se conoció la sentencia del Tribunal de Justicia Europeo (TJUE) que invalida el acuerdo que permitía transferir datos de usuarios europeos a servidores ubicados en EEUU, en base al acuerdo de “puerto seguro o Safe Harbour“.

El motivo es que las empresas que operan en EEUU no garantizan, o mejor dicho, la normativa y la práctica de las actividades de los servicios de información de Estados Unidos (NSA), no garantizan un nivel adecuado de protección de los datos personales transferidos.

En primer lugar veamos en que consiste el acuerdo de “puerto seguro o Safe Harbour”

Este acuerdo permitía que las empresas ubicadas en los EEUU pudieran recibir y tratar los datos personales transferidos desde entidades Europeas, en base a la certificación de cumplimiento de requisitos que garantizasen el tratamiento conforme a la directiva Europea.

Mediante su adhesión, estas empresas pasaban a ser consideradas como garantes de un nivel adecuado de protección de los datos personales transferidos de Europa a EEUU.

La denuncia que lo desata todo, y los antecedentes que la motivaron.

Todo empieza a raíz de la denuncia de Max Schrems, ciudadano austriaco, usuario de Facebook, cuyos datos (como los de todos nosotros) se transfieren de la filial irlandesa de la red social a servidores situados en territorio EEUU, donde son objeto de tratamiento. El sr. Schrems presentó una denuncia ante la autoridad irlandesa de control, considerando que, tras las revelaciones realizadas por Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos, sus empresas no podrían garantizar una protección suficiente de los datos transferidos a ese país, motivadas por las actividades de vigilancia de sus autoridades.

Aunque hemos dicho que todo empieza con la denuncia, la verdad es que comienza en el momento en que, caen las torres gemelas en los desgraciados atentados del 11S, y EEUU implanta un sistema de vigilancia y control sistemático de la información en base a “La Ley Patriota” o “USA PATRIOT Act”. Ante el eterno dilema de elegir entre seguridad y derechos constitucionales, se optó por restringir derechos para garantizar la seguridad nacional.

Posteriormente, la lucha entre EEUU y la UE por el control de la privacidad, a raíz del cariz que el caso PRISM y SNOWDEN alcanzó, convirtiéndose en un espionaje masivo, la canciller alemana, Angela Merkel, manifestó hace apenas 2 años, su postura de “endurecer las normas de protección de datos en Internet de la UE y por forzar a las compañías de Internet a ser más abiertas en sus políticas en este sentido tras los escándalos de espionaje protagonizados por el Gobierno de Estados Unidos”.

En definitiva: ¿Qué pasa con mis datos personales y los de las empresas que tenga sus datos alojados en EEUU (Cloud)?

Aunque veremos cómo se aplica, pues la decisión del Tribunal de Justicia Europeo no prohíbe de manera automática transferir datos de usuarios desde Europa a EEUU, pero sí que da vía libre para que los países miembros de la UE decidan si ese acuerdo es ilegal o no en cada país.

La sentencia afectará sobre todo A NUESTRAS EMPRESAS, en la medida en que tengamos nuestros datos en servicios de la nube o cloud computing, algo muy habitual dadas sus múltiples ventajas, y en menor medida a las tecnológicas estadounidenses con presencia en Europa, como Facebook, Google, Microsoft, Amazon, Apple, Dropbox, etc. pues seguramente terminarán cumpliendo con la simple modificación de sus políticas de privacidad.

Nuestros datos personales, los que nosotros proporcionamos a las grandes compañías, como decimos siempre, los ofrecemos a cambio de la gratuidad de sus servicios y aceptaremos cualquier clausula que nos impongan, viajarán a los EEUU y allí serán tratados, sin “garantías”, pero al fin y al cabo tampoco tenemos nada que esconder, ¿verdad?

Veremos qué pasos dan las autoridades de control europeas y que base jurídica normativa alternativa se presenta, si es que se presenta, o se traduce en una nueva versión de dicho acuerdo o en el futuro, deseado y anhelado nuevo Reglamento General de Protección de Datos se hiciese alguna referencia.

De momento os dejamos la sentencia, y las notas de prensa de la AEPD y del Tribunal de Justicia de la Unión Europea.

Comunicaciones electrónicas no deseadas: motivo recurrente de sanción | Eurovima Consultin S..L.

Comunicaciones electrónicas no deseadas: motivo recurrente de sanción

Comunicaciones electrónicas no deseadas: motivo recurrente de sanción | Eurovima Consultin S..L.

Computer And Envelop
Photo by ddpavumba in Freedigitalphotos.net

La necesidad de desarrollar acciones económicas de bajo coste ha condenado a muchas empresas y profesionales a pagar un coste muy superior: el de una sanción.

El envío de correos electrónicos comerciales, SMS, WhatsApp, mensajería privada en redes sociales es un recurso sencillo, ágil y muy económico para las empresas, que ha propiciado y extendido la práctica del spam.

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica.

De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico.

El costo del Spam

La comisión europea y la AEPD (Agencia Española De Protección de Datos) llevan años abordando la cuestión de spam y diseñando campañas para luchar contra una práctica que contamina y genera pérdidas millonarias a las empresas, en productividad, malware y pérdida de confianza de los consumidores.

Pero  hay también otro motivo sustancial: constituye una intrusión en tu intimidad y una vulneración de derechos contemplados en la LSSI-CE y la LOPD.

El envío de comunicaciones comerciales no solicitadas o expresamente autorizadas es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española.

La AEPD tiene la competencia para sancionar la comisión de estas infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la LSSI, según dispone el artículo 43.1 de dicha Ley. II

El artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, señala lo siguiente:

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección”.

El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

El consentimiento; la clave de las comunicaciones electrónicas

Entre los derechos fundamentales que asisten a los ciudadanos está el de la autodeterminación informativa, es decir, decidir la facultad de toda persona para ejercer control sobre la información personal que le concierne.

Aquí es donde el consentimiento adquiere especial relevancia, porque es la manifestación de voluntad del propio ciudadano sobre la información que le concierne. Derecho que toda empresa o profesional debe respetar antes de utilizar su información con fines comerciales.

Para el consentimiento sea válido, debe tener estas características:

  • Ser previo
  • Ser específico
  • Ser inequívoco
  • Ser informado

El deber de información

Para obtener un consentimiento válido, es imprescindible que vaya precedido por información clara y precisa que permitan al destinatario conocer todas las vicisitudes en el manejo de su información personal.

Esta información deberá ser plena y exacta acerca del sector de actividad del que puede recibir publicidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.

Como evitar sanciones por comunicaciones comerciales no solicitadas

La legislación no admite dudas al respecto: toda comunicación comercial para que sea legal, debe ser consentida o expresamente autorizada por el destinatario.

Por lo tanto, las normas a seguir para evitar sanciones  serían las siguientes:

  • No enviar e-mails de contenido publicitario a aquellas personas que no lo han solicitado, ni autorizado ni consentido expresamente a menos que destinatario y remitente estén vinculados por una relación contractual previa , en cuyo caso, las comunicaciones comerciales deben referirse solo a los productos y/o servicios de la empresa del remitente, similares a los que inicialmente fueron objeto de contratación;
  • Que se le ofrezca al destinatario la posibilidad de darse de baja respeto de la recepción de e-mails publicitarios mediante un procedimiento sencillo, fácil y gratuito (como un enlace con la palabra BAJA)
  • Establecer un sistema que permita obtener el consentimiento expreso, válido y legal del destinatario, como un formulario de suscripción.
  • Informar siempre de forma clara la identidad del remitente, la finalidad de la información capturada y los derechos de los destinatarios sobre la misma.
  • Nunca enviar  e-mails de contenido comercial en los que se oculte o no se especifique claramente la identidad de la organización que lo envía

LSSI: Sanciones

Desatender cualquiera de estas normas es exponerse a una sanción por  infracción del artículo 21 de la LSSI, en los términos indicados por el citado artículo 38.4.d).

Normalmente,  se califica como infracción leve, a menos que:

  • Se produzca un envío masivo de comunicaciones comerciales no solicitadas a diferentes destinatarios
  • El envío insistente o sistemático a un mismo destinatario, en los términos que se indican en el también citado artículo 38.3.b)

En esos casos se trataría de una infracción de carácter grave a los efectos de la LSSI.

La cuantía de las sanciones que se impongan se graduará atendiendo a los siguientes criterios:

  1. La existencia de intencionalidad
  2. Plazo de tiempo durante el que se haya venido cometiendo la infracción
  3. La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme.
  4. La naturaleza y cuantía de los perjuicios causados.
  5. Los beneficios obtenidos por la infracción.
  6. Volumen de facturación a que afecte la infracción cometida.
  7. La adhesión a un código de conducta o a un sistema de autorregulación publicitaria aplicable respecto a la infracción cometida, que cumpla con lo dispuesto en el artículo 18 o en la disposición final octava y que haya sido informado favorablemente por el órgano u órganos competentes.

Sin duda, otro factor decisivo a la hora de estimar el monto de la sanción será el grado de diligencia manifestaba por el infractor para evitar, prevenir o subsanar ese error.

La falta de diligencia opera como agravante

Si una empresa o profesional no ha desarrollado las medidas y controles necesarios para evitar que un cliente reciba comunicaciones comerciales tras revocar su consentimiento previo tendrá un problema mucho mayor.

Una muestra de diligencia clara consiste en poder demostrar por ejemplo, la existencia de mecanismos de control oportunos para gestionar las bajas, sistemas de información al destinatario, herramientas para obtención de consentimiento, etc.

Por eso es imprescindible la presencia de un profesional que desarrolle, implante y acredite en adecuado cumplimiento normativo respecto a comunicaciones comerciales y evite los daños económicos y reputaciones que origina una denuncia.

¿Videovigilancia y LOPD: Puedo instalar cámaras que enfoquen hacia la calle aunque no graben? | Eurovima Consulting S.L.

¿Videovigilancia y LOPD: Puedo instalar cámaras que enfoquen hacia la calle aunque no graben?

¿Videovigilancia y LOPD: Puedo instalar cámaras que enfoquen hacia la calle aunque no graben? | Eurovima Consulting S.L.

Security Camera Or CCTV On Blue Sky Stock Photo
Photo by basketman in Freedigitalphotos.net

Posiblemente sea uno de los motivos más frecuentes de denuncias y sanciones, pero en este caso, la particularidad de la denuncia se refiere a la legalidad o no de instalación de cámaras de grabación ficticias, sin entrar en la motivación de quien las instaló.

La cuestión es que nos ha llamado la atención que en el mes de junio de 2015, la Agencia Española de Protección de Datos (AEPD) ha publicado una serie de resoluciones de archivo sobre posibles infracciones de la Ley Orgánica 15/1999 motivadas por cámaras de videovigilancia siendo variados los motivos de las denuncias, de entre las cuales hemos querido destacar una de ellas.

Aspectos a considerar sobre Videovigilancia: denuncias, sanciones y apercibimiento

En todo caso significar que esa llamada de atención a la que nos referimos, no es sobre que se publiquen resoluciones sobre posibles infracciones motivadas por videovigilancia, ya que hemos de recordar que tal y como indicó la propia AEPD en su Memoria 2014, la mayor parte de las denuncias recibidas fueron relacionadas con:

  • La videovigilancia
  • Contratación fraudulenta
  • La inclusión en ficheros de morosidad
  • y las cuestiones relativas al recobro de deudas

Además, esta tendencia no es nueva, pues ya quedó reflejada en la Memoria 2013 de la AEPD, tal y como informamos en nuestro blog.

En la memoria del 2014, también se indicaba que en lo referente a las resoluciones de procedimientos de apercibimiento (recordemos que se declara infracción pero no se impone sanción económica) del sector privado, han recaído mayoritariamente en la actividad de videovigilancia (55,87%) siendo lo habitual que los denunciados sean particulares y pymes.

Por eso, como ya indicamos en su día, no debemos olvidarnos de las consecuencias de no hacer caso a las notificaciones de apercibimiento, es decir, de ignorar las “advertencias” de la AEPD tal y como reflejamos en nuestro artículo: Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€

Denuncia ante la AEPD motivada por la instalación de cámaras enfocando la calle

Centrándonos en la denuncia, la misma fue motivada por la instalación de cámaras de videovigilancia en un edificio enfocadas hacia la calle, sin carteles de advertencia, colocadas por el administrador del edificio.

La Subdirección General de Inspección de Datos procedió al inicio de actuaciones previas de investigación para esclarecer los hechos denunciados, remitiendo requerimiento al denunciado, solicitando información sobre las características, justificación y ubicación de las cámaras.

Aunque el titular respondió que las videocámaras no graban, por estar desconectadas, la AEPD le requirió pruebas

A los pocos días, la Subdirección General de Inspección de Datos, remitió al denunciado un nuevo requerimiento en el que le instaba que aportase:

  • “Justificación documental (factura, envoltorio, ticket de compra o documento similar) a través de los cuales se acredite fehacientemente que las cámaras instaladas son CÁMARAS FICTICIAS.
  • Documentación gráfica (fotografías) en las que se aprecie que se trata de cámaras simuladas, que NO FUNCIONAN y/o que se encuentran DESCONECTADAS.
  • Se le requiere formalmente para que retire o redirija las cámaras, de modo que no enfoque la vía pública ni áreas o espacios pertenecientes a terceras personas.”

La AEPD archiva la denuncia al considerar que se han retirado las cámaras

El denunciado envió escrito indicando que ha procedido a la retirada de la cámara, a las que se refiere la denuncia, que se encontraban instaladas en la fachada de su local de negocio, aportando fotografías de las que se desprende que ha procedido a su retirada.

¿Qué hubiese sucedido si las cámaras grabasen y estuviesen enfocadas hacia la calle?

Para dar respuesta simple y directa, bastará con recordar que el artículo 4.3 de la Instrucción 1/2006 (sobre sistemas de videovigilancia) establece que “las cámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende”, es decir, que sea necesaria para satisfacer un interés legítimo, algo que ya ha generado más de una controversia y que deberemos demostrar en base al principio de proporcionalidad del artículo 4 de la LOPD.

En este sentido recordemos que la propia AEPD ha manifestado en múltiples resoluciones que: “Para que la excepción recogida en el artículo 4.3 de la Instrucción 1/2006 resulte aplicable no deberá existir una posibilidad de instalación alternativa, sin poder interpretarse que dicho precepto constituye una habilitación para captar imágenes en espacios públicos, puesto que en ningún caso puede admitirse el uso de prácticas de vigilancia más allá del entorno objeto de la instalación y en particular en lo que se refiere a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado”.

En definitiva: ¿Puedo instalar cámaras que enfoquen hacia la calle aunque no graben?

La cuestión es que la AEPD se ha manifestado negativamente en este sentido en varias resoluciones, llegando a sancionar con 1.500€ (PS/00139/2012) una situación en la que la cámara no existía, desestimando las alegaciones presentadas y el posterior recurso de reposición.

En definitiva, si repasamos estas resoluciones de la AEPD y las motivaciones esgrimidas, aun siendo evidente que si existe una cámara falsa o real (que esté apagada y por tanto sin funcionar) no existirá tratamiento de datos, la AEPD ha considerado que genera una “falsa apariencia”, que es a nuestro modo de ver, lo que la AEPD pretende evitar, si bien no podemos estar conformes con la misma.

No obstante entendemos que la manera en la que se plantearon las alegaciones no fueron las adecuadas, por eso queremos recordaros la importancia de responder en tiempo y modo a las notificaciones de la AEPD, sin olvidarnos de cuidar mucho nuestra alegaciones, ya que de todo ello puede depender que seamos sancionados o que la Agencia considere que por esta vez seamos apercibidos o en el mejor de los casos archiven la denuncia.

Quedan abiertos los comentarios para que nos dejéis vuestras impresiones y consultéis cualquier duda sobre el tema, que atenderemos encantados.

Post escrito en colaboración con Marina Brocca

Reflexiones sobre internet, menores y fotografías | Eurovima Consulting | Asesoría LOPD Madrid

Reflexiones sobre internet, menores y fotografías

Reflexiones sobre internet, menores y fotografías | Eurovima Consulting | Asesoría LOPD Madrid

Family Taking Self Portrait
Fotografía de David Castillo Dominici en FreeDigitalPhotos.net

Antes de nada señalar que no pretendemos dar lecciones de nada, solo expresar una visión sobre un tema que creemos es de interés e incidir en una serie de cuestiones que nos hagan reflexionar sobre la publicación de imágenes de menores en internet.

¿Qué dice la LOPD sobre las fotografías? ¿Es la imagen un dato de carácter personal?

Lo primero que debemos tener claro, es que una foto representa una imagen personal, que desde el punto de vista normativo de la LOPD, es considerado un dato de carácter personal tal y como establece el artículo 5.1 del Reglamento de desarrollo de la LOPD (RDLOPD): “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Por tanto, una foto tendrá la consideración de dato de carácter personal si permite la identificación de las personas que en ellas aparecen.

En segundo lugar, sobre la protección de los menores y sus derechos, que son muchos, nos centraremos solo en los que establece la LOPD como lo señalado en el artículo 13 del RDLOPD, en el que respecto a las imágenes que afecten a menores de edad se señala: “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.”

A las consideraciones legales hay que añadirles el medio en el que vamos a difundir las imágenes: internet

Una vez que ha quedado claro que la imagen es un dato de carácter personal regulado por la LOPD y que para su publicación hay que recabar el consentimiento paterno de los menores de 14 años, tenemos que considerar 3 simples cuestiones básicas de nuestra exposición al entrar en internet:

  • Nada es gratis, nuestros datos e información es el valor que aportamos.
  • Lo que no quieras que se conozca, no lo publiques ni en tu círculo más cercano.
  • Al subir una foto a internet, a las Redes Sociales, hemos perdido todo su control sobre ella, pues no hay garantías ni medidas de seguridad o privacidad que impida que se puedan descargar.

6 consejos para la publicación de fotografías de menores en internet:

A partir de este momento, creo que cada uno de nuestros lectores sacará sus propias conclusiones, no obstante nosotros queremos ofreceros estos 6 consejos:

  1. Al hacer la foto, comprueba que la función de localización no esté activada. Si la subes a internet se podría rastrear donde se hizo e incuso el día y la hora.
  2. Ojo con los comentarios que añadimos, no des información que terceros puedan usar de manera malintencionada tipo “entrando en su primer día de cole”, “primer día que se quedan solos en casa” o “ya va sola en autobús al cole”, ni etiquetes la foto con nombre y apellidos. Esos comentarios junto a otra información que ofrezca la foto ofrecen información sobre su colegio, lugares que frecuenta, actividades, horarios, etc.
  3. No publiques fotos de otros niños sin el consentimiento de sus padres.
  4. Si van a participar en un concurso infantil o como modelos publicitarios que requiera la publicación de las fotos de los peques, que te digan, cuando menos, quién es el responsable, los fines, las cesiones previstas y la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  5. Comparte tus fotos con seguridad. En internet hay herramientas seguras para compartir fotos, búscalas.
  6. El menor usa las Redes Sociales, pero debe ser informado y formado en el uso de internet, deben comprender los riesgos de publicar fotos y sus posibles consecuencias, advirtiéndoles de que no intercambien o compartan fotografías con personas desconocidas.

Podéis encontrar más información sobre menores, internet y privacidad, en las siguientes páginas web:

Protección de datos: Resumen 7ª Sesión Anual Abierta de la AEPD, Conclusiones

Protección de datos: Resumen 7ª Sesión Anual Abierta de la AEPD, Conclusiones Ayer 21 de abril de 2015, nuevamente en el Teatro Real de Madrid, es decir, en un marco acorde con el evento, se celebró la 7ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD).

Un año más con el aforo completo, cerca de 1.200 profesionales de la privacidad y la protección de datos, asistimos a la cita de la AEPD con objetivos como:

  1. Escuchar de la propia Agencia los acontecimientos más significativos en materia de protección de datos personales que se han producido en el último año y su opinión sobre dichas cuestiones, confiando en que no fuese la mera exposición de la memoria anual de la AEPD.
  2. Poder conocer alguna novedad significativa en la materia, y sobre todo del “estado” del Reglamento Europeo, quizás el objetivo más deseado cada año y a la vez el más inalcanzable.
  3. Confiar en que las preguntas expresadas por los asistentes y formuladas de manera previa al evento, sean respondidas con criterios de aplicación efectiva-real y no invocando al artículo de turno.

Lo cierto, es que un año más hemos salido un tanto defraudados con la AEPD, ya que por un lado las novedades tienen una aplicación profesional “limitada”, y por otro la exposición del Director de la Agencia ha confirmado los temores manifestados en el primer punto mencionado, es decir, se ha limitado casi a la exposición de la memoria anual de la AEPD, que ya todos conocemos, y al consabido repaso del victorioso “caso Google” y el “derecho al olvido”.

El Reglamento Europeo

La mayor decepción ha sido una vez más escuchar que el nuevo Reglamento Europeo sigue paralizado, por muchos avances por bloques o capítulos parciales que se vayan alcanzando la realidad es que en palabras del Director “nada estará aprobado hasta que todo esté aprobado”, y por eso a este paso, permítanme la broma, “todos jubilados”.

También destacar las dudas que siempre surgen por atentados como el de París. Dudas entre seguridad frente a privacidad, en base a la necesidad de realizar tratamientos masivos de datos de pasajeros, su proporcionalidad, utilidad e idoneidad, en definitiva optar por una “mejor” o “mayor” información.

Guía sobre protección de los datos personales y la reutilización de la información del sector público: la anonimización

De las pocas novedades, destacar que la AEPD está elaborando una Guía sobre protección de los datos personales y la reutilización de la información del sector público, que una vez publicada será sometido a consulta, y que incluirá orientaciones prácticas buscando favorecer la reutilización de la información del sector público pero minimizando los riesgos de reidentificación de las personas y de su información.

Para la elección de la técnica más eficaz los procesos de anonimización deberán ser evaluados teniendo presente los avances tecnológicos en el análisis de datos, el exponencial crecimiento de la información disponible y en general, su perfil dinámico. Todo ello para garantizar el carácter irreversible en base a una técnica de anonimización adecuada y de garantías que aúne coste, esfuerzo y beneficio, siempre desde el diseño, y que permita afirmar que dicha información quedará excluida de la aplicación de la LOPD.

Aspectos a destacar a efectos prácticos de aplicación profesional en materia de protección de datos

Mencionar la entrega de los premios de protección de datos, y del resto de temas a efectos prácticos de aplicación directa para la mayoría de los asistentes, resaltar:

  • El nuevo procedimiento NOTA, que en general será más funcional y versátil, permitiendo notificar varios ficheros a la vez.
  • Las dudas sobre la figura del DPO, del que parece razonable pensar que habrá un registro.
  • La consideración que la AEPD manifiesta tener sobre los profesionales de la privacidad, con los que dice colaborar y desea seguir haciéndolo, todo ello pese a la falta de recursos y medios de los que la Agencia dispone.
  • Algunas menciones de sentencias y resoluciones, al igual que las respuestas a las consultas planteadas, que habrá que ver con calma una vez expuestas en la página web de la Agencia.

NUESTRAS CONCLUSIONES:

Este evento sirve seguro para seguir poniendo de manifiesto, que hay un amplio sector profesional de la privacidad que tiene gran inquietud e interés por saber cómo aplicar los principios de la LOPD. De igual manera, poder transmitir la necesidad del cumplimiento efectivo a nuestros clientes y en general a las personas que necesitan conocer la manera de salvaguardar su privacidad.

Cuando menos, lo que señalamos el pasado año en este post resumen (6ª sesión anual AEPD) “…llegamos a la conclusión que según la AEPD el cumplimiento normativo es “gratis””, ya no parece tan evidente, una vez la Agencia ha cambiado su mensaje pasando a “no es difícil”. Este mensaje simple, nos deja bastante contentos y con ganas de continuar.

En todo caso, seguro que cualquiera de los casi 1.200 de los profesionales en materia de asesoría LOPD venidos de toda España que nos hemos citado en Madrid, os podremos ayudar, no solo haciéndolo fácil, sino también efectivo y real.

Sanción AEPD: El Responsable del Fichero “también” responde del incumplimiento del Encargado de Tratamiento | Eurovima Consulting S.L.

Sanción AEPD: El Responsable del Fichero “también” responde del incumplimiento del Encargado

En esta ocasión queremos hablaros de una sanción que la Agencia Española de Protección de Datos (AEPD) ha impuesto a dos empresas, una que actuaba como responsable de fichero y otra como encargada de tratamiento de la anterior. El motivo de la sanción es el incumplimiento del deber de información regulado en el art. 5 de la Ley de Protección de datos (LOPD).

La primera de ellas, responsable del fichero, encomendó a la segunda, encargada de tratamiento, la gestión de los servicios de “Call Center” de ésta.

En su defensa inicial, el responsable del fichero y el encargado de tratamiento alegaron que la LOPD no les es aplicable porque tratan datos de entidades jurídicas, y en su caso, de las personas que trabajen para estas entidades, por lo que les sería de aplicación la excepción del art. 2.2 del Reglamento que desarrolla la LOPD (RDLOPD). Pero a lo largo del procedimiento se ha demostrado que se trataban datos de otras personas como familiares o cualquier persona que llamase al “Call Center” con motivo de la relación con la responsable del fichero y se atendían llamadas por personas interesadas en adquirir vehículos de ocasión, siendo desestimada dicha excepción del art. 2.2 del RDLOPD

El origen de la denuncia

Partió del representante sindical que denunció que si bien las llamadas recibidas por el “Call Center” se grababan por acuerdo entre las partes, posteriormente el encargado de tratamiento, y por su cuenta envió un correo electrónico a los coordinadores del servicio diciendo a sus empleados que no se debía informar a los llamantes de que las conversaciones eran grabadas.

La AEPD resuelve que existe corresponsabilidad de ambas entidades

La resolución pone de manifiesto que: “Es al responsable del fichero y tratamiento, a quien corresponde adoptar las cautelas para el cumplimiento de los mandatos de la LOPD y su inobservancia le hace responsable del tratamiento de datos objeto de de la denuncia, con independencia de la actuación del encargado del tratamiento” añadiendo que “no ha aportado elementos de juicio suficientes que permitan entender que dio instrucciones precisas al respecto y no había previsto ningún mecanismo ni establecido ningún control al respecto, ni una obligación cierta, expresa y determinada

Esta corresponsabilidad, viene marcada en la sentencia que establece: “Sobre este particular decir que interpreta el art. 12.4 de la LOPD la sentencia de 14/03/2007 Recurso 280/2005, que haciéndose eco de la anterior Sentencia de 13/04/2005 Rec.241/2003, establece que lo que determina la LOPD en el mismo es que si el encargado del tratamiento destina los datos a una finalidad distinta a la indicada, los comunica o los utiliza incumplido las estipulaciones del contrato “… “será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

“El término “también” deja claro que no se establece allí un mecanismo de sustitución ni de derivación de responsabilidades sino de agregación, pues el responsable del tratamiento no pierde su condición de tal, ni queda exonerado de responsabilidad por el hecho de que al encargado del tratamiento, que incumpla lo estipulado, se le atribuya “también” la consideración de responsable del tratamiento…”

Pese al incumplimiento del encargo del Responsable del Fichero, ambos fueron sancionados con 2.300€

En definitiva, aunque el encargado de tratamiento por propia iniciativa es responsable de haber dado instrucciones específicas y expresas a sus trabajadores para que no informen sobre las grabaciones, el responsable del fichero o tratamiento responderá de las infracciones cometidos con motivo del encargo, aunque el encargado del tratamiento haya incumplido sus instrucciones, por no vigilar que esté cumpliendo con la normativa sobre protección de datos.

¿Qué conclusiones podemos extraer de todo lo expuesto?:

  • El deber de información del art. 5 de la LOPD, debe ofrecerse siempre, aunque se haga de forma telefónica, incluso teniendo el consentimiento del titular de los datos para tratar los mismos, por ejemplo por motivo de un contrato previo.
  • Cuando se traten datos de empresas o sus empleados, se hará siempre cumpliendo con la finalidad para los que se recabaron los mismos. Los datos de los empleados que están excluidos de la norma son nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
  • Debe existir siempre un contrato, entre el responsable de fichero y el encargado de tratamiento, conforme al 12 de la LOPD, que regule la situación del tratamiento de datos por cuenta del responsable del fichero, en el que se darán instrucciones precisas de cómo se debe actuar por parte del encargado de tratamiento.
  • El incumplimiento de dicho contrato, o de la normativa sobre protección de datos por parte del encargado de tratamiento, con motivo de esta relación, le convierte en responsable de tratamiento, y por tanto se le podrá sancionar. Pudiendo sancionar también al responsable del fichero por no vigilar que el encargado cumpliendo con la normativa sobre protección de datos.

Si queréis más información sobre este procedimiento lo podéis consultar en este enlace.

Desde Eurovima, recomendamos a las empresas regular muy bien las relaciones con los terceros con los que contratamos nuestros servicios y que traten/accedan a datos personales de los que somos responsables, como puedan ser asesores, hosting, informáticos, “Call Center”… y sobre todo que seamos “diligentes” a la hora de elegirlos, cuestión que genera controversia en materia LOPD, al ser un argumento que ha empleado en distintas ocasiones y sobre el que ya hemos hablado: “Nube” o Cloud Computing. Seamos diligentes…