Un año más: Feliz Navidad y Feliz Privacidad 2017 | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Un año más: Feliz Navidad y Feliz Privacidad 2017

/0 Comentarios/en /por

Un año más: Feliz Navidad y Feliz Privacidad 2017 | Eurovima Consulting | Agencia de Protección de Datos en MadridOtro año que va pasando y nuevamente queremos aprovechar esta época para hacer llegar a nuestros clientes, colaboradores, lectores y amigos nuestro mejores deseos.

Nuevamente ha sido un buen año para Eurovima, en el que hemos seguido apostando por el servicio y atención. La “familia” de Eurovima, interna y externa se ha incrementado, por eso volvemos a dar las gracias a los clientes de antaño por continuar a nuestro lado, a los nuevos que se han sumado y a los que vendrán decirles, que les esperamos con los brazos abiertos.

Respecto a «nuestro mundo», otro año, y van demasiados, en los que la privacidad y la seguridad han vivido momentos convulsos, con el azote nuevamente del terrorismo y las amenazas de la ciberseguridad en el uso del Big Data y el Internet de las Cosas, de manera que una vez más vuelve a poner en liza el valor y la ponderación que ha de tener la privacidad frente a la seguridad. Sin olvidarnos de nuestros menores y las redes sociales: mucho por enseñar y educar.

Un año en el que pensamos que estamos de enhorabuena, ya que el cambio en la Agencia Española de Protección de Datos (AEPD) ha sido para bien, consolidando esas buenas primeras impresiones que nos causó la nueva Directora, Mar España Martí a finales de 2015.

Impresiones que también son positivas sobre el Plan Estratégico que la AEPD estableció con unos objetivos que a nuestro modo de ver van logrando alcanzar en cada uno de los cinco grandes ejes estratégicos en los que se estructuró.

  1. Prevención para una protección más eficaz
  2. Innovación y protección de datos: factor de confianza y garantía de calidad
  3. Una Agencia colaboradora, transparente y participativa
  4. Una Agencia cercana a los responsables y a los profesionales de la privacidad
  5. Una Agencia más ágil y eficiente.

En lo normativo, hemos visto ¡¡¡por fin!!!, la aprobación el pasado abril del nuevo marco regulatorio en materia de Protección de Datos de carácter personal. La aprobación del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea, aunque no será de aplicación hasta dentro de dos años, mayo de 2018, supone contar con un marco jurídico homogéneo, elevando el nivel de responsabilidad de las empresas y concediendo al ciudadano un mayor control sobre sus datos personales.

Veremos ahora el papel de la AEPD a la hora de definir, desarrollar y revisar las cuestiones que el Reglamento confiere a las Autoridades Nacionales de Control de los Estados Miembros, que por otra parte se traducirá en que la LOPD (publicación prevista del anteproyecto de reforma en el primer trimestre de 2.017) y sus normas de desarrollo deben ser revisadas y adaptadas al Reglamento.

Agradecer nuevamente al equipo de colaboradores de Eurovima, a los de siempre y a las nuevas incorporaciones, su esfuerzo y dedicación. A los que han emprendido nuevos retos, desearles mucha suerte y a todos decirles una vez más que hemos tenido mucha suerte de compartir trabajo, conocimiento y experiencias a lo largo de todo este año, deseando repetir.

En definitiva, desde EUROVIMA, haceros llegar nuestros mejores deseos y el agradecimiento por seguir al otro lado.

¡¡¡¡Seguimos contando con vosotr@s!!!! Un fuerte abrazo,

El equipo de Eurovima

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa

/0 Comentarios/en /por

Viene siendo una actuación que se repite y lo cierto es que aunque se pueda pensar en que no tiene sentido no atender los requerimientos que te hagan para evitar una sanción, sencillos por otra parte, algunos siguen no atendiéndolos y por tanto terminan sancionados.

La denuncia: Instalar una cámara de videovigilancia en la ventana de una vivienda pudiendo captar la vía pública y propiedades de terceros

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Image courtesy of nipitphand at FreeDigitalPhotos.net

Sobre este tema ya hemos hablado en nuestro artículo de julio de 2013: Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€ y nuevamente nos encontramos un caso similar en la que un particular instala una cámara de videovigilancia que según la resolución de la Agencia Española de Protección de Datos (AEPD) se aprecia en las fotografías que acompañan la denuncia, la cámara está instalada en la ventana de la vivienda denunciada y orientada hacia el exterior, pudiendo captar por su altura y ángulo de orientación la vía pública y propiedades de terceros.

La denunciada no formula alegación alguna en el plazo que la AEPD establece y una vez acreditados los hechos, es decir, presunta infracción del artículo 6.1 de la LOPD que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

¿Pero, en qué consiste la figura del apercibimiento?

Recodemos que la figura del apercibimiento (BOE 55, 5-3-2011 Disposición final quincuagésima sexta) supuso una “gran noticia” para los infractores en materia LOPD, ya que aunque incumplan la LOPD pueden evitar ser sancionados, salvo que se trate de una infracción muy grave o si ya hubiesen sido sancionados o apercibidos con anterioridad.

En definitiva, que sólo tienes que acreditar la adopción de las medidas correctoras que la AEPD determine, aunque hayas incumplido la normativa.

¿Qué requisitos debe cumplir un sistema de videovigilancia según establece la LOPD?

  1. Respetar el principio de proporcionalidad.
  2. Si el sistema está conectado a una central de alarma, únicamente podrá ser instalado por una empresa de seguridad privada 
  3. No captar imágenes de las personas que se encuentren fuera del espacio privado (en lugares públicos sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado)
  4. Cumplir con el deber de informar a los afectados (Instrucción 1/2006, de la AEPD, sobre el Tratamiento de Datos Personales con Fines de Vigilancia a través de Sistemas de Cámaras o Videocámaras), concretamente:
    • Colocar, en las zonas video vigiladas, al menos un distintivo informativo (cartel de aviso) ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
    • tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la LOPD

¿Qué señala la AEPD en su resolución?

De manera literal, la sentencia indica que “La denunciada tiene instalado un sistema de videovigilancia con una videocámara orientada hacia el exterior de la vivienda donde está instalada […], no consta que dicha responsable tenga legitimación para el tratamiento de estas imágenes, realizando por tanto un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos”.

No obstante la AEPD, que es muy benévola, acuerda apercibir al tener en cuenta que “no consta vinculación de su actividad con la realización de tratamientos de datos de carácter personal, ni que existan beneficios obtenidos como consecuencia de la comisión de la infracción” instándola a que en el plazo de un mes:

  1. Cumpla lo previsto en el artículo 6.1 de la LOPD, es decir, a que justifique la retirada de la cámara, o bien su reubicación o reorientación para que ni se oriente ni capte espacio público.
  2. E informe a la AEPD del cumplimiento del requerimiento, acreditando la adopción de dichas medidas, por medio de fotografías que evidencien la retirada de la cámara o fotografías que muestren lo que capta la cámara una vez se haya reubicado o reorientado.

La denunciada no contestó a las solicitudes y finalmente ha sido sancionada con 1.000€ (enlace a la resolución)

La AEPD envía 2 escritos al domicilio de la denunciada con acuse de recibo, que no son atendidos y finalmente la denunciada ha sido sancionada con una multa de 1.000€ por la infracción del artículo 37.1.f) de la LOPD que señala que “son funciones de la Agencia de Protección de Datos: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”.

En definitiva, y como conclusión, repetimos que: si la AEPD te apercibe, atiende su solicitud o prepárate para la multa.

Nuevos tiempos para la privacidad: aprobado el Reglamento Europeo General de Protección de Datos | Eurovima Consulting S.L | Asesoría LOPD Madrid

Nuevos tiempos para la privacidad: aprobado el Reglamento Europeo General de Protección de Datos.

/0 Comentarios/en /por
Nuevos tiempos para la privacidad: aprobado el Reglamento Europeo General de Protección de Datos | Eurovima Consulting S.L | Asesoría LOPD Madrid

Internet Security Stock Photo by hywards in FreeDigitalPhotos.net

Ya lo veníamos anunciado, pero tardaba tanto en “cerrarse el círculo” que parecía que nunca se iba a completar. Hoy 14 de abril, tras cuatro largos años de negociaciones, el Parlamento Europeo ha aprobado la nueva normativa de Protección de Datos, aunque no será de aplicación hasta dentro de dos años, abril de 2018.

Esta reforma pretende, entre otras cuestiones, garantizar en toda la UE unos estándares de protección de datos un nivel uniforme y adecuado a la nueva era digital, sobre todo si pensamos que la actual directiva data de 1995, una fecha en la que el uso de internet era escaso y primario. Po tanto, se trata de un gran paso a favor de los derechos de los consumidores y usuarios en la era digital.

Una norma única para toda la UE que ofrecerá una mayor claridad a las empresas, reforzando la confianza y la seguridad jurídica.

Será de aplicación a todas las empresas que procesen datos de ciudadanos de la UE, con independencia de si su sede está fuera de la UE.

Entre otras disposiciones, las nuevas reglas incluyen:

  • El llamado “derecho al olvido”, ya reconocido por el Tribunal de Justicia de la UE, que permitirá bajo determinadas condiciones la supresión de datos personales e información.
  • El tratamiento de datos personales deberá de contar con un deber de información y consentimiento reforzado, que puede ser revocado en cualquier momento.
  • Restringe a los menores de 13 años el acceso a las redes sociales, si bien cada estado puede aumentarlo hasta los 16, necesitando autorización de sus padres para el tratamiento de sus datos.
  • El reconocimiento de nuevos derechos como el de la “portabilidad”.
  • Informaciones respecto a las brechas de seguridad y el derecho a ser informado en dichos casos cuando se ponga en peligro la privacidad.
  • Nuevos principios, entre otros, la figura del delegado de protección de datos obligatoria para algunas empresas, la rendición de cuentas “accountability” o la privacidad por diseño y por defecto
  • Cambios en el régimen sancionador con multas que pueden alcanzar hasta el 4% de la facturación global.

Próximos pasos

Una vez el Reglamento se publique en el Diario oficial de la UE, será de aplicación directa en todos los Estados miembros a los dos años que es el tiempo que cada país tendrán para dar traslado a su legislación nacional los cambios, en el caso de España, a la LOPD.

NOTA sobre el estado del Privacy Shield, acuerdo que sustituirá al Safe Harbor o puerto seguro, para regular las transferencias internacionales de datos personales, de UE a EEUU.

Aunque se vienen produciendo importantes avances en las negociaciones para lograr la aprobación del Privacy Shield, el acuerdo que sustituya al Safe Harbor o puerto seguro invalidado por el Tribunal de Justicia de la Unión Europea el pasado octubre de 2015, de momento no ha sido aprobado y por tanto, las empresas europeas que necesiten transferir datos personales a EEUU tendrán que esperar o recurrir a los mecanismos señalados al efecto.

Más información en la nota de prensa oficial

Resumen de la jornada sobre el uso responsable de las nuevas tecnologías por los menores | Eurovima Consultin | Asesoría LOPD Madrid

Resumen de la jornada sobre el uso responsable de las nuevas tecnologías por los menores

/0 Comentarios/en /por
Resumen de la jornada sobre el uso responsable de las nuevas tecnologías por los menores | Eurovima Consultin | Asesoría LOPD Madrid

Father With One Child by Ambro in FreeDigitalPhotos.net

Hace unos días tuvimos la oportunidad de asistir a una jornada sobre el uso responsable de las nuevas tecnologías celebrada de manera conjunta por el Ayuntamiento de Pozuelo de Alarcón y la Fundación Legálitas en el Instituto Gerardo Diego de dicha localidad madrileña.

El objetivo de la jornada era el promover un uso responsable y seguro de Internet y las Nuevas Tecnologías especialmente entre los niños y los adolescentes. Como estas cuestiones afectan no sólo a nuestros menores, la jornada se organizó con un programa doble en el que por la mañana se impartió una charla para los alumnos de secundaria y por la tarde a las familias y al público en general.

Entre los ponentes se encontraba Sara García, responsable de la Fundación Legálitas, Fernando Lanchares, experto en nuevas tecnologías y Enrique Rodríguez inspector jefe de la Policía Judicial del Cuerpo Nacional de Policía.

La jornada arrancó con la proyección de unos vídeos de la campaña promovida por la Fundación Legálitas y la Fundación Deporte Joven por la Seguridad en Internet, en el que distintos deportistas, que despiertan siempre gran interés entre los más jóvenes, les hablaban de la importancia de la seguridad en el uso de Internet y las Nuevas Tecnologías con un mensaje distinto al que en ocasiones se les presenta y que no pretende asustar ni meter miedo.

Estos vídeos dejaban una serie de mensajes directos, entre los que destacamos:

  • Avisar a padres o profesores en el momento en que se sientan amenazados.
  • Que guarden su privacidad y no revelen sus claves a sus amigos o compañeros, ni revelen a terceros desconocidos sus propios datos personales.
  • Que para que nos respeten,  primero debemos aprender a respetar a los demás y nunca ser cómplice reenviando contenido o información que pueda dañar a otras personas.
  • Que cuando estén delante de un ordenador,  no vayan tan rápido  que acepten  a personas como amigos  si son personas que realmente no conocen. Deben configurar de manera correcta su privacidad en las redes sociales que utilicen.
  • Que en el caso en que reciban  un correo o un WhatsApp  que les puede hacer sentir incómodos  o les causen vergüenza,  en ningún caso contesten y siempre acudan a sus padres o sus profesores a contarlo .
  • Y en definitiva,  que no cuelguen nada que no pondrían en el tablón de anuncios de su colegio y que se comporten en Internet de la misma manera que se comportan en la vida real.

 Posteriormente los ponentes abordaron el uso de las Nuevas Tecnologías enfocándolo hacia los distintos problemas que un mal uso puede provocar, identificándolos y diferenciando los 3 principales:

  1. Ciberbullyng. Se define como el acoso “entre iguales” en el entorno TIC: chantaje, vejaciones e insultos de niños a otros niños.
  2. Grooming o ciberacoso sexual, se puede describir como la forma en que algunas personas se acercan a niños y adolescentes para ganar su confianza, creando lazos emocionales para posteriormente poder abusar de ellos sexualmente.
  3. Sexting. Que consiste en el envío de contenidos de tipo sexual (principalmente fotografías y/o vídeos) producidos generalmente por el propio remitente, a otras personas, generalmente por medio de teléfonos móviles.

El acoso en internet  no tiene límites ni horarios, no hay una casa o “un fin de semana en el que refugiarse”.

Debemos tener especial cuidado porque igual que el acoso escolar se puede limitar en parte al horario de la escuela, cuando ese acoso se traslada a la red, no hay horarios ni imite espacial de tiempo. El menor acosado en las redes sociales lo sufre de manera permanente, no hay noches o fines de semana en los que el menor se puede refugiar lejos del alcance del acosador del colegio.

Además, la difusión tiene un alcance mayor ya que no se limita única y exclusivamente a un grupo, a una clase o incluso a un colegio, todos sabemos que la difusión en Internet tiene un alcance enorme.

Por ello a medida que a esas edades empiezan a navegar por  Internet, hemos de controlar el horario y el uso ya que en la red no hay un límite espacial de tiempo.

Detectar las señales del acoso: el deber de vigilancia y de educarlos.

Hemos de estar alerta a las señales que nos pueden indicar que algo pasa, teniendo siempre presente que como padres no podemos obrar por omisión ya que tenemos el deber de “in vigilando” e “in educando”.

En definitiva, debemos informarles y educarles en todas estas cuestiones y en que hagan un buen uso de las tecnologías. Se hizo hincapié en la responsabilidad penal que los propios menores asumen a partir de los 14 años aunque la responsabilidad civil recaerá sobre sus padres o tutores legales.

Se comentaron datos que no dejan de sorprendernos, como que el 50% de los menores de entre 11 y 16 años no saben configurar su privacidad en las redes sociales que utilizan, y es que cuanta más información suben, cuanto más se utilizan las redes sociales, más confiados se vuelven porque ellos “controlan”.

Conclusiones:

¿En qué momento están preparados y se pueden iniciar en Internet y Redes Sociales?. La cuestión es que en el momento en que consideremos que nuestros hijos están preparados para iniciarse en el mundo de Internet, al igual que en cualquier otro aprendizaje, necesitarán hacerlo de nuestra mano, necesitarán que se les establezcan unas reglas de antemano bajo un canal de comunicación permanente con ellos.

Debemos vigilar su privacidad, estamos obligados a configurarla con ellos, debemos controlar su adicción, vigilar los peligros a los que se exponen como el fraude o el acceso a contenidos inadecuados (páginas web que les dan consejos de cómo adelgazar o como fabricar un petardo….)

Engañar a un menor es relativamente fácil. Un ejemplo; seguro que nosotros no haremos ningún caso a una ventana que se aparezca misteriosamente en nuestro ordenador y nos diga que somos el visitante un millón y que facilitemos nuestros datos para entrar en un sorteo de un maravilloso “iPhone” de última generación, pero ¿ellos facilitarían esos datos?………

Finalmente recalcar que ese deber de vigilancia también hay que trasladarlo para el caso en que sea nuestro hijo el acosador, que por muy duro que sea, se puede dar el caso ya que para que alguien sea acosado alguien tendrá que acosar.

Una vez que tengamos claras todas estas cuestiones y nosotros estemos preparados, el riesgo no desaparecerá pero sí será menor.

Drones y uso lúdico: algo más que un simple juguete. | Eurovima Consulting SL

Drones y uso lúdico: algo más que un simple juguete

/4 Comentarios/en /por

Los Reyes Magos me han traído un dron.

Drones y uso lúdico: algo más que un simple juguete. | Eurovima Consulting SL

Photo by Malgorzata Kadysz in stock.tookapic.com

Finalizado ya el periodo navideño es la hora de volver a nuestras labores diarias y afrontar con ánimo el nuevo año. Entre los que con suerte han recibido regalos de Papá Noel o los Reyes Magos, son muchos los que se han encontrado con un pequeño aparto volador llamado dron, de hecho se ha convertido en uno de los regalos estrella de estas navidades.

Un dron no es un juguete.

Quizá consideremos que se trata de un simple juguete, es más, por su reducido tamaño ni se nos ocurriría pensar que volarlo en el parque pudiese molestar a nadie. Sin embargo, la Agencia Estatal de Seguridad Aérea (AESA), la autoridad de control que regula y hace cumplir la normativa aérea, lo considera una aeronave, y como tal, su vuelo está sujeto a la normativa vigente en la materia sobre el vuelo de aeronaves.

A los aficionados nos han llegado infinidad de noticias, informes y recomendaciones muy confusas y que nos están coartando a la hora de salir a disfrutar de la naturaleza y de nuestro Dron.

En este artículo intentaremos aclarar un poco las ideas, de tal modo que podamos salir a volar con garantías y sin peligro.

Distintas normas según su finalidad.

En artículos anteriores ya distinguíamos diversas utilidades de estos aparatos, lo que implicaba que dependiendo de su uso se aplicasen distintas normas para su regulación, así por ejemplo, en España, hay una norma específica que regula su uso por los cuerpos y fuerzas de seguridad.

Para uso profesional, decíamos que existe una norma, de carácter temporal que regula su uso, el Real Decreto Ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia, en el que se señala entro tras cuestiones: “Las aeronaves civiles pilotadas por control remoto, cualesquiera que sean las finalidades a las que se destinen excepto las que sean utilizadas exclusivamente con fines recreativos o deportivos, quedarán sujetas asimismo a lo establecido en esta Ley y en sus normas de desarrollo, en cuanto les sean aplicables.”

Además se deberá tener en cuenta lo que diga la Real Federación Aeronáutica Española, las Federaciones Deportivas Aeronáuticas de las Comunidades Autónomas, y las leyes de las comunidades autónomas y las ordenanzas municipales, si existen.

AESA ya ha dado recomendaciones a los Ayuntamientos sobre el uso de los drones y les ha dejado bien claro que no tienen competencia sobre la materia y que no pueden autorizar la grabación en ciudad de ciertos eventos.

Actualmente está en proceso de discusión una nueva norma que regulará pormenorizadamente esta circunstancia, pero hasta la fecha, sigue siendo válido el Real Decreto mencionado.

El  Drone para uso lúdico. Qué podemos hacer y qué no.

En esta categoría es en la que nos movemos la mayoría de nosotros, aeromodelistas, curiosos, aficionados al Radio Control y nuevos pilotos recién estrenados.

Aquí es donde existe el mayor problema de interpretación. Se ha dicho que como se trata de un juguete no le aplica la normativa vigente, y que AESA no tiene autoridad sobre la materia. Incluso que existe un vacío legal y que por tanto está permitido volar en cualquier sitio, siempre que se trate de uso recreativo. Pues debemos desechar esta idea, porque es MENTIRA.

Lo primero que tenemos que tener en cuenta es que en España desde el nivel del suelo hacia arriba se considera espacio aéreo Nacional, y por tanto le es aplicable la normativa sobre la materia.

La primera conclusión entonces sería que si volamos en un lugar techado, AESA no tendrá competencia sobre la materia y por tanto se permite su vuelo en casa, garajes, y pabellones cubiertos.

Fuera de estos lugares AESA ha establecido una serie de recomendaciones que serán de obligado cumplimiento, en tanto no salga la nueva norma que definitivamente regule esta circunstancia.

La podéis descargar en este enlace, y de hecho, os recomiendo llevar este documento siempre encima cuando salgáis a volar por si la Autoridad os empieza a poner problemas. El documento, como veréis, implica tener un poco de sentido común, y se recomienda tener un mínimo de experiencia para volar en exterior.

Se prohíbe:

  • Volar en zonas urbanas y donde haya aglomeraciones de personas como en parques, playas, conciertos…
  • Volar de noche.
  • Volar cerca de aeropuertos o aeródromos, helipuertos, zonas de parapentes, paracaídas…
  • Y sobre todo no poniendo en peligro a terceros.

Se permite.

  • Volar de día, a la vista del piloto, y no superar los 120 metros de distancia de éste.
  • Volar en zonas de vuelo de aeromodelismo y zonas despobladas. (Sí, podemos irnos al campo, fuera de la ciudad, donde no molestemos a nadie).
  • Los daños que se produzcan por un dron serán responsabilidad del piloto, por lo que es recomendable contratar un seguro de responsabilidad civil, como llevamos recomendando desde el primer artículo que hicimos sobre la materia.

Las grabaciones de los drones y la LOPD.

Uno de los alicientes de los drones es la posibilidad de grabar imágenes desde los mismos. Ya os indicábamos en su momento que a toda grabación  realizada fuera del ámbito doméstico le es aplicable la LOPD, y las resoluciones recaídas hasta la fecha así nos lo confirman. Por tanto, si vamos a grabar los vuelos, tened muy claro que la publicación de estas imágenes en Internet excede del ámbito doméstico, y por tanto pueden ser utilizadas para sancionar vía LOPD, si se distinguen a personas en las mismas.

Es más, toda grabación publicada en Internet puede ser utilizada como medio de prueba en un proceso judicial o administrativo, por lo que se podrá comprobar fehacientemente si estás cumpliendo la normativa o no. Quedáis advertidos¡¡¡.

En definitiva, un aeromodelo o dron no es un juguete. Su vuelo implica una serie de responsabilidades. Pero lo más importante es utilizar el sentido común. Felicidades por vuestro regalo, y buenos vuelos.

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.

Feliz Navidad y feliz Privacidad 2016

Feliz Navidad y Feliz Privacidad 2016

/0 Comentarios/en /por

Feliz Navidad y feliz Privacidad 2016No queríamos dejar pasar estas Navidades, sin desearos lo mejor para nuestros lectores, amigos, clientes y colaboradores.

Cerrando el año que hoy termina, podemos deciros que para Eurovima ha sido un buen año gracias a vosotros, a vosotros como clientes ya históricos por seguir a nuestro lado , y a vosotros como nuevos clientes que os habéis sumado a nosotros para poder ofreceros nuestros servicios de la mejor manera posible como siempre intentamos hacerlo. También gracias a nuestros colaboradores de siempre y a las nuevas incorporaciones, con los que hemos tenido la suerte de compartir trabajo a lo largo de todo este año.

Ha sido un año en el que la privacidad, la seguridad y su entorno han vivido momentos convulsos, en el que nuevamente el terrorismo nos azotó y ha vuelto a resonar con fuerza el dilema interminable entre privacidad vs seguridad.

Un año en el que la actividad online ha seguido creciendo de manera imparable y lamentablemente con ella también la inseguridad, sobre todo la de nuestros menores.

En lo normativo, hemos visto un acelerón a final de año entrando en el proceso final para tener en la Unión Europea un nuevo marco regulatorio en materia de protección de datos de carácter personal con la aprobación del nuevo Reglamento de Protección de Datos de la Unión Europea previsto para los próximos meses.

En definitiva, que dejamos otro año atrás, y vamos a por el quinto, que dicen «no lo hay malo» y esperamos que así sea.
Desde EUROVIMA, queremos haceros llegar nuestros mejores deseos y el agradecimiento por seguir al otro lado, sea el medio en el que sea que nos encontremos y compartamos vivencias.

Contamos con vosotr@s!!!!.

Un fuerte abrazo.

El equipo de Eurovima

¿Hacemos copias de seguridad por sentido común o por cumplir con la LOPD? | Eurovima Consulting | Asesoría LOPD Madrid |Adecuación de tu proyecto web a la LOPD

¿Hacemos copias de seguridad por sentido común o por cumplir con la LOPD?

/0 Comentarios/en /por

¿Hacemos copias de seguridad por sentido común o por cumplir con la LOPD? | Eurovima Consulting | Asesoría LOPD Madrid |Adecuación de tu proyecto web a la LOPDSiempre que tenemos una charla sobre el objeto y alcance de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y su cumplimiento normativo, decimos que la mayoría de las cuestiones técnicas y organizativas que la ley nos obliga a acometer, se vienen realizando por inercia del negocio, así del mismo modo que hacemos con nuestra información personal, con más razón lo haremos para preservar nuestra actividad o negocio.

Posteriormente cuando hacemos un proyecto de adecuación, constatamos que este tipo de cuestiones se vienen realizando en el ámbito del negocio o actividad simplemente por esa inercia mencionada y por la aplicación del sentido común.

Claro que no es necesario que una ley me diga que debo realizar una copia de mi información o que habilite un mecanismo por el cual únicamente las personas que yo o la dirección considera que accedan a determinada información de la empresa, pero sí nos damos cuenta de que algunas de estas cuestiones técnicas u organizativas que obliga la LOPD no se ajustan a lo que establece la normativa y debemos adecuarlas.

Definición de Copia de Seguridad según la LOPD

El artículo 94 del Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la LOPD, señala que para cualquier fichero:

  1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
  2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Además, el artículo 102, señala que los ficheros con información de datos personales de nivel alto, deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.”

Motivos por los que realizar una Copia de Seguridad

Simplemente con recordar lo sucedido en Madrid con el incendio del edificio Windsor, bastará para darnos cuenta del sentido que tiene contar con un plan de continuidad que nos permita reemprender con menos dificultades nuestro negocio.

En este sentido, las medidas que la LOPD nos obliga a implementar nos van a ayudar sin duda alguna, pero al margen de lo que diga la LOPD, tenemos muchos motivos tales como:

  • Por si te roban o se estropea tu PC o el servidor
  • Se inunda o incendia tu local
  • Para preservar tu información comercial y de negocio
  • Para reutilizar documentos de trabajo o plantillas

No seas simple, haz cuando menos una copia adicional y mantenla a buen recaudo

Aunque solo sea aplicable a la información de nivel alto, siempre aconsejamos mantener una copia de seguridad adicional fuera de las instalaciones principales en donde se almacene, con el fin de preservar la información de negocio de las mismas contingencias que pudiera sufrir el lugar habitual de almacenamiento, ya que en el caso de un accidente o desastre, dicha copia también podría quedar inservible.

Un ejemplo claro de esto es si pensamos en un incendio, robo o inundación de nuestras oficinas, ya que si no tenemos una copia adicional externa, difícilmente podríamos trabajar al día siguiente con cierta normalidad, ¿no os parece?

Si no fuese posible, cosa que dudamos, guardar una copia de los ficheros en un lugar distinto, habrá que adoptar medidas complementarias para disminuir el riesgo, tales como ubicar la copia en armarios ignífugos, implantación de sistemas antiincendios, etc. y si tu sede tiene más de una estancia el sentido común te dirá qué se guarda en la misma.

Hoy en día el coste no puede ser una excusa ya que el adquirir un disco duro externo de gran capacidad, o la posibilidad de realizar las copias en la nube, aunque en ese caso debemos tener presente otras cuestiones ( “Nube” o Cloud Computing. Seamos diligentes…) no suponen una gran cuantía.

¿Y si falla la copia de seguridad?

Pues en ese caso recurriremos a la copia adicional y en todo caso debemos verificar cada cierto tiempo que la restauración de datos cumple su función, cuestión que el RDLOPD establece y de la que os hablaremos en nuestro siguiente artículo.

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción | Eurovima Consulting S.L.

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción

/0 Comentarios/en /por
Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción | Eurovima Consulting S.L.

Delete Button For Erasing Or Deleting Trash by Stuart Miles in FreeDigitalPhotos.net

Aunque sobre este tema ya hemos hablado en algún que otro post, queremos hacer hincapié en la utilidad de cumplir nuestros propios protocolos, no sólo por la sanción que nos puedan imponer, sobretodo por no manchar nuestra imagen de marca o negocio.

No atender convenientemente el ejercicio de derechos ARCO (acceso, rectificación, cancelación y oposición) al tratamiento de los datos personales de un cliente o usuario, es uno de los motivos más recurrentes de sanción en el ámbito de la LSSI (Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD)

Normalmente las entidades que han realizado un proyecto de adecuación normativo, habrán establecido un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que habrá notificado a todo su personal con el fin de atenderlos convenientemente, de lo contrario el proyecto de adecuación normativo a la LOPD no ha sido ni completo ni riguroso.

La eterna lucha contra el SPAM

Recordemos que se denomina “spam” a todo tipo de comunicación no solicitada que se realiza por vía electrónica y que se lleva a cabo mediante el envío de correos electrónicos comerciales, SMS o por medios de comunicación electrónica equivalentes.

Como el coste es mínimo y se trata de envíos que se realizan de manera sencilla y ágil, esta práctica se ha extendido entre aquellas empresas que prefieren arriesgarse y lograr una publicidad efectiva antes que legal y respetuosa con sus clientes y los que pudieran llegar a serlo.

El SPAM se considera grave cuando se realiza de forma masiva, abusiva e indiscriminada según se establece en el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, modificado por el Real Decreto-Ley 13/2012, de 30 de marzo.

En definitiva, cualquier envío de comunicación con publicidad por medios de comunicación electrónica estarán supeditados a que exista un consentimiento previo, específico, inequívoco e informado, salvo relación contractual anterior y que no se indique voluntad en contra – Comunicaciones electrónicas no deseadas: motivo recurrente de sanción.

La AEPD resuelve que queda acreditado el envío de 3 correos publicitarios una vez manifestó su oposición.

La AEPD acredita en su resolución que el denunciante solicitó en 2 ocasiones la petición del cese en el envío de información comercial, señalando respecto al envío de los 3 correos electrónicos publicitarios lo siguiente:

“[…] No contaba con el consentimiento previo y expreso de la denunciante, toda vez que se enviaron con posterioridad a que éste hubiera manifestado su oposición a la recepción de envíos publicitarios. Por ello, los 3 correos electrónicos enviados […] incumplían la prohibición de remitir comunicaciones comerciales no autorizadas o solicitadas establecida en el artículo 21.1 de la LSSI, ya que se trataba de envíos publicitarios no consentidos por su destinatario, quien había manifestado a la citada entidad su voluntad de no continuar recibiendo publicidad circunstancia perfectamente conocida por dicha entidad”.

Respecto a la culpabilidad de conducta de la imputada, la AEPD señala que:

[…] Le era exigible otra conducta diferente de la que observó, habida cuenta que no adoptó todas las precauciones necesarias en orden a asegurarse que los procedimientos instaurados para tramitar las bajas en el envío de comunicaciones publicitarias funcionaban correcta y efectivamente, considerándose que el argumento de la buena fe resulta insuficiente en atención a la diligencia que le resulta exigible como empresa habituada a la remisión de envíos publicitarios por medios de comunicación electrónica, debiendo, por tanto, velar por el cumplimiento de los derechos de los destinatarios de tales mensajes recogidos en la LSSI, causa por la que debió actuar con más prudencia para justificar la legalidad de su conducta.”

La sanción no fue mayor, ya que la AEPD valoró como circunstancias atenuante la ausencia de intencionalidad, o que hubieses ocasionado perjuicios relevantes al denunciante o generado beneficios a la empresa imputada como resultado de los envíos.

La importancia de cumplir con nuestros procedimientos de respuesta y actuación ante el ejercicio de derechos ARCO

Aunque en la resolución podemos ver que aunque la entidad denunciada manifestó que: disponemos de protocolo interno de atención a cualquier solicitud ARCO referenciada al email […] o por correo ordinario, con personas responsables y sistemas de comunicación. En esta ocasión y debido a que la empresa en esas fechas estaba inmersa en cambios estructurales se ha demorado en el tiempo proceder a la cancelación de los datos solicitada por la denunciante. Entienden que ha habido una demora en el tiempo de ejecución de la mencionada cancelación.”

En definitiva, aunque la entidad manifestó su error al no atender la petición, alegando estar en un momento de cambios internos, no le valió para librarse de la sanción, por eso insistimos a nuestros clientes que si han realizado un proyecto de adecuación normativo riguroso, y por tanto han implementado un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que presten especial atención a los mismos al igual que con la gestión de las suscripciones a los boletines o newsletter,

Seguir los procedimientos que hemos implementado y se encontrarán recogidos en nuestro documento de seguridad es vital para cumplir tanto la LOPD como de la LSSI y de paso trasmitir una imagen de garantías a nuestros clientes y a los potenciales a los que nos queremos acercar.

Puedes encontrar más información acerca de los derechos ARCO en este artículo que tenemos publicado: Como cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”

¿Qué pasa con mis datos personales y los de las empresas una vez invalidado Safe Harbour? | Eurovima Consulting S.L.

¿Qué pasa con mis datos personales y los de las empresas una vez invalidado Safe Harbour?

/3 Comentarios/en /por
¿Qué pasa con mis datos personales y los de las empresas una vez invalidado Safe Harbour? | Eurovima Consulting S.L.

Social Network Stock Photo.
Photo by suphakit73 in FreeDigitalPhotos.net

Ayer, 6 de octubre de 2015, se conoció la sentencia del Tribunal de Justicia Europeo (TJUE) que invalida el acuerdo que permitía transferir datos de usuarios europeos a servidores ubicados en EEUU, en base al acuerdo de «puerto seguro o Safe Harbour«.

El motivo es que las empresas que operan en EEUU no garantizan, o mejor dicho, la normativa y la práctica de las actividades de los servicios de información de Estados Unidos (NSA), no garantizan un nivel adecuado de protección de los datos personales transferidos.

En primer lugar veamos en que consiste el acuerdo de «puerto seguro o Safe Harbour”

Este acuerdo permitía que las empresas ubicadas en los EEUU pudieran recibir y tratar los datos personales transferidos desde entidades Europeas, en base a la certificación de cumplimiento de requisitos que garantizasen el tratamiento conforme a la directiva Europea.

Mediante su adhesión, estas empresas pasaban a ser consideradas como garantes de un nivel adecuado de protección de los datos personales transferidos de Europa a EEUU.

La denuncia que lo desata todo, y los antecedentes que la motivaron.

Todo empieza a raíz de la denuncia de Max Schrems, ciudadano austriaco, usuario de Facebook, cuyos datos (como los de todos nosotros) se transfieren de la filial irlandesa de la red social a servidores situados en territorio EEUU, donde son objeto de tratamiento. El sr. Schrems presentó una denuncia ante la autoridad irlandesa de control, considerando que, tras las revelaciones realizadas por Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos, sus empresas no podrían garantizar una protección suficiente de los datos transferidos a ese país, motivadas por las actividades de vigilancia de sus autoridades.

Aunque hemos dicho que todo empieza con la denuncia, la verdad es que comienza en el momento en que, caen las torres gemelas en los desgraciados atentados del 11S, y EEUU implanta un sistema de vigilancia y control sistemático de la información en base a “La Ley Patriota” o “USA PATRIOT Act”. Ante el eterno dilema de elegir entre seguridad y derechos constitucionales, se optó por restringir derechos para garantizar la seguridad nacional.

Posteriormente, la lucha entre EEUU y la UE por el control de la privacidad, a raíz del cariz que el caso PRISM y SNOWDEN alcanzó, convirtiéndose en un espionaje masivo, la canciller alemana, Angela Merkel, manifestó hace apenas 2 años, su postura de “endurecer las normas de protección de datos en Internet de la UE y por forzar a las compañías de Internet a ser más abiertas en sus políticas en este sentido tras los escándalos de espionaje protagonizados por el Gobierno de Estados Unidos”.

En definitiva: ¿Qué pasa con mis datos personales y los de las empresas que tenga sus datos alojados en EEUU (Cloud)?

Aunque veremos cómo se aplica, pues la decisión del Tribunal de Justicia Europeo no prohíbe de manera automática transferir datos de usuarios desde Europa a EEUU, pero sí que da vía libre para que los países miembros de la UE decidan si ese acuerdo es ilegal o no en cada país.

La sentencia afectará sobre todo A NUESTRAS EMPRESAS, en la medida en que tengamos nuestros datos en servicios de la nube o cloud computing, algo muy habitual dadas sus múltiples ventajas, y en menor medida a las tecnológicas estadounidenses con presencia en Europa, como Facebook, Google, Microsoft, Amazon, Apple, Dropbox, etc. pues seguramente terminarán cumpliendo con la simple modificación de sus políticas de privacidad.

Nuestros datos personales, los que nosotros proporcionamos a las grandes compañías, como decimos siempre, los ofrecemos a cambio de la gratuidad de sus servicios y aceptaremos cualquier clausula que nos impongan, viajarán a los EEUU y allí serán tratados, sin “garantías”, pero al fin y al cabo tampoco tenemos nada que esconder, ¿verdad?

Veremos qué pasos dan las autoridades de control europeas y que base jurídica normativa alternativa se presenta, si es que se presenta, o se traduce en una nueva versión de dicho acuerdo o en el futuro, deseado y anhelado nuevo Reglamento General de Protección de Datos se hiciese alguna referencia.

De momento os dejamos la sentencia, y las notas de prensa de la AEPD y del Tribunal de Justicia de la Unión Europea.

Comunicaciones electrónicas no deseadas: motivo recurrente de sanción | Eurovima Consultin S..L.

Comunicaciones electrónicas no deseadas: motivo recurrente de sanción

/2 Comentarios/en /por
Comunicaciones electrónicas no deseadas: motivo recurrente de sanción | Eurovima Consultin S..L.

Computer And Envelop
Photo by ddpavumba in Freedigitalphotos.net

La necesidad de desarrollar acciones económicas de bajo coste ha condenado a muchas empresas y profesionales a pagar un coste muy superior: el de una sanción.

El envío de correos electrónicos comerciales, SMS, WhatsApp, mensajería privada en redes sociales es un recurso sencillo, ágil y muy económico para las empresas, que ha propiciado y extendido la práctica del spam.

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica.

De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico.

El costo del Spam

La comisión europea y la AEPD (Agencia Española De Protección de Datos) llevan años abordando la cuestión de spam y diseñando campañas para luchar contra una práctica que contamina y genera pérdidas millonarias a las empresas, en productividad, malware y pérdida de confianza de los consumidores.

Pero  hay también otro motivo sustancial: constituye una intrusión en tu intimidad y una vulneración de derechos contemplados en la LSSI-CE y la LOPD.

El envío de comunicaciones comerciales no solicitadas o expresamente autorizadas es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española.

La AEPD tiene la competencia para sancionar la comisión de estas infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la LSSI, según dispone el artículo 43.1 de dicha Ley. II

El artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, señala lo siguiente:

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección”.

El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

El consentimiento; la clave de las comunicaciones electrónicas

Entre los derechos fundamentales que asisten a los ciudadanos está el de la autodeterminación informativa, es decir, decidir la facultad de toda persona para ejercer control sobre la información personal que le concierne.

Aquí es donde el consentimiento adquiere especial relevancia, porque es la manifestación de voluntad del propio ciudadano sobre la información que le concierne. Derecho que toda empresa o profesional debe respetar antes de utilizar su información con fines comerciales.

Para el consentimiento sea válido, debe tener estas características:

  • Ser previo
  • Ser específico
  • Ser inequívoco
  • Ser informado

El deber de información

Para obtener un consentimiento válido, es imprescindible que vaya precedido por información clara y precisa que permitan al destinatario conocer todas las vicisitudes en el manejo de su información personal.

Esta información deberá ser plena y exacta acerca del sector de actividad del que puede recibir publicidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.

Como evitar sanciones por comunicaciones comerciales no solicitadas

La legislación no admite dudas al respecto: toda comunicación comercial para que sea legal, debe ser consentida o expresamente autorizada por el destinatario.

Por lo tanto, las normas a seguir para evitar sanciones  serían las siguientes:

  • No enviar e-mails de contenido publicitario a aquellas personas que no lo han solicitado, ni autorizado ni consentido expresamente a menos que destinatario y remitente estén vinculados por una relación contractual previa , en cuyo caso, las comunicaciones comerciales deben referirse solo a los productos y/o servicios de la empresa del remitente, similares a los que inicialmente fueron objeto de contratación;
  • Que se le ofrezca al destinatario la posibilidad de darse de baja respeto de la recepción de e-mails publicitarios mediante un procedimiento sencillo, fácil y gratuito (como un enlace con la palabra BAJA)
  • Establecer un sistema que permita obtener el consentimiento expreso, válido y legal del destinatario, como un formulario de suscripción.
  • Informar siempre de forma clara la identidad del remitente, la finalidad de la información capturada y los derechos de los destinatarios sobre la misma.
  • Nunca enviar  e-mails de contenido comercial en los que se oculte o no se especifique claramente la identidad de la organización que lo envía

LSSI: Sanciones

Desatender cualquiera de estas normas es exponerse a una sanción por  infracción del artículo 21 de la LSSI, en los términos indicados por el citado artículo 38.4.d).

Normalmente,  se califica como infracción leve, a menos que:

  • Se produzca un envío masivo de comunicaciones comerciales no solicitadas a diferentes destinatarios
  • El envío insistente o sistemático a un mismo destinatario, en los términos que se indican en el también citado artículo 38.3.b)

En esos casos se trataría de una infracción de carácter grave a los efectos de la LSSI.

La cuantía de las sanciones que se impongan se graduará atendiendo a los siguientes criterios:

  1. La existencia de intencionalidad
  2. Plazo de tiempo durante el que se haya venido cometiendo la infracción
  3. La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme.
  4. La naturaleza y cuantía de los perjuicios causados.
  5. Los beneficios obtenidos por la infracción.
  6. Volumen de facturación a que afecte la infracción cometida.
  7. La adhesión a un código de conducta o a un sistema de autorregulación publicitaria aplicable respecto a la infracción cometida, que cumpla con lo dispuesto en el artículo 18 o en la disposición final octava y que haya sido informado favorablemente por el órgano u órganos competentes.

Sin duda, otro factor decisivo a la hora de estimar el monto de la sanción será el grado de diligencia manifestaba por el infractor para evitar, prevenir o subsanar ese error.

La falta de diligencia opera como agravante

Si una empresa o profesional no ha desarrollado las medidas y controles necesarios para evitar que un cliente reciba comunicaciones comerciales tras revocar su consentimiento previo tendrá un problema mucho mayor.

Una muestra de diligencia clara consiste en poder demostrar por ejemplo, la existencia de mecanismos de control oportunos para gestionar las bajas, sistemas de información al destinatario, herramientas para obtención de consentimiento, etc.

Por eso es imprescindible la presencia de un profesional que desarrolle, implante y acredite en adecuado cumplimiento normativo respecto a comunicaciones comerciales y evite los daños económicos y reputaciones que origina una denuncia.