¿Videovigilancia y LOPD: Puedo instalar cámaras que enfoquen hacia la calle aunque no graben? | Eurovima Consulting S.L.

¿Videovigilancia y LOPD: Puedo instalar cámaras que enfoquen hacia la calle aunque no graben?

/6 Comentarios/en /por
¿Videovigilancia y LOPD: Puedo instalar cámaras que enfoquen hacia la calle aunque no graben? | Eurovima Consulting S.L.

Security Camera Or CCTV On Blue Sky Stock Photo
Photo by basketman in Freedigitalphotos.net

Posiblemente sea uno de los motivos más frecuentes de denuncias y sanciones, pero en este caso, la particularidad de la denuncia se refiere a la legalidad o no de instalación de cámaras de grabación ficticias, sin entrar en la motivación de quien las instaló.

La cuestión es que nos ha llamado la atención que en el mes de junio de 2015, la Agencia Española de Protección de Datos (AEPD) ha publicado una serie de resoluciones de archivo sobre posibles infracciones de la Ley Orgánica 15/1999 motivadas por cámaras de videovigilancia siendo variados los motivos de las denuncias, de entre las cuales hemos querido destacar una de ellas.

Aspectos a considerar sobre Videovigilancia: denuncias, sanciones y apercibimiento

En todo caso significar que esa llamada de atención a la que nos referimos, no es sobre que se publiquen resoluciones sobre posibles infracciones motivadas por videovigilancia, ya que hemos de recordar que tal y como indicó la propia AEPD en su Memoria 2014, la mayor parte de las denuncias recibidas fueron relacionadas con:

  • La videovigilancia
  • Contratación fraudulenta
  • La inclusión en ficheros de morosidad
  • y las cuestiones relativas al recobro de deudas

Además, esta tendencia no es nueva, pues ya quedó reflejada en la Memoria 2013 de la AEPD, tal y como informamos en nuestro blog.

En la memoria del 2014, también se indicaba que en lo referente a las resoluciones de procedimientos de apercibimiento (recordemos que se declara infracción pero no se impone sanción económica) del sector privado, han recaído mayoritariamente en la actividad de videovigilancia (55,87%) siendo lo habitual que los denunciados sean particulares y pymes.

Por eso, como ya indicamos en su día, no debemos olvidarnos de las consecuencias de no hacer caso a las notificaciones de apercibimiento, es decir, de ignorar las “advertencias” de la AEPD tal y como reflejamos en nuestro artículo: Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€

Denuncia ante la AEPD motivada por la instalación de cámaras enfocando la calle

Centrándonos en la denuncia, la misma fue motivada por la instalación de cámaras de videovigilancia en un edificio enfocadas hacia la calle, sin carteles de advertencia, colocadas por el administrador del edificio.

La Subdirección General de Inspección de Datos procedió al inicio de actuaciones previas de investigación para esclarecer los hechos denunciados, remitiendo requerimiento al denunciado, solicitando información sobre las características, justificación y ubicación de las cámaras.

Aunque el titular respondió que las videocámaras no graban, por estar desconectadas, la AEPD le requirió pruebas

A los pocos días, la Subdirección General de Inspección de Datos, remitió al denunciado un nuevo requerimiento en el que le instaba que aportase:

  • “Justificación documental (factura, envoltorio, ticket de compra o documento similar) a través de los cuales se acredite fehacientemente que las cámaras instaladas son CÁMARAS FICTICIAS.
  • Documentación gráfica (fotografías) en las que se aprecie que se trata de cámaras simuladas, que NO FUNCIONAN y/o que se encuentran DESCONECTADAS.
  • Se le requiere formalmente para que retire o redirija las cámaras, de modo que no enfoque la vía pública ni áreas o espacios pertenecientes a terceras personas.”

La AEPD archiva la denuncia al considerar que se han retirado las cámaras

El denunciado envió escrito indicando que ha procedido a la retirada de la cámara, a las que se refiere la denuncia, que se encontraban instaladas en la fachada de su local de negocio, aportando fotografías de las que se desprende que ha procedido a su retirada.

¿Qué hubiese sucedido si las cámaras grabasen y estuviesen enfocadas hacia la calle?

Para dar respuesta simple y directa, bastará con recordar que el artículo 4.3 de la Instrucción 1/2006 (sobre sistemas de videovigilancia) establece que “las cámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende”, es decir, que sea necesaria para satisfacer un interés legítimo, algo que ya ha generado más de una controversia y que deberemos demostrar en base al principio de proporcionalidad del artículo 4 de la LOPD.

En este sentido recordemos que la propia AEPD ha manifestado en múltiples resoluciones que: “Para que la excepción recogida en el artículo 4.3 de la Instrucción 1/2006 resulte aplicable no deberá existir una posibilidad de instalación alternativa, sin poder interpretarse que dicho precepto constituye una habilitación para captar imágenes en espacios públicos, puesto que en ningún caso puede admitirse el uso de prácticas de vigilancia más allá del entorno objeto de la instalación y en particular en lo que se refiere a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado”.

En definitiva: ¿Puedo instalar cámaras que enfoquen hacia la calle aunque no graben?

La cuestión es que la AEPD se ha manifestado negativamente en este sentido en varias resoluciones, llegando a sancionar con 1.500€ (PS/00139/2012) una situación en la que la cámara no existía, desestimando las alegaciones presentadas y el posterior recurso de reposición.

En definitiva, si repasamos estas resoluciones de la AEPD y las motivaciones esgrimidas, aun siendo evidente que si existe una cámara falsa o real (que esté apagada y por tanto sin funcionar) no existirá tratamiento de datos, la AEPD ha considerado que genera una “falsa apariencia”, que es a nuestro modo de ver, lo que la AEPD pretende evitar, si bien no podemos estar conformes con la misma.

No obstante entendemos que la manera en la que se plantearon las alegaciones no fueron las adecuadas, por eso queremos recordaros la importancia de responder en tiempo y modo a las notificaciones de la AEPD, sin olvidarnos de cuidar mucho nuestra alegaciones, ya que de todo ello puede depender que seamos sancionados o que la Agencia considere que por esta vez seamos apercibidos o en el mejor de los casos archiven la denuncia.

Quedan abiertos los comentarios para que nos dejéis vuestras impresiones y consultéis cualquier duda sobre el tema, que atenderemos encantados.

Post escrito en colaboración con Marina Brocca

Reflexiones sobre internet, menores y fotografías | Eurovima Consulting | Asesoría LOPD Madrid

Reflexiones sobre internet, menores y fotografías

/0 Comentarios/en /por
Reflexiones sobre internet, menores y fotografías | Eurovima Consulting | Asesoría LOPD Madrid

Family Taking Self Portrait
Fotografía de David Castillo Dominici en FreeDigitalPhotos.net

Antes de nada señalar que no pretendemos dar lecciones de nada, solo expresar una visión sobre un tema que creemos es de interés e incidir en una serie de cuestiones que nos hagan reflexionar sobre la publicación de imágenes de menores en internet.

¿Qué dice la LOPD sobre las fotografías? ¿Es la imagen un dato de carácter personal?

Lo primero que debemos tener claro, es que una foto representa una imagen personal, que desde el punto de vista normativo de la LOPD, es considerado un dato de carácter personal tal y como establece el artículo 5.1 del Reglamento de desarrollo de la LOPD (RDLOPD): “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Por tanto, una foto tendrá la consideración de dato de carácter personal si permite la identificación de las personas que en ellas aparecen.

En segundo lugar, sobre la protección de los menores y sus derechos, que son muchos, nos centraremos solo en los que establece la LOPD como lo señalado en el artículo 13 del RDLOPD, en el que respecto a las imágenes que afecten a menores de edad se señala: “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.”

A las consideraciones legales hay que añadirles el medio en el que vamos a difundir las imágenes: internet

Una vez que ha quedado claro que la imagen es un dato de carácter personal regulado por la LOPD y que para su publicación hay que recabar el consentimiento paterno de los menores de 14 años, tenemos que considerar 3 simples cuestiones básicas de nuestra exposición al entrar en internet:

  • Nada es gratis, nuestros datos e información es el valor que aportamos.
  • Lo que no quieras que se conozca, no lo publiques ni en tu círculo más cercano.
  • Al subir una foto a internet, a las Redes Sociales, hemos perdido todo su control sobre ella, pues no hay garantías ni medidas de seguridad o privacidad que impida que se puedan descargar.

6 consejos para la publicación de fotografías de menores en internet:

A partir de este momento, creo que cada uno de nuestros lectores sacará sus propias conclusiones, no obstante nosotros queremos ofreceros estos 6 consejos:

  1. Al hacer la foto, comprueba que la función de localización no esté activada. Si la subes a internet se podría rastrear donde se hizo e incuso el día y la hora.
  2. Ojo con los comentarios que añadimos, no des información que terceros puedan usar de manera malintencionada tipo “entrando en su primer día de cole”, “primer día que se quedan solos en casa” o “ya va sola en autobús al cole”, ni etiquetes la foto con nombre y apellidos. Esos comentarios junto a otra información que ofrezca la foto ofrecen información sobre su colegio, lugares que frecuenta, actividades, horarios, etc.
  3. No publiques fotos de otros niños sin el consentimiento de sus padres.
  4. Si van a participar en un concurso infantil o como modelos publicitarios que requiera la publicación de las fotos de los peques, que te digan, cuando menos, quién es el responsable, los fines, las cesiones previstas y la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  5. Comparte tus fotos con seguridad. En internet hay herramientas seguras para compartir fotos, búscalas.
  6. El menor usa las Redes Sociales, pero debe ser informado y formado en el uso de internet, deben comprender los riesgos de publicar fotos y sus posibles consecuencias, advirtiéndoles de que no intercambien o compartan fotografías con personas desconocidas.

Podéis encontrar más información sobre menores, internet y privacidad, en las siguientes páginas web:

17 de mayo de 2015, Día de Internet: objetivos y consejos

/0 Comentarios/en /por

dia de internetUn año más, y desde el año 2005 a iniciativa de la Asociación de Usuario de Internet (AUI), el día 17 de mayo se celebra el Día Mundial de las Telecomunicaciones y la Sociedad de la Información, conocido como el “Día de Internet”, con una serie de objetos, entre otros:

  • Difundir y promover el uso de internet en la sociedad.
  • Reducir la brecha digital, sirviendo de oportunidad para favorecer el acceso de los no conectados a la sociedad de la información.
  • Aprovechar el potencial que internet nos brinda.

Para dar mayor repercusión a este día, se han impulsado una serie de actividades que se desenvuelven en un espacio temporal más amplio, en una semana, en la que se han agrupado actos y eventos a los que se han sumado un buen número de empresas que ofrecen productos y servicios en condiciones especiales durante estos días.

Aplicando el sentido común y 4 aspectos básicos tenemos mucho ganado

Desde EUROVIMA, queremos hacer hincapié en que simplemente empleando el sentido común que aplicamos en nuestra vida “real” a nuestra vida “digital”, tenemos mucho ganado, y en todo caso nunca debemos olvidar estos 4 aspectos esenciales que garantizan el equilibrio entre el binomio uso de internet y privacidad:

  • Dispositivos móviles y geolocalización. Nuestros móviles y tabletas son cada vez capaces de almacenar mayor cantidad de información personal que debemos proteger con clave. No des datos de tu ubicación de manera innecesaria.
  • Apps: datos recabados y navegación. Las cookies.- Antes de su instalación asegúrese de leer y comprender las condiciones de uso y privacidad, los tipos de datos personales que pueden recoger y el uso que la app hará de esa información. Las cookies, esos pequeños archivos que se instalan cuando navegamos por páginas web, darán información sobre nuestros hábitos de comportamiento, preferencias, gustos, consumo, etc. Activa la navegación privada y elimínalas cada cierto tiempo.
  • Redes sociales. Debemos revisar de manera periódica nuestro perfil y la configuración de privacidad que la Red Social nos ofrece, respetando la privacidad de terceros, no publicando imágenes o vídeos sin su consentimiento.
  • Menores. Al igual que acudimos a una autoescuela para que nos enseñen a conducir, a los menores habrá que enseñarles a navegar por internet. Los menores son especialmente vulnerables en el mundo online y tenemos la obligación y el deber de acompañarles en sus principios de navegación y hacerles ver y entender la importancia de preservar su privacidad y la de su entorno.

Podéis encontrar más información en http://www.diadeinternet.org/2015/

Protección de datos: Resumen 7ª Sesión Anual Abierta de la AEPD, Conclusiones

/0 Comentarios/en /por

Protección de datos: Resumen 7ª Sesión Anual Abierta de la AEPD, Conclusiones Ayer 21 de abril de 2015, nuevamente en el Teatro Real de Madrid, es decir, en un marco acorde con el evento, se celebró la 7ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD).

Un año más con el aforo completo, cerca de 1.200 profesionales de la privacidad y la protección de datos, asistimos a la cita de la AEPD con objetivos como:

  1. Escuchar de la propia Agencia los acontecimientos más significativos en materia de protección de datos personales que se han producido en el último año y su opinión sobre dichas cuestiones, confiando en que no fuese la mera exposición de la memoria anual de la AEPD.
  2. Poder conocer alguna novedad significativa en la materia, y sobre todo del “estado” del Reglamento Europeo, quizás el objetivo más deseado cada año y a la vez el más inalcanzable.
  3. Confiar en que las preguntas expresadas por los asistentes y formuladas de manera previa al evento, sean respondidas con criterios de aplicación efectiva-real y no invocando al artículo de turno.

Lo cierto, es que un año más hemos salido un tanto defraudados con la AEPD, ya que por un lado las novedades tienen una aplicación profesional “limitada”, y por otro la exposición del Director de la Agencia ha confirmado los temores manifestados en el primer punto mencionado, es decir, se ha limitado casi a la exposición de la memoria anual de la AEPD, que ya todos conocemos, y al consabido repaso del victorioso “caso Google” y el “derecho al olvido”.

El Reglamento Europeo

La mayor decepción ha sido una vez más escuchar que el nuevo Reglamento Europeo sigue paralizado, por muchos avances por bloques o capítulos parciales que se vayan alcanzando la realidad es que en palabras del Director “nada estará aprobado hasta que todo esté aprobado”, y por eso a este paso, permítanme la broma, “todos jubilados”.

También destacar las dudas que siempre surgen por atentados como el de París. Dudas entre seguridad frente a privacidad, en base a la necesidad de realizar tratamientos masivos de datos de pasajeros, su proporcionalidad, utilidad e idoneidad, en definitiva optar por una “mejor” o “mayor” información.

Guía sobre protección de los datos personales y la reutilización de la información del sector público: la anonimización

De las pocas novedades, destacar que la AEPD está elaborando una Guía sobre protección de los datos personales y la reutilización de la información del sector público, que una vez publicada será sometido a consulta, y que incluirá orientaciones prácticas buscando favorecer la reutilización de la información del sector público pero minimizando los riesgos de reidentificación de las personas y de su información.

Para la elección de la técnica más eficaz los procesos de anonimización deberán ser evaluados teniendo presente los avances tecnológicos en el análisis de datos, el exponencial crecimiento de la información disponible y en general, su perfil dinámico. Todo ello para garantizar el carácter irreversible en base a una técnica de anonimización adecuada y de garantías que aúne coste, esfuerzo y beneficio, siempre desde el diseño, y que permita afirmar que dicha información quedará excluida de la aplicación de la LOPD.

Aspectos a destacar a efectos prácticos de aplicación profesional en materia de protección de datos

Mencionar la entrega de los premios de protección de datos, y del resto de temas a efectos prácticos de aplicación directa para la mayoría de los asistentes, resaltar:

  • El nuevo procedimiento NOTA, que en general será más funcional y versátil, permitiendo notificar varios ficheros a la vez.
  • Las dudas sobre la figura del DPO, del que parece razonable pensar que habrá un registro.
  • La consideración que la AEPD manifiesta tener sobre los profesionales de la privacidad, con los que dice colaborar y desea seguir haciéndolo, todo ello pese a la falta de recursos y medios de los que la Agencia dispone.
  • Algunas menciones de sentencias y resoluciones, al igual que las respuestas a las consultas planteadas, que habrá que ver con calma una vez expuestas en la página web de la Agencia.

NUESTRAS CONCLUSIONES:

Este evento sirve seguro para seguir poniendo de manifiesto, que hay un amplio sector profesional de la privacidad que tiene gran inquietud e interés por saber cómo aplicar los principios de la LOPD. De igual manera, poder transmitir la necesidad del cumplimiento efectivo a nuestros clientes y en general a las personas que necesitan conocer la manera de salvaguardar su privacidad.

Cuando menos, lo que señalamos el pasado año en este post resumen (6ª sesión anual AEPD) “…llegamos a la conclusión que según la AEPD el cumplimiento normativo es “gratis””, ya no parece tan evidente, una vez la Agencia ha cambiado su mensaje pasando a “no es difícil”. Este mensaje simple, nos deja bastante contentos y con ganas de continuar.

En todo caso, seguro que cualquiera de los casi 1.200 de los profesionales en materia de asesoría LOPD venidos de toda España que nos hemos citado en Madrid, os podremos ayudar, no solo haciéndolo fácil, sino también efectivo y real.

Presentación de la Guía de Menores APEP para padres y educadores | Asesoría Protección de Datos |Madrid

Presentación de la Guía de Menores APEP para padres y educadores

/0 Comentarios/en /por

Presentación de la Guía de Menores APEP para padres y educadores | Asesoría Protección de Datos |MadridEl pasado día 12 de febrero de 2015 la Asociación Profesional Española de Privacidad (APEP) presentó en Madrid una Guía que recoge de manera clara, concisa y comprensible, las recomendaciones básicas para padres y educadores sobre el uso de redes sociales e internet por parte de los menores (enlace a la guía).

Asistimos a una “brecha digital” o generacional en el uso de las TIC´s

Está claro que asistimos a una “brecha digital” o generacional en el ámbito del uso de las nuevas tecnologías que llegan a los menores, a los denominados “nativos digitales”, frente a unos padres y formadores que en muchos casos, no sabemos ofrecerles respuestas.

A las habituales cuestiones sobre a qué edad deben tener acceso, o si debe el ámbito educativo actuar para formarle, o qué debemos exigir a la industria, se suman cuestiones casi unipersonales como el espacio de privacidad que hay que concederles.

Todo ello asumiendo que en muchos casos el menor sabe más que el adulto y entonces, ¿qué respuestas les vamos a dar?, por eso que cuando menos, este tipo de herramientas nos permiten darles una información básica y de autodefensa mínima frente a los peligros existentes, plasmado en las ganas por participar y aportar al debate de los asistentes, en sus condiciones de profesionales, padres o educadores.

Opiniones de los expertos

El acto arrancó con una breve presentación de Ricard Martínez, Presidente APEP, destacando los motivos que han impulsado a crear esta guía, para a continuación dar paso a Salomé Adroher, Directora General de Servicios para la Familia y la Infancia, que destacó que el binomio menores-TIC supone a la vez una oportunidad, pero también un riesgo.

Salomé destacó los informes de Naciones Unidas sobre la labor de alfabetización digital garantizando los contenidos y la orientación a la infancia en materia de privacidad en la que la oportunidad viene marcada por la necesidad de reducir la brecha digital de los menores con exclusión social por su no acceso a las TIC´s y el riesgo derivado de contenidos inadecuados.

Salomé recalcó la necesidad de realizar un trabajo conjunto entre todos los estamentos y se mostró esperanzada ante las nuevas regulaciones legales que pronto verán la luz, orientadas en torno a los menores y las TIC´s.

A continuación se dió paso a una mesa redonda que abrió Ana Marzo, miembro del Consejo Asesor de Padres 2.0, que destacó la necesidad de hacerles ver a los menores la importancia de su privacidad e intimidad, en la que los textos orientativos y distintos juegos pueden hacernos la labor mucho más fácil y efectiva, pues como siempre, estamos hablando de menores a los que precisamos reclamar su atención.

Conclusiones de la Subcomisión de Estudio sobre las redes sociales

Conrado Escobar, Portavoz de la Comisión del Interior del PP y vocal en la Subcomisión de Estudio sobre las redes sociales, emplazó a los asistentes a valorar las conclusiones que la Subcomisión ha elaborado y que en breves fechas será publicada, dejando como adelanto algunas pinceladas:

  1. Sobre el “cambio de ciclo brutal”, de paradigma, referente a la demanda de más tecnología y a su necesidad de inmediatez, de quererlo “todo ya”, de la importancia de la educación y por ende de los profesores y de la aplicación de la ética en la medida en que estamos hablando de Derechos Humanos.
  2. Que en todo caso hay que atender los intereses de los más vulnerables, es decir, de los menores, en base a garantizar su privacidad y el cumplimiento normativo, como la LOPD.
  3. De que la responsabilidad es compartida, público-privada, y que en todo caso, no todo se puede regular, si bien destacó que efectivamente hay materias que tienen una grave obsolescencia como la LO 1/1982, la Ley General de la Comunicación Audiovisuales de 2010 o la directiva Europea en materia de Protección de Datos.

Finalmente la Comisión redactora de la Guía formada por María Arias, Alicia Piña y Silvia Telechea hizo un breve resumen de la misma y del objetivo de su realización, que en definitiva viene a ser el de facilitar una herramienta más a los padres y educadores para gestionar los riesgos, compartiendo sus conocimientos y recursos con sus hijos de manera que puedan aprovechar las múltiples oportunidades que ofrece internet pero sin olvidar sus peligros.

En definitiva, una oportunidad de seguir hablando y debatiendo sobre privacidad, menores y tecnologías, a la que os animamos a que os suméis exponiendo vuestras opiniones.

Por una privacidad de una sola “velocidad”, por un marco normativo europeo común | Eurovima Consulting S.L.

Por una privacidad de una sola “velocidad”, por un marco normativo europeo común

/0 Comentarios/en /por

Por una privacidad de una sola “velocidad”, por un marco normativo europeo común | Eurovima Consulting S.L.El pasado 28 de enero, con motivo del Día Europeo de Protección de Datos, en el blog de la Asociación Profesional Española de Privacidad (APEP) han publicado un artículo escrito por nuestro CEO, Rafael Varela del que os dejamos una reseña y os invitamos a leer completo en este enlace

Hoy 28 de enero de 2015 estamos celebrando el día de la Protección de Datos en Europa por 9º año consecutivo.

Se trata de una jornada festiva, que impulsada desde la Unión Europea por las autoridades de Protección de Datos de los estados miembros, pretende promover el conocimiento entre los ciudadanos europeos sobre cuáles son sus derechos y responsabilidades en el ámbito de protección de datos y por ende de la privacidad.

Seguramente muchos de nuestros amigos lectores, tendrán cierta información sobre los aspectos que enmarcan su privacidad, pero sobre todo de lo que les gusta y les disgusta de manera especial cuando alguien sobrepasa ciertos límites que atentan contra su persona o entorno. Todos tenemos medianamente claro cuando algo o alguien pretende menoscabar nuestros derechos en materia de protección de datos personales, pero no tanto cuando salimos de nuestro ámbito, canal o esfera cotidiano, y me explico.

Los tiempos están cambiando, siguen cambiando, pero las leyes no lo hacen al mismo ritmo. []

Sanción AEPD: El Responsable del Fichero “también” responde del incumplimiento del Encargado de Tratamiento | Eurovima Consulting S.L.

Sanción AEPD: El Responsable del Fichero “también” responde del incumplimiento del Encargado

/0 Comentarios/en /por

En esta ocasión queremos hablaros de una sanción que la Agencia Española de Protección de Datos (AEPD) ha impuesto a dos empresas, una que actuaba como responsable de fichero y otra como encargada de tratamiento de la anterior. El motivo de la sanción es el incumplimiento del deber de información regulado en el art. 5 de la Ley de Protección de datos (LOPD).

La primera de ellas, responsable del fichero, encomendó a la segunda, encargada de tratamiento, la gestión de los servicios de “Call Center” de ésta.

En su defensa inicial, el responsable del fichero y el encargado de tratamiento alegaron que la LOPD no les es aplicable porque tratan datos de entidades jurídicas, y en su caso, de las personas que trabajen para estas entidades, por lo que les sería de aplicación la excepción del art. 2.2 del Reglamento que desarrolla la LOPD (RDLOPD). Pero a lo largo del procedimiento se ha demostrado que se trataban datos de otras personas como familiares o cualquier persona que llamase al “Call Center” con motivo de la relación con la responsable del fichero y se atendían llamadas por personas interesadas en adquirir vehículos de ocasión, siendo desestimada dicha excepción del art. 2.2 del RDLOPD

El origen de la denuncia

Partió del representante sindical que denunció que si bien las llamadas recibidas por el “Call Center” se grababan por acuerdo entre las partes, posteriormente el encargado de tratamiento, y por su cuenta envió un correo electrónico a los coordinadores del servicio diciendo a sus empleados que no se debía informar a los llamantes de que las conversaciones eran grabadas.

La AEPD resuelve que existe corresponsabilidad de ambas entidades

La resolución pone de manifiesto que: “Es al responsable del fichero y tratamiento, a quien corresponde adoptar las cautelas para el cumplimiento de los mandatos de la LOPD y su inobservancia le hace responsable del tratamiento de datos objeto de de la denuncia, con independencia de la actuación del encargado del tratamiento” añadiendo que “no ha aportado elementos de juicio suficientes que permitan entender que dio instrucciones precisas al respecto y no había previsto ningún mecanismo ni establecido ningún control al respecto, ni una obligación cierta, expresa y determinada

Esta corresponsabilidad, viene marcada en la sentencia que establece: “Sobre este particular decir que interpreta el art. 12.4 de la LOPD la sentencia de 14/03/2007 Recurso 280/2005, que haciéndose eco de la anterior Sentencia de 13/04/2005 Rec.241/2003, establece que lo que determina la LOPD en el mismo es que si el encargado del tratamiento destina los datos a una finalidad distinta a la indicada, los comunica o los utiliza incumplido las estipulaciones del contrato “… “será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

“El término “también” deja claro que no se establece allí un mecanismo de sustitución ni de derivación de responsabilidades sino de agregación, pues el responsable del tratamiento no pierde su condición de tal, ni queda exonerado de responsabilidad por el hecho de que al encargado del tratamiento, que incumpla lo estipulado, se le atribuya “también” la consideración de responsable del tratamiento…”

Pese al incumplimiento del encargo del Responsable del Fichero, ambos fueron sancionados con 2.300€

En definitiva, aunque el encargado de tratamiento por propia iniciativa es responsable de haber dado instrucciones específicas y expresas a sus trabajadores para que no informen sobre las grabaciones, el responsable del fichero o tratamiento responderá de las infracciones cometidos con motivo del encargo, aunque el encargado del tratamiento haya incumplido sus instrucciones, por no vigilar que esté cumpliendo con la normativa sobre protección de datos.

¿Qué conclusiones podemos extraer de todo lo expuesto?:

  • El deber de información del art. 5 de la LOPD, debe ofrecerse siempre, aunque se haga de forma telefónica, incluso teniendo el consentimiento del titular de los datos para tratar los mismos, por ejemplo por motivo de un contrato previo.
  • Cuando se traten datos de empresas o sus empleados, se hará siempre cumpliendo con la finalidad para los que se recabaron los mismos. Los datos de los empleados que están excluidos de la norma son nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
  • Debe existir siempre un contrato, entre el responsable de fichero y el encargado de tratamiento, conforme al 12 de la LOPD, que regule la situación del tratamiento de datos por cuenta del responsable del fichero, en el que se darán instrucciones precisas de cómo se debe actuar por parte del encargado de tratamiento.
  • El incumplimiento de dicho contrato, o de la normativa sobre protección de datos por parte del encargado de tratamiento, con motivo de esta relación, le convierte en responsable de tratamiento, y por tanto se le podrá sancionar. Pudiendo sancionar también al responsable del fichero por no vigilar que el encargado cumpliendo con la normativa sobre protección de datos.

Si queréis más información sobre este procedimiento lo podéis consultar en este enlace.

Desde Eurovima, recomendamos a las empresas regular muy bien las relaciones con los terceros con los que contratamos nuestros servicios y que traten/accedan a datos personales de los que somos responsables, como puedan ser asesores, hosting, informáticos, “Call Center”… y sobre todo que seamos “diligentes” a la hora de elegirlos, cuestión que genera controversia en materia LOPD, al ser un argumento que ha empleado en distintas ocasiones y sobre el que ya hemos hablado: “Nube” o Cloud Computing. Seamos diligentes…

Protección de Datos: Resumen del Foro Debate “Privacy by design” organizado por sección TIC del ICAM, DENAE y APEP | Asesoría Protección de Datos Madrid

Protección de Datos: Resumen del Foro Debate “Privacy by design”, con ICAM, DENAE y APEP

/0 Comentarios/en /por

Protección de Datos: Resumen del Foro Debate “Privacy by design” organizado por sección TIC del ICAM, DENAE y APEP | Asesoría Protección de Datos MadridAyer 14 de enero de 2014, en un lleno Salón de Actos del Ilustre Colegio de Abogados de Madrid (ICAM) tuvo lugar un interesante foro de debate que giró sobre la privacidad desde el diseño, es decir, sobre la necesidad de asegurar que cualquier “proyecto” desde la fase de planificación de los procedimientos y sistemas, contemple el cumplimiento de las garantías de protección de los datos de carácter personal que vaya a tratar.

Ponentes.

  • Leticia Lopez-Lapuente. Responsable jurídico de protección de datos Grupo Sanitas.
  • Isabela Crespo. Abogada área de Propiedad Intelectual, Tecnologías y Protección de Datos de Gómez-Acebo & Pombo.
  • María González Moreno. Asociada de ECIJA
  • Antonio Ramos. Vicepresidente de ISACA Madrid

La sesión convocó a más de 100 profesionales del ámbito de la LOPD, presentada por Paloma Llaneza, contó con una fluida moderación que corrió a cargo de Marcos Judel, destacando la buena dinámica en la que transcurrió el debate, no solo entre los ponentes, también de los asistentes que participaron de manera activa.

Las reflexiones que personalmente me gustaría destacar sobre “Privacy by design” y sus implicaciones empresariales, son las siguientes:

  • Tratemos de reducir riesgos, ya que el riesgo nulo no existe.
  • El coste de no tenerlo previsto será más alto cuanto más tarde decidamos asumirlo.
  • Oportunidad de generar valor y obtener una ventaja competitiva del cumplimiento normativo.
  • Aunar accountability y responsabilidad con la transparencia.
  • Que la diligencia en la empresa quede patente en su implementación. Hay que ser proactivos y preventivos.
  • La necesidad de concienciación interna y en todas las áreas de la empresa, y por supuesto desde la Dirección. Evitar enfrentamientos entre seguridad y privacidad.
  • Debemos ser capaces de verificarla y medirla, otra cuestión es quién y cómo.

La privacidad en todos sus ámbitos.

La excusa era hablar de la privacidad desde el diseño, pero desde un primer momento, se vio que como siempre, la privacidad engloba tantos aspectos, actores, conceptos y dudas, que resultó imposible no hablar de todo un poco. Entre otros aspectos, se debatió sobre:

  • El esperado Nuevo Reglamento Europeo de protección de datos, que aunque se hace muy necesario, nos hay previsiones para que llegue antes del 2016.
  • De la figura del DPO (Data Protection Officer) o Delegado/Responsable de Protección de Datos, de su obligatoriedad, de su nombramiento, independencia, perfil y funciones
  • De los mercados, normativa y competitividad: local vs global

En definitiva, agradecer a ICAM, DENAE (Asociación Española de Derecho del Entretenimiento) y APEP (Asociación Profesional Española de Privacidad) esta buena oportunidad para poner sobre la mesa, la actualidad y las inquietudes que a los profesionales en materia de protección de datos nos mantiene en constante conexión.

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan

/0 Comentarios/en /por
¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

Sexy Target Stock Photo – Photo by Salvatore Vuono. in FreeDigitalPhotos.net

Vamos cerrando el 2014, que en líneas generales consideramos que ha sido un buen año, aunque tampoco podemos decir que haya sido como para recordar.

Un año en el que hemos asistido a la compra de WhatsApp por Facebook, al adiós de Windows XP o al ataque a Sony y los ciberataques masivos, al estancamiento de las Google Glass y al despegue de todo tipo de App´s, de la impresora 3D y de los Wearables, a la incertidumbre del Bitcoin o al año en el que la UE respaldó el derecho al olvido y hace a Google responsable del tratamiento de datos personales.

Los menores hablan en un idioma distinto al de los padres

Son nativos digitales enseñados por inmigrantes digitales y por tanto hablan idiomas distintos. En todo caso, aunque parezca que no, creemos que ha sido un buen año en cuanto a los avances en materia de prevención e información hacia los menores en materia de privacidad y seguridad, aunque el ciberacoso en cualquiera de sus modalidades, aumenta en la medida en que la mensajería instantánea y las Redes Sociales se apoderan de parte de sus vidas y por ello hay que perseverar en ello.

La cuestión es que de en todos esos acontecimientos citados hay un denominador común, la privacidad y la seguridad en un mundo/mercado cada vez más global y online, en el que parece que hemos avanzado poco a nivel de regulación, cuando menos la española/europea, y que en lo que hemos tratado de avanzar, ni siquiera está claro.

La Unión Europea sigue sin aprobar el nuevo marco regulatorio en materia de protección de datos

Desde el punto de vista de la privacidad, ha sido un año convulso marcado principalmente por los coletazos del “viejo” tema del espionaje NSA-SNODWEN, en el que hemos visto como ni siquiera ese terremoto ha acelerado el proceso final que haga que tengamos en la Unión Europea un nuevo marco regulatorio y sigamos con nuestra “vieja-local” LOPD.

Nos espían, lo asumimos y casi aceptamos, pues no somos capaces de ponernos de acuerdo para regularlo.

Otro gran acontecimiento ha sido la reforma de la Ley de Propiedad Intelectual, cuyo “éxito” se resume en que su tramitación ha sido accidentada, aprobada sin consenso y sin tener claro el uso y en qué manera va a afectar, no a los presuntos delincuentes contra los que pretende regular, sino al resto de usuarios de Internet.

La defensa de los derechos de autor se ha mezclado con la llamada “Tasa Google” o “canon AEDE”, ha terminado con el cierre de Google News, una herramienta que al final ayudaba a los propios editores a generar tráfico a sus páginas web.

Sobre los “piratas”, aquellos que serán perseguidos por facilitar enlaces a contenidos no autorizados, generando un “daño”, veremos la manera en que se identificará a los usuarios por la vía civil.

Esta es nuestra visión resumida del 2014. Desde EUROVIMA os seguiremos informando de estas y otras cuestiones que sean de actualidad e interés, en el ámbito que engloba la tecnología, la privacidad y la seguridad.

Aprovechamos para desearos un gran año.

LOPD: Derechos ARCO, 6.000€ de sanción por no cancelar sus datos

/0 Comentarios/en /por
photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

En la vida en muchas ocasiones hay que insistir, hacernos oír y luchar por lo que consideramos justo. Luego la justicia o el órgano competente dirá si tenemos o no razón, y en este caso, vemos como la Agencia Española de Protección de Datos (AEPD) atendió en segunda insistencia la denuncia de una persona que estimaba lesionados sus derechos respecto a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

Este artículo es un ejemplo claro de aplicación sobre el que hace unos días escribimos: Cómo cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”, en el que el papel del primo de Zumosol recae en la AEPD.

EL MOTIVO DE LA DENUNCIA

El denunciante se dio de alta como Usuario para un servicio concreto, solicitando información sobre productos y servicios de la entidad. Posteriormente mediante el envío de un email a la dirección de la página web del denunciado, les requirió que no habiendo recibido ningún servicio, cancelen todos mis datos personales y me comuniquen que dicha cancelación se ha producido”.

El denunciante continuó recibiendo llamadas comerciales en las que reiteró su solicitud de cancelación, no recibiendo en ningún caso comunicación sobre su solicitud, por lo que decidió presentar denuncia ante la AEPD solicitando su tutela.

LA AGENCIA NO ATENDIÓ INICIALMENTE SU PETICIÓN, NI EL RECURSO.

Aunque inicialmente la AEPD acordó la inadmisión a trámite de la reclamación de tutela de derechos, al considerar que “la solicitud de cancelación remitida por correo electrónico no permite acreditar su recepción por la entidad reclamada, y tampoco aceptó el recurso de reposición por los mismos motivos señalados, posteriormente en su resolución sí consideró que el medio empleado por el denunciante para dirigir su solicitud de cancelación de datos fue el adecuado ya que así lo establecía la entidad a través de su web, ordenando el inicio de las Actuaciones de investigación para esclarecer los hechos.

FINALMENTE: LA SANCIÓN

La sanción señala que “habiendo comprobado que la petición de información del denunciante no había sido atendida, en el momento en que éste ejercitó el derecho de cancelación, en lugar de atenderlo, plantearon recuperar la solicitud de información sobre los servicios de la entidad remitiendo los datos a otro concesionario o por otro medio, habiéndole realizado llamadas telefónicas con este fin en fechas posteriores al ejercicio del derecho, lo que supone un tratamiento de los datos del denunciante contrario a la disposición efectuada por éste y demuestra, en definitiva, que el derecho no fue atendido”.

Además indica, que se incumplió la obligación de contestar la solicitud de cancelación y no comunicarla a los cesionarios a los que se había remitido los datos, para que éstos, a su vez, procedieran a cancelarlos, lo que supuso una infracción del artículo 16 de la LOPD, conforme al derecho de cancelación ejercitado por el denunciante.

En definitiva, por no resolver sobre la petición de acceso en el plazo máximo de 10 días ni proceder al borrado físico de sus datos o a su bloqueo, volver a comunicarse para reactivar el servicio al Usuario y no comunicarlo a los cesionarios, le fue impuesta una sanción de 6.000€. La sanción no fue mayor, ya que la AEPD estimó que:

  1. El denunciado no había obtenido un beneficio de dicha acción
  2. No era reincidente
  3. No provocó perjuicios distintos derivados de la propia infracción y
  4. ha mostrado su disposición a mejorar sus procesos internos para atender dichos derechos (acreditando la elaboración de un nuevo proceso de ejercicio de derechos ARCO y su ofrecimiento para colaborar).

 Pueden consultar el procedimiento sancionador en este enlace