Entradas

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

Sexy Target Stock Photo – Photo by Salvatore Vuono. in FreeDigitalPhotos.net

Vamos cerrando el 2014, que en líneas generales consideramos que ha sido un buen año, aunque tampoco podemos decir que haya sido como para recordar.

Un año en el que hemos asistido a la compra de WhatsApp por Facebook, al adiós de Windows XP o al ataque a Sony y los ciberataques masivos, al estancamiento de las Google Glass y al despegue de todo tipo de App´s, de la impresora 3D y de los Wearables, a la incertidumbre del Bitcoin o al año en el que la UE respaldó el derecho al olvido y hace a Google responsable del tratamiento de datos personales.

Los menores hablan en un idioma distinto al de los padres

Son nativos digitales enseñados por inmigrantes digitales y por tanto hablan idiomas distintos. En todo caso, aunque parezca que no, creemos que ha sido un buen año en cuanto a los avances en materia de prevención e información hacia los menores en materia de privacidad y seguridad, aunque el ciberacoso en cualquiera de sus modalidades, aumenta en la medida en que la mensajería instantánea y las Redes Sociales se apoderan de parte de sus vidas y por ello hay que perseverar en ello.

La cuestión es que de en todos esos acontecimientos citados hay un denominador común, la privacidad y la seguridad en un mundo/mercado cada vez más global y online, en el que parece que hemos avanzado poco a nivel de regulación, cuando menos la española/europea, y que en lo que hemos tratado de avanzar, ni siquiera está claro.

La Unión Europea sigue sin aprobar el nuevo marco regulatorio en materia de protección de datos

Desde el punto de vista de la privacidad, ha sido un año convulso marcado principalmente por los coletazos del “viejo” tema del espionaje NSA-SNODWEN, en el que hemos visto como ni siquiera ese terremoto ha acelerado el proceso final que haga que tengamos en la Unión Europea un nuevo marco regulatorio y sigamos con nuestra “vieja-local” LOPD.

Nos espían, lo asumimos y casi aceptamos, pues no somos capaces de ponernos de acuerdo para regularlo.

Otro gran acontecimiento ha sido la reforma de la Ley de Propiedad Intelectual, cuyo “éxito” se resume en que su tramitación ha sido accidentada, aprobada sin consenso y sin tener claro el uso y en qué manera va a afectar, no a los presuntos delincuentes contra los que pretende regular, sino al resto de usuarios de Internet.

La defensa de los derechos de autor se ha mezclado con la llamada “Tasa Google” o “canon AEDE”, ha terminado con el cierre de Google News, una herramienta que al final ayudaba a los propios editores a generar tráfico a sus páginas web.

Sobre los “piratas”, aquellos que serán perseguidos por facilitar enlaces a contenidos no autorizados, generando un “daño”, veremos la manera en que se identificará a los usuarios por la vía civil.

Esta es nuestra visión resumida del 2014. Desde EUROVIMA os seguiremos informando de estas y otras cuestiones que sean de actualidad e interés, en el ámbito que engloba la tecnología, la privacidad y la seguridad.

Aprovechamos para desearos un gran año.

LOPD: Derechos ARCO, 6.000€ de sanción por no cancelar sus datos

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

En la vida en muchas ocasiones hay que insistir, hacernos oír y luchar por lo que consideramos justo. Luego la justicia o el órgano competente dirá si tenemos o no razón, y en este caso, vemos como la Agencia Española de Protección de Datos (AEPD) atendió en segunda insistencia la denuncia de una persona que estimaba lesionados sus derechos respecto a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

Este artículo es un ejemplo claro de aplicación sobre el que hace unos días escribimos: Cómo cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”, en el que el papel del primo de Zumosol recae en la AEPD.

EL MOTIVO DE LA DENUNCIA

El denunciante se dio de alta como Usuario para un servicio concreto, solicitando información sobre productos y servicios de la entidad. Posteriormente mediante el envío de un email a la dirección de la página web del denunciado, les requirió que no habiendo recibido ningún servicio, cancelen todos mis datos personales y me comuniquen que dicha cancelación se ha producido”.

El denunciante continuó recibiendo llamadas comerciales en las que reiteró su solicitud de cancelación, no recibiendo en ningún caso comunicación sobre su solicitud, por lo que decidió presentar denuncia ante la AEPD solicitando su tutela.

LA AGENCIA NO ATENDIÓ INICIALMENTE SU PETICIÓN, NI EL RECURSO.

Aunque inicialmente la AEPD acordó la inadmisión a trámite de la reclamación de tutela de derechos, al considerar que “la solicitud de cancelación remitida por correo electrónico no permite acreditar su recepción por la entidad reclamada, y tampoco aceptó el recurso de reposición por los mismos motivos señalados, posteriormente en su resolución sí consideró que el medio empleado por el denunciante para dirigir su solicitud de cancelación de datos fue el adecuado ya que así lo establecía la entidad a través de su web, ordenando el inicio de las Actuaciones de investigación para esclarecer los hechos.

FINALMENTE: LA SANCIÓN

La sanción señala que “habiendo comprobado que la petición de información del denunciante no había sido atendida, en el momento en que éste ejercitó el derecho de cancelación, en lugar de atenderlo, plantearon recuperar la solicitud de información sobre los servicios de la entidad remitiendo los datos a otro concesionario o por otro medio, habiéndole realizado llamadas telefónicas con este fin en fechas posteriores al ejercicio del derecho, lo que supone un tratamiento de los datos del denunciante contrario a la disposición efectuada por éste y demuestra, en definitiva, que el derecho no fue atendido”.

Además indica, que se incumplió la obligación de contestar la solicitud de cancelación y no comunicarla a los cesionarios a los que se había remitido los datos, para que éstos, a su vez, procedieran a cancelarlos, lo que supuso una infracción del artículo 16 de la LOPD, conforme al derecho de cancelación ejercitado por el denunciante.

En definitiva, por no resolver sobre la petición de acceso en el plazo máximo de 10 días ni proceder al borrado físico de sus datos o a su bloqueo, volver a comunicarse para reactivar el servicio al Usuario y no comunicarlo a los cesionarios, le fue impuesta una sanción de 6.000€. La sanción no fue mayor, ya que la AEPD estimó que:

  1. El denunciado no había obtenido un beneficio de dicha acción
  2. No era reincidente
  3. No provocó perjuicios distintos derivados de la propia infracción y
  4. ha mostrado su disposición a mejorar sus procesos internos para atender dichos derechos (acreditando la elaboración de un nuevo proceso de ejercicio de derechos ARCO y su ofrecimiento para colaborar).

 Pueden consultar el procedimiento sancionador en este enlace

Como cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”. | Eurovima Consulting | Asesoría Protección de Datos | LOPD | Madrid

Como cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”.

Como cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”. | Eurovima Consulting | Asesoría Protección de Datos | LOPD | MadridSuele ser muy habitual que nos llamen, envíen SMS o correos electrónicos de empresas/profesiones/asociaciones (vamos a llamarlas “entidades”) a las que no recordamos haberles facilitado nuestros datos, cuestión que ya puede ser una infracción de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), pero es que además aunque tratemos de que no lo vuelvan a hacer, en muchos casos lo siguen haciendo.

¿Qué podemos hacer para cancelar nuestros datos?

Como somos educados, lo primero es dirigirnos a la “entidad” para indicarles que no nos molesten más, aunque en ocasiones no tenemos una manera clara para comunicarnos (cuestión a la que están obligados por otra Ley; la LSSI).

Si hemos logrado contactar, esperamos que surta efecto, pero en caso de insistir en sus molestas comunicaciones, tenemos que saber que podemos acudir a la Agencia Española de Protección de Datos (AEPD) diciendo que estimamos lesionados nuestros derechos respecto a la LOPD y queremos ejercer la tutela de derechos, es decir, que sea la AEPD la que le pida explicaciones.

Qué derechos tenemos sobre el control de nuestros datos personales: Derechos ARCO; de Acceso, Rectificación, Cancelación y Oposición

Veamos, de manera resumida y clara, que significa cada derecho:

  • Derecho de Acceso. De obtener información sobre si están tratando nuestros datos, la finalidad del tratamiento y como los han obtenido.
  • Derecho de Rectificación. A que modifiquen nuestros datos si son inexactos o incompletos.
  • Derecho de Cancelación. A que los eliminen en caso de ser inadecuados o excesivos.
  • Derecho de Oposición. A que no traten nuestros datos de carácter personal o se cese en el mismo (por ejemplo en ficheros con fines publicitarios)

¿Cómo ejercitar los derechos ARCO?

Estos derechos sólo pueden ser ejercidos por el titular de los datos o un representante acreditado, es decir, su ejercicio es “personalísimo”.

Para poder ejercerlo, las entidades (responsables del fichero) deben facilitar medios sencillos y gratuitos, dando respuesta (siempre han de responder, aunque sea para decirnos que no tienen datos nuestros) en los plazos que la LOPD establece. Si creemos que nuestros derechos no son atendidos en tiempo y forma (motivada y detallada), podemos acudir al “primo de zumosol”, es decir, a la tutela de la Agencia Española de Protección de Datos (AEPD).

Algún ejemplo de sanción de la AEPD

La de un usuario que se dió de alta para un servicio, solicitando información sobre los productos de la entidad, requiriendo posteriormente mediante el envío de un email a la dirección de la página web del denunciado, que no habiendo recibido ningún servicio, “cancelen todos sus datos personales y le comuniquen que dicha cancelación se ha producido”.

Posteriormente recibió llamadas comerciales, en las que reiteró su solicitud de cancelación, no recibiendo en ningún caso comunicación sobre su solicitud, por lo que decidió presentar denuncia ante la AEPD, solicitando su tutela.

La AEPD en su resolución de 25-07-2014; PS-00088-2014 estimó infracción del artículo 16 de la LOPD, por no resolver sobre la petición de acceso en el plazo máximo de 10 días ni proceder al borrado físico de sus datos o a su bloqueo, volver a comunicarse para reactivar el servicio al Usuario y no comunicarlo a los cesionarios, le sancionó con 6.000€.

La sanción no fue mayor, ya que la AEPD no estimó dolo, ni beneficio y por ser diligente al revisar sus procedimientos del ejercicio de los derechos ARCO.

Como siempre a vuestra disposición si necesitáis ayuda para ejercer cualquiera de estos derechos y agradecemos los comentarios.

Para más información visita los siguientes enlaces a la AEPD:

 

Agencia Española de Protección de Datos | Eurovima Consulting S.L.

LOPD, MEMORIA AEPD: Las Sanciones en 2013 suben un 6% hasta 22,3 millones€

El pasado día 13 de octubre de 2014, la Agencia Española de Protección de Datos (AEPD) publicó su memoria anual, en la que se recogen las actuaciones más significativas, entre otras las relativas a las sanciones impuestas.

Pocos aspectos llaman la atención, para aquellos que venimos siguiendo la actividad diaria de la Agencia, pues la línea de actuación se mantiene, si bien a modo de resumen destacaremos algunos aspectos.

 

Mayor sensibilidad de ciudadanos y Organizaciones:

El conocimiento y la importancia que tanto ciudadanos como organizaciones manifiestan por el cumplimiento normativo sigue en aumento, cuestión que se refleja en el incremento de:

  • El número de consultas realizadas (en el que las relativas a la cesión de datos son las más realizadas).
  • Los Ficheros inscritos,
  • La solicitud de informes
  • Consolidación en el nº de denuncias y reclamaciones presentadas por los ciudadanos (por ejemplo, la demanda sobre la cancelación de datos de los ciudadanos ha crecido un 8%).
  • Se ha consolidado las reclamaciones sobre el llamado “derecho al olvido en Internet”, si bien, será en este 2014 cuando las cifras van a ser particularmente elevadas.

 

Las multas: cuantías, gravedad, normativa infringida y sectores más sancionados

Hay un dato muy curioso, y es que si bien el número de denuncias baja un 1,7%, la cuantía de las mismas sube el 6% y eso que en más del 80% de los casos, la AEPD aplicó los criterios de moderación y atenuación de sanciones previsto en la LOPD, aunque sí es cierto, que en el procedimiento contra Google se declararon 3 infracciones por una sanción de 900.000€ en total.

Según la gravedad, el 90,85% han sido infracciones leves, el 9,15% graves y no han existido infracciones muy graves.

Según la Ley infringida, el 93,9% de las infracciones corresponden a la LOPD, el 5,8% a la LSSI y apenas el 0,3% a la LGT.

Sectores más sancionados: Las denuncias siguen afectando en mayor medida a las empresas de los mismos sectores que en años anteriores, si bien se producen algunas variaciones que señalamos:

  1. Telecomunicaciones (15 millones€). Lo que supone un 67% del total frente al 73% del total en 2012
  2. Empresas del sector de suministro y comercialización de agua y energía (2,1 millones€). Sube hasta el 9% frente al 6% del 2012. Pasa de la tercera a la segunda posición.
  3. Entidades Financieras (1,8 millones€) Baja hasta el 8% desde el 13,5% del año 2012.

 

Otros datos de interés: Videovigilancia, apercibimiento y Administraciones Públicas

Destacar también el número de denuncias presentadas sobre la videovigilancia con 918 actuaciones de investigación (el 11,7% del total) que acapara el 60% de los procedimientos de apercibimiento.

Significativa es también el caso de las Administraciones Públicas, con un incremento del 52,6% en el número de infracciones declaradas, cuyo incremento es especialmente significativo en el ámbito Autonómico.

 Puede consultar la memoria completa en este enlace

Cómo aplicar el Derecho al olvido. Expertos de Google se reúnen en Madrid

2568436053_a9734f5d0d_zEl pasado día 9 de septiembre de 2014, en la Casa de América, de Madrid, tuvo lugar la primera de las 7 reuniones del Consejo Asesor de Google sobre derecho al olvido. Y nosotros estuvimos allí.

QUIÉN ASISTIÓ AL EVENTO

La sesión convocó a un gran número de autoridades y expertos en temas de derecho e internet. Allí  estuvo entre muchos otros el Presidente Ejecutivo de Google en España, el Vicepresidente Mundial de Google, el fundador de la Wikipedia, un relator especial de Naciones Unidas, el ex-director de la Agencia Española de Protección de Datos, magistrados, letrados, historiadores, profesores y doctores en derecho, y Asociaciones de usuarios. Una gran representación del mundo de internet.

La sesión se celebró a puerta cerrada, pero un limitado número de asistentes pudimos estar presente como espectadores, y participar en el evento con nuestras preguntas.

PORQUÉ SE CELEBRA ESTA REUNIÓN

Para ponernos en antecedentes, Google fue condenado en una Sentencia del Tribunal de Justicia la Unión Europea, de mayo de 2.014, a “desindexar” en sus buscadores los datos personales de personas concretas, de tal modo que sea imposible realizar búsquedas en atención a un nombre y apellido, y que se relacionen datos o hechos determinados a personas especificas.

Pero este derecho no resulta ilimitado, y para que Google elimine esos datos de la búsqueda se tienen que cumplir una serie de requisitos, que aun no están definidos claramente.

La Sentencia, aunque fundamentada jurídicamente, deja muchos cabos sueltos, de los que no se han contemplado solución. En parte porque no se preguntaron en el asunto judicial, o porque ni siquiera se contemplaron en ese momento.

Todo ello a petición de un usuario que no quería que lo encontrasen con la búsqueda de su nombre completo en Internet vinculado a una información de deudas pasadas, y saldadas, ya que su reputación, y solvencia se veía afectada.

Desde que se publicó la Sentencia Google ha recibido más de 100.000 peticiones de borrado (de las que ha admitido aproximadamente la mitad), habilitando un procedimiento para solicitar el mismo. Google está obligado, pero los criterios que debe seguir para aceptar o no las peticiones no están definidos.

Por ello desde Google y para sentar criterios se está haciendo una labor de recopilación de información, consejos, opiniones, y jurídica, que le ayude en la toma de decisiones para una correcta aplicación, demostrando su aparente interés en hacer las cosas bien.

El Consejo Asesor, se reunirá en más ciudades, y convocará a nuevos expertos en el tema, en búsqueda de una conclusión.

DE QUÉ SE HABLÓ EN ESTA SESIÓN

En esta sesión, se discutieron muchos temas de interés. Cada participante vertía su opinión sobre un tema, y en su caso proponía soluciones, o recomendaciones. Por su parte desde Google, se repreguntó sobre algunas cuestiones, para aclarar conceptos u opiniones.

Uno de los temas que me llamó la atención es la posición de partida de los buscadores.

¿Son meros enlazadores de datos?, y como consecuencia únicamente se encargan de poner en listas los enlaces a las distintas páginas donde se encuentra la información resultado de la búsqueda. ¿O además son Editores de contenido? Es el supuesto de que pueda decidir sobre el contenido de las páginas a las que enlaza.

Pero es que los buscadores además se podrían convertir en editores de contenido, puesto que al fijar criterios de búsqueda determinados, favorecen o obstaculizan la visibilidad de una página en concreto. Recordemos que se han creado profesiones que lo que pretenden es el posicionamiento de una Web atendiendo a los criterios que proponen los buscadores.

¿Es lo mismo desindexado que borrado?

No, el borrado de información, lo debería realizar el editor de datos o contenido, es decir la página web. La solicitud se debería dirigir a éste.

Por el contrario con la desindexación, el buscador, incluso el editor de la Web, puede utilizar unas herramientas informáticas llamadas “no robot.txt” que lo que hacen es que unas determinadas palabras no puedan ser reconocidas por los buscadores, y por lo tanto dificultaría su localización.

¿Se han convertido los buscadores en Jueces?

Al exigirles esta labor de desindexado, deberán decidir en qué supuestos deben conceder la petición al usuario y en cuáles no. Los criterios para realizar esta labor de decisión, en los estados democráticos, se deben fijar en normas por los legisladores, y en su caso los jueces son los que deciden finalmente entre la colisión de derechos, el derecho del usuario, el del buscador, o el del editor…

También los organismos reguladores, como La Agencia Española de Protección de Datos, tienen algo que decir, mediante la fijación de criterios, de interpretación.

Se planteó la posibilidad de regular la situación en el Nuevo Reglamento de protección de datos que se está discutiendo aún a nivel Europeo.

¿Qué se entiende por derecho al olvido?

No existe ninguna norma que regule este supuesto derecho. ¿Estamos hablando del derecho de cancelación de la LOPD? Cuyo bien jurídico protegido es el dato personal. ¿O se trata de ofensas al honor, intimidad o la imagen?

¿Se debe tener en cuenta el origen de la información?

La publicación de contenidos puede tener origen en diversos supuestos, de manera voluntaria, o por obligación legal, como consecuencia de la libertad de información…

¿Debe existir un daño, o se trata de un derecho de arrepentimiento?

Sería el usuario que podría borrar cualquier dato que él mismo publicó. Por ejemplo la foto de adolescentes borrachos en las fiestas de Ibiza, que ahora sale a la luz cuando buscas trabajo.

¿Debe existir autorización para la publicación en todos los casos?

La autorización debería venir dada por el propio usuario, o por una norma legal que regule un derecho en colisión, como pudiera ser el deber de información, libre disposición del empresario, u otros derechos…

¿Todos tenemos este derecho?

No deberían tener la misma consideración una persona física no conocida, que una pública. Y aun así ¿sería admisible la existencia de contenidos de una persona pública referidos a situaciones que se escapan de su condición pública? Es decir son de interés los datos del matrimonio del hijo de la cantante.

¿Consideramos que se deberían borrar los datos de la noticia del político corrupto? ¿O esos datos deberían poder ser consultados en cualquier momento?

Y las personas jurídicas, las empresas, asociaciones, comunidades… ¿tienen también este derecho?

En este caso se podría hacer una limpieza de cara de tal manera que sólo aparecerán las informaciones que nos favorezcan y se borrarán todas aquellas que nos causen perjuicio, o simplemente no nos gusten.

¿Cuánto tiempo debe ser localizable una información? ¿Se opone el derecho al olvido al derecho a la memoria histórica?

En el caso de la comisión de un delito, por el que ya se ha cumplido condena, y se han cancelado los antecedentes penales. ¿Resultaría lícito incluir los resultados de la búsqueda en Internet? Se ha cumplido ya suficientemente la condena. Pero puede existir un escarnio de por vida al existir esta posibilidad de encontrar la información. Pero y qué pasa con los violadores…

Si se retiran los contenidos, o se imposibilita su localización, ¿Se está afectando a la historia? Los buscadores han ahorrado mucho tiempo a los historiadores, en la búsqueda de información para poder contrastar. Si se borra dicha información quedará inaccesible a la historia.

Otra solución sería el borrado o desindexación temporal de la información, de tal manera que como ocurre con los documentos desclasificados de los gobiernos, transcurrido un tiempo se puedan consultar ciertos documentos.

NUESTRA CONCLUSIÓN

Esta es la primera de las reuniones planteadas. No existe una conclusión preliminar, sino una serie de cuestiones de las que existe diversidad de opiniones.

De momento Google, tiene la obligación y facultad de decisión, y lo que decida puede sentar un precedente, o llevarle a la asunción de una multa por incumplimiento de la Sentencia. Y todo ello sin tener unos criterios fijos, claros, y determinados. El camino que ha adoptado la empresa, me parece, como mínimo, favorable, puesto que demuestra un interés sobre el tema. Además con este tipo de reuniones se genera un debate en la red, que de otra forma, y con la petición de informes a estos expertos de forma privada, no generaría.

Nosotros, mientras tanto, estaremos pendientes de las novedades que resulten, para informaros puntualmente, sobre la manera en que se aplicará este “derecho al olvido”, y defender vuestros derechos.

El vuelo de los drones. Nueva regulación

DronesEl pasado día 10 de abril de 2.014, publicamos un artículo sobre un tema de actualidad, “El vuelo de los drones, privacidad y otras implicaciones legales”. Nos hacíamos eco de las preocupaciones que las empresas que quieren dedicarse a explotar estos aparatos de manera profesional tenían a esa fecha.

Por aquel entonces decíamos que estaba pendiente la aprobación de una norma que regulase su uso profesional. Pues bien, ya tenemos esta norma en vigor.

El día 5 de julio se publicó en el BOE el Real Decreto Ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia. Esta norma regula no solo esta materia, sino también muchas otras como la modificación de la Ley del cine, modificación de la ley de comercio minorista, aviación civil, y aeroportuaria, medidas energéticas, entre otras muchas materias.

Destacar la figura jurídica con la que se ha regulado la materia: El Real Decreto Ley

Es una norma jurídica con rango de ley que emana del poder ejecutivo y es dictada en caso de extraordinaria y urgente necesidad. Decir que aunque se trata de una norma con rango de ley, el emisor de la misma es el ejecutivo, no el legislativo, como debiera ser. Y todo ello porque el gobierno cree que las materias a regular necesitan ser abordadas con urgencia. En mi opinión, se abusa de esta figura para regular ciertas materias que con una tramitación “tradicional”, pudieran dar lugar a divergencia de opiniones. Pero bueno, hecho está.

En cuanto a los drones, materia que nos interesa, el Real Decreto dedica el artículo 50 a regular su uso civil profesional. Sin embargo esta regulación lo será de forma temporal, y hasta que, como indica la misma norma, se regule reglamentariamente “el régimen jurídico aplicable a las aeronaves civiles pilotadas por control remoto, así como a las operaciones y actividades realizadas por ellas”, momento en que quedará derogado este artículo. Quedan fuera de esta norma las actividades militares, y realizadas por los cuerpos y fuerzas de seguridad del estado, así como las realizadas por los aeromodelistas aficionados que cumplan con la legislación específica en la materia.

El Real Decreto Ley, y la LOPD

Indicar que el Real Decreto nos da “la razón”, y como adelantábamos en nuestro primer artículo, “se deberá tener en cuenta la legislación sobre, uso del espacio radioeléctrico, protección de datos o la toma de imágenes aéreas, además de la responsabilidad por los daños causados por la operación o la aeronave”. Con ello quedan validadas nuestras recomendaciones en temas de protección de datos (LOPD) en cuanto a responsables de fichero, encargados de tratamiento, y procedimientos indicados; y sobre la necesidad de contratar un seguro de responsabilidad civil para cubrir los posibles daños que se pudieran ocasionar. Las indemnizaciones por estos daños serán calculadas conforme al baremo establecido en Real Decreto 37/2001, de 19 de enero, por el que se actualiza la cuantía de las indemnizaciones por daños previstas en la Ley 48/1960, de 21 de julio, de Navegación Aérea.

¿Quién podrá manejar un dron?

El responsable de la aeronave es denominado “operador de la aeronave”, pero no se indica claramente si éste podrá ser una persona física o jurídica, entendemos que podrían ser ambos. Pero además debemos diferenciarlo del piloto de la aeronave, al que se le exigen una serie de requisitos, como ser mayor de 18 años, poseer un certificado médico, tener los conocimientos adecuados sobre la aeronave, tener licencia de piloto, incluyendo la licencia de piloto de ultraligero, o poder demostrar que se tienen los conocimientos teóricos necesarios. Esta última característica entiendo que será de difícil comprobación, a no ser por la realización de unos exámenes teóricos. Esta cuestión no queda claramente regulada. También poseer un certificado básico o avanzado para el pilotaje de aeronaves civiles pilotadas por control remoto, emitido por una organización de formación aprobada, según se quiera volar dentro o fuera del alcance visual del piloto; y que el aparato sea inferior o superior a 25 Kilos de peso.

En cuanto a la aeronave, se distinguen varios grupos, hasta 2 kg., de 2 a 25 kg., y los que excedan de 25 Kg y cuyo peso no exceda de los 150 Kg., cuyos requisitos serán distintos. Todas ellas deberán llevar una placa identificativa, del modelo, numero de serie, y operador de la misma, así como los datos de contacto de éste. Las aeronaves con peso superior a 25 kilos deberán además estar inscritas en el Registro de matrícula de aeronaves y disponer de certificado de aeronavegabilidad.

¿Dónde se podrán pilotar?

En cuanto a las operaciones que podrán realizar también quedan reguladas y serán, actividades aéreas de trabajos técnicos o científicos, vuelos de prueba de producción y de mantenimiento, de demostración no abiertos al público, programas de investigación, vuelos de desarrollo, de I+D realizados por fabricantes para el desarrollo de nuevos productos, y de prueba antes de un evento.

Para las aeronaves con peso superior a 25 kg. además se requerirá la comunicación a la Agencia Estatal de Seguridad Aérea con una antelación mínima de cinco días al día del inicio de la operación, y declaración responsable de cumplir con los demás requisitos, además de aportar el manual de operaciones, el estudio aeronáutico de seguridad y la documentación acreditativa de tener suscrito el seguro obligatorio exigidos.

En cualquier caso, se deberá además determinar un área de exclusión o de seguridad.

Como vemos, quedan excluidos por tanto los vuelos por encima de personas, pudiendo únicamente volar en zonas fuera de aglomeraciones de edificios en ciudades, pueblos o lugares habitados o de reuniones de personas al aire libre. Quedarían fuera por tanto las actividades que hemos visto recientemente en los noticiarios, como la grabación en el recorrido de los San Fermines, o en Fallas…

Desde Eurovima Consulting esperamos que esta serie de artículos os sirva para aclarar ciertos aspectos sobre el uso de estos aparatos, y en cualquier caso, quedamos a vuestra disposición para resolver vuestras dudas.

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.

 

¿LOPD y Videovigilancia: Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Hace unas cuantas semanas desde Facebook nos hacíamos eco de un informe publicado por la Agencia Española de Protección de Datos (AEPD) que hablaba sobre “la cesión de datos de las comunidades de vecinos a sus propietarios” y nos hacían la siguiente consulta:

¿LOPD y Videovigilancia: Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Cctv Camera In Front Of The Village, Residence Stock Photo by nipitphand in www.freedigitalphotos.net

“Puede un vecino colocar una cámara de videovigilancia en la puerta de su piso con intención de grabar supuestos “actos vandálicos” de otro vecino del edificio? Esto es, si quiero tener la certeza de que un vecino en concreto pone a su perro a hacer sus necesidades en mi felpudo, o quiero tener pruebas fehacientes de que es él quien, por ejemplo, me ralla la puerta, etc….puedo instalarla sin avisar a la comunidad, o es ésta la que debe autorizarlo?”

Bueno, pues hoy queremos tratar de dar respuesta a una situación que siendo lamentable debe tratarse y actuar conforme las leyes nos permitan y en este caso lo trataremos según lo establecido por la LOPD y para ello iremos por partes.

¿Aplica la LOPD aunque solo exista visualización y por tanto no concurra grabación?

Lo primero es aclarar que la imagen de una persona identificada o identificable es un dato de carácter personal y su tratamiento estará sujeto a la normativa de protección de datos, es decir:

  1. Por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
  2. Su Reglamento de desarrollo
  3. De manera particular por la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos (AEPD), sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras.

[pullquote]Aunque no exista grabación, solo visualización, también le aplica la normativa, y si hay grabación, los datos serán cancelados en el plazo máximo de un mes desde su captación.[/pullquote]

Si la cámara es instalada por la comunidad, deberá:

  1. Notificar e inscribir un fichero en el Registro General de Protección de Datos.
  2. Respetar los plazos y procedimiento de almacenamiento de las imágenes grabadas, debiendo ser cancelados en el plazo máximo de un mes desde su captación.
  3. Adoptar las medidas de seguridad previstas en Reglamento de desarrollo de la LOPD.
  4. Atender los derechos de acceso, rectificación y cancelación.
  5. La instalación debe estar autorizada por la Comunidad.
  6. Respetar todos los requisitos establecidos en la Instrucción 1/2006, de 8 de noviembre.

La comunidad debe aprobar su instalación, en un acuerdo de junta de propietarios y aprobarlo por las 3/5 partes de los propietarios según establece la Ley de Propiedad Horizontal puesto que el tratamiento de datos de carácter personal a través de cámaras de videovigilancia se produce en una zona común.

¿Qué dice al respecto la Instrucción 1/2006, de 8 de noviembre, sobre sistemas de videovigilancia?

En concreto, el Artículo 3 obliga a que los responsables (la Comunidad) que cuenten con sistemas de videovigilancia cumplan con el deber de información previsto en el artículo 5 de la LOPD, debiendo:

  1. Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
  2. Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

No aplica la normativa sobre protección de datos los tratamientos que tengan su origen en actividades exclusivamente personales o domésticas, por ejemplo, las cámaras que graban solo el interior de la vivienda particular, quedaría fuera de la LOPD.

En definitiva, ¿Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Pues lo cierto es que no. La instalación se debe hacer de forma que cuando un vecino abre la puerta de su casa la cámara no graba su interior si es colocada por la comunidad y si es propiedad del vecino, no debe grabar espacios comunes de la comunidad.

Cuando las cámaras graben espacios comunes de la comunidad de vecinos, nunca estaremos en un ámbito doméstico y si del ámbito de aplicación de la LOPD.

La LOPD establece que las cámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende (necesaria para satisfacer un interés legítimo) pero mucho nos tememos que en este caso difícilmente podremos justificar que sea imprescindible, si bien otras medidas no harán posible demostrar que se están produciendo dichos actos vandálicos.

Si lográsemos que la justicia aceptara dicho interés legítimo*, estaríamos hablando de otra cosa, pero de momento no nos consta que existen casos en los que se haya podido acreditar*.

Como de costumbre, esperamos vuestros comentarios y que nos consultéis cualquier duda sobre el tema, haciendo uso de nuestros servicios de Asesoría en protección de datos y comercio electrónico.

*15-07-14.- Actualización: Os dejamos el enlace a un artículo de David González Calleja, que aporta  más información sobre este aspecto

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo - Eurovima Consulting - Asesoría Protección de Datos - Madrid

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo - Eurovima Consulting - Asesoría Protección de Datos - Madrid

Imagen original de http://www.redusers.com

Se podría decir que “Ya podemos eliminar nuestros datos de internert!!!!”, pero seamos prudentes y de momento digamos que se van dando pasos, ya que eso será siempre que se den determinadas circunstancias.

Después de que el pasado 13 de mayo de 2014, tal y como EUROVIMA informó (ver enlace), la Justicia europea fallaba contra Google obligandola a cumplir con la normativa de protección de datos europea y a desindexar la información solicitada por los afectados, Google acaba de poner en marcha una herramienta que permita a los afectados solicitarlo, en el apartado “legal” de su página indica “Cómo retirar contenido de Google” (ver enlace).

Bueno, esto no acaba más que empezar, veremos como se implementa ya que una cuestión es que se facilite poder ejercer ese derecho y otra distinta es que se atienda en tiempo y modo, es más, de momento ni siquiera el formulario cumple con el deber de información que la LOPD establece en su artículo 5¡¡¡¡ (Derecho de información en la recogida de datos), es decir, empezamos bien.

En cualquier caso, seguiremos informando y si necesitáis hacernos alguna consulta al respecto,  es decir, si hay información que os afecte y entendéis que no debería estar publicada en la Red, no dudéis en consultar a vuestra asesoría en materia de protección de datos, privacidad, comercio electrónico y derecho TIC, al igual que esperamos vuestras opiniones.

Resumen del evento: “Big Data: claves de negocio y retos jurídicos”.

IMG-20140519-WA0005Ayer 19 de mayo de 2014, en las funcionales instalaciones del BBVA Innovation Center de Madrid, se celebró un foro de debate bajo el título “Big Data: claves de negocio y retos jurídicos” con la organización conjunta de APEP, DENAE e IAB SPAIN, en los que intervinieron 4 expertos que dieron un enfoque al evento desde los puntos de vista del negocio y jurídico: Pepe Cerezo, Mikel Lekaroz, Antonio Muñoz y Javier Puyol.

El foro giró sobre el tratamiento de la información y el marketing digital basado en el Big Data y los retos que supone para su cumplimiento normativo, dada la eclosión y el desarrollo que ha alcanzado.

Pepe Cerezo.- Decisiones de negocio en tiempo real (FAST DATA)

Inició su intervención con un repaso a la evolución de los negocios en los últimos 25 años. Desde la creación de las primeras páginas web hasta el “internet de las cosas”, pasando por el Cloud, la Redes Sociales y la era Mobile, que en su opinión dará lugar a la llamada “internet expandida”, que será un compendio de todas ellas. De cómo esa evolución ha servido para alimentar esos negocios que han surgido en cada etapa, cuyo combustible han sido y son los datos. Cómo desde el conocimiento se ha pasado a la segmentación para poder tomar decisiones en tiempo real en base a una publicidad personalizada puesto que “los datos son la voz de los Clientes”.

Mikel Lekaroz.- El dato en medios ha dejado de usarse como ametralladora, se trata de ir al “objetivo”.

Su enfoque se basó en el triángulo formado por la transformación digital, marketing y modelos de negocio, cómo se ha transformado la manera de medir las audiencias, de la evolución en busca de dejar de ser ineficiente, irrelevante e indiscriminada que en definitiva ha derivado en un cambio en el modo de pensar. Gracias al Big Data está todo conectado, y la evolución tan brutal que ha tenido ha supuesto un “Gap” entre regulación y tecnología, en el que Mikel aboga por una autorregulación basada en el cumplimiento de lo que decimos.

 Antonio Muñoz.- Big Data no es Big Brother

Asociar ambos conceptos distorsiona la realidad pues cuestiona el principio que ha de legitimar la recogida de datos dadas las implicaciones jurídicas que suponen. Por ello aboga por un balance entre la trasparencia y la información, que ha de contemplar el Reglamento Europeo de Protección de datos, que partirá desde el principio incuestionable de la legitimación en la captura, pasando por la seguridad de su almacenamiento (Cloud) y la participación de “terceros” en el proceso, es decir, de aquellos que accedan, traten o gestionen dicha información.

 Javier Puyol.- El derecho civil debe ganar “peso” frente a la privacidad en el Big Data.

Apuesta por simplificar la problemática del Big Data, en el que la disociación debe ser parte del proceso que aúne consentimiento, conocimiento y derechos, además de quedar claramente identificada la responsabilidad de cada uno de los actores que intervienen en el proceso, en el que la propia evolución del Big Data supone un reto para lograr el consentimiento.

Nuestra opinión:

Interesantes exposiciones que personalmente dejan latente la necesidad de contar con una regulación, que si bien no logrará cerrar el “Gap” mencionado, no debería dejar que el mismo continuase agrandándose.

A propósito del comentario realizado en el foro sobre que el Big Data creará 4,5 millones de empleados en los próximos años, quisimos hacer una pequeña reflexión aunque quizás no era el momento puesto que el debate podía quedar desenfocado. Sin embargo, lo queremos dejar en el aire por si alguno quiere aportar su visión sobre si al igual que se crean esos puestos de trabajo, no habrá que pensar en lo que se destruye, o lo que es lo mismo, si el Big Data en sí mismo no destruye, en este caso, nuestra privacidad.

Si hacemos un símil con la “Ley de la conservación de la materia”, podríamos decir que “el dato” no se crea ni se destruye solo se transforma. Por ello, regular esa “transformación” en base a las nuevas claves de negocio, es el verdadero reto jurídico.

 

Os dejamos el enlace al vídeo del evento.

https://www.centrodeinnovacionbbva.com/eventos/32600-big-data-claves-de-negocio-y-retos-juridicos

EL VUELO DE DRONES. PRIVACIDAD Y OTRAS IMPLICACIONES LEGALES.

El vuelo de los Drones. Privacidad y otras implicaciones legales

EL VUELO DE DRONES. PRIVACIDAD Y OTRAS IMPLICACIONES LEGALES.

Futuristic Surveillance Drones Stock Image by Victor Habbick, in Freedigitalphotos

Teníamos acabado este artículo, cuando hemos leído la nota emitida hace 2 días por fuentes del ministerio de Fomento a través de la Agencia Estatal de Seguridad Aérea (AESA).

En dicha nota se indica que en la actualidad el vuelo de DRONES para uso civil profesional o comercial y la realización de trabajos aéreos, siempre que se realice dentro del espacio aéreo nacional, están y siempre han estado prohibidos.

Entonces: ¿para qué se puede usar un DRON?.

Seguramente muchos de vosotros habréis visto en la tele o incluso en la ciudad unos aparatos muy curiosos (llamado DRON o aeronave pilotada por control remoto), que con cuatro hélices, y menos de medio metro de diámetro, cruzan la calle, por encima del tráfico, y de la gente, dando vueltas, con la particularidad que algunos llevan una cámara incorporada, para hacer grabaciones desde el aire.

Recientemente, quedé con un amigo para ver un DRON que había comprado, con la intención de hacer grabaciones en eventos. Conforme me explicaba las capacidades del aparato, más sorprendido me quedaba, aun cuando ya sabemos que hay empresas como AMAZON que pretende darle un uso comercial de transporte de paquetería y por tanto de sus utilidades y bondades.

Como la profesión va por dentro, me puse a hablar con su piloto sobre las implicaciones legales que afectan a los DRONES, y en parte a cuestiones de protección de datos de las imágenes que grababan, y terminamos hablando de muchas otras cuestiones que les afectan, y que parece ser no quedan muy claras aún y ello fue lo que motivó el empezar a escribir este artículo.

Lo que hasta ahora decía o se interpretaba de la normativa:

Investigando la cuestión, me encontré con una noticia en la edición digital del periódico Levante EMV. En ella se planteaban los problemas con los que se encontraron unos operadores de DRONES para la grabación de imágenes de las FALLAS DE VALENCIA, cuando las autoridades les dijeron que no podían volar porque se violaba el espacio aéreo de la ciudad.  La empresa encargada de las grabaciones intentó por todos los medios conseguir una autorización para volar en el evento y no consiguieron resolver el asunto, por mucha intención que pusieron. “El Servicio de Circulación y Transportes y sus Infraestructuras del Ayuntamiento de Valencia les ha contestado que el consistorio no tiene competencias para permitir vuelos de aparatos no tripulados por la ciudad y remite al aeropuerto de Valencia, encargado de distribuir las servidumbre aéreas en la ciudad, para que les facilite los permisos”. Por su parte desde AENA, empresa que gestiona el aeropuerto, “asegura que no puede dar una autorización para el vuelo de los DRONES en la ciudad «al no existir normativa aplicable a estas actividades» y remite a los interesados a la Agencia Estatal de Seguridad Aérea, el organismo del Estado que vela para que se cumplan las normas de aviación civil en el conjunto de la actividad aeronáutica de España”. Y por tanto tendremos que atenernos a la normativa que regula la actividad aeronáutica.

El artículo 5 de la Ley 21/2003, de 7 de julio, de Seguridad Aérea, indica que será el Ministerio de Fomento el competente en materia de ordenación de las actividades y trabajos aéreos, así como de la aviación general y deportiva. Así mismo será competente para el otorgamiento de los títulos que habilitan a las personas y organizaciones civiles para la realización de actividades aeronáuticas civiles y el control del cumplimiento de los requisitos y obligaciones en cada caso exigibles. Por tanto y en mi opinión es ahí donde se debe hacer hincapié para conseguir una normativa específica sobre la materia.

En definitiva, hasta entonces y sin un procedimiento especifico para conseguir autorización, en el uso de DRONES parecía que había un vacío legal, que no estaba prohibido, pero tampoco legalizado.

Aclaraciones sobre la normativa aplicable y el uso:

Tras la nota publicada se aclara específicamente que un DRON, es una aeronave y por tanto se le aplica la misma legislación que al resto de aeronaves para uso civil. De modo que si es para actividades de recreo  o deportivas, son consideradas aeromodelos, y se rigen bajo su normativa.

Por tanto para poder volar por el espacio aéreo español es necesario una autorización previa por parte del organismo competente y la nota señala que “hasta que no esté aprobada la nueva normativa específica que regule el uso de este tipo de aparatos, AESA no puede emitir dichas autorizaciones porque carece de base legal para ello”.

AESA está trabajando en colaboración con la industria para elaborar una norma que contenga disposiciones particulares que permitan su vuelo con determinadas condiciones y limitaciones.

A fecha de hoy solo se podrán usar estos aparatos a nivel recreativo en los espacios habilitados en la normativa sobre aeromodelismo, considerando que desde el nivel del suelo hacia el cielo se supone espacio aéreo y por tanto le será de aplicación la legislación nacional, es decir, no podréis volar vuestros DRONES ni tan siquiera en vuestra finca o propiedades particulares abiertas.

En definitiva, fuera de los espacios de aeromodelismo, la única manera de hacer volar nuestro DRON será si lo hacemos en una propiedad privada y “techada”. A modo de ejemplo en ningún campo de fútbol español se podría emplear.

Privacidad y otras implicaciones legales; la LOPD:

Por ello, a los que hasta ahora habíais comprado estos apartaos con fines comerciales el único aprovechamiento real será cubrir eventos que se realicen en este tipo de recintos y en estos supuestos tendremos en cuenta además lo siguiente:

  • Responsabilidad civil por daños y perjuicios. Es de lógica pensar, que un aparato teledirigido, pueda perder el control, o pueda sufrir un accidente (ya se han producido), en el que se vean implicados tanto personas, como bienes de las mismas. En este sentido lo recomendable sería contratar un seguro de responsabilidad civil, bien el responsable del evento, bien el operador del DRON, para cubrir estos riesgos.
  • Derechos de imagen. Si se contrata los servicios de DRONES, actualmente y en la mayoría de supuestos es para grabar imágenes sobre ciertos eventos de interés. Y en ese sentido las imágenes pueden incluir la de las personas y sus bienes. Pudiendo afectar a la privacidad, derechos de imagen, intimidad, y honor sobre las mismas.

Por ello, se recomienda no grabar a nadie salvo que cuentes con su consentimiento, ya que entramos de lleno en materia de protección de datos de carácter personal. El asistente a un evento es la única persona que puede autorizar la grabación y difusión de su imagen. En este sentido deberá ser informado por el responsable del fichero de imágenes sobre la grabación, y en su caso difusión de la imagen, para que decida si quiere permitir su captación o no.

Aquí debemos distinguir quién va a ser el responsable del fichero de imágenes grabadas en eventos. Podremos encontrar diferentes supuestos.

El operador de DRON y de cámara, como persona que graba directamente la imagen, puede actuar en dos posiciones:

  • Responsable del fichero de imágenes, las imágenes captadas las podrán usar en su beneficio, bien sea en campañas de promoción de la empresa, o para editarlas y hacer su propio reportaje del evento. Y para ello deberán informar a los asistentes de que van a ser responsables del fichero, cuáles van a ser sus finalidades, posibilidad de cesión de las mismas, y donde efectuar los derechos ARCO sobre éstas.

El operador del DRON, deberá estar constituido como entidad con personalidad jurídica, y estar adaptado a lo dispuesto en la LOPD y su Reglamento de desarrollo. En cuanto a sus obligaciones legales, técnicas, y organizativas, en materia de tratamiento de datos de carácter personal.

  • Encargado de tratamiento. Las imágenes captadas serán usadas por  un tercero, diferente, normalmente el Organizador del evento. Y el responsable del aparato sólo será responsable de grabar las imágenes, y devolverlas a éste, con o sin edición. Pero en ningún caso podrá quedárselas. En este sentido será el Organizador y responsable del evento  el responsable del fichero, y de cumplir con lo mencionado anteriormente y estar adaptado a lo dispuesto en la LOPD.

Como obligación legal, y para regular esta situación, el art. 12 de la LOPD, indica que entre el responsable del fichero (Organizador), y el operador del DRON debe existir un contrato de encargado de tratamiento, en el que se indique bajo qué circunstancias se deben usar los datos en representación del organizador.

Ya tenemos claro que debemos informar sobre la captación y uso de imagen. Pero cómo lo hacemos. Lo más efectivo sería informar en la misma entrada al evento, bien con la entrada en papel, de modo electrónico, o mediante la colocación de carteles informativos en la puerta de acceso. En este último caso se deberían tener formularios en la entrada a disposición del público, como mínimo de manera que puedan ser impresos en el momento.

En conclusión, y como vemos muy a menudo, las tecnologías avanzan más rápido que las leyes, y hay situaciones que aun no podemos salvar, pero para las que sí que podemos vuestra asesoría en materia de protección de datos y comercio electrónico, Eurovima, está a vuestra disposición.

 

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.