LOPD | Eurovima Consulting S,L.

Entradas

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones

17 de septiembre de 2013/0 Comentarios/en Blog/por Eurovima Consulting S.L.

El pasado día 13 de septiembre de 2013 el Consejo de Ministros aprobó la remisión del Proyecto de Ley General de Telecomunicaciones (LGT), que modifica entre otros, algunos aspectos de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI o LSSICE), del 11 de julio de 2002.

Application Mobile Stock ImageBy emptyglass in www.freedigitalphotos.net/

Entre las modificaciones de la LGT referentes a la LSSI de manera resumida, cabe resaltar las siguientes:

Las comunicaciones comerciales y la persona física o jurídica que la realiza deben ser identificadas. Se elimina la obligación de identificar los e-mails, SMS, o cualquier comunicación comercial mediante la palabra “Publi” o “publicidad”.
Se crea la figura del apercibimiento, al igual que en la LOPD (en el caso de infracciones graves y leves y si concurren ciertos atenuantes). En estos casos se suprime la sanción “directa” y en su lugar, se apercibe al sujeto responsable para que adopte las medidas correctoras oportunas.
Será una infracción grave el envío insistente de comunicaciones comerciales no solicitadas (envíos repetidos a unos pocos destinatarios) y también el envío de más de tres comunicaciones en un año.
Los usuarios podrán emplear el correo electrónico u otra dirección electrónica equivalente para revocar el consentimiento de la recepción de comunicaciones comerciales (darse de baja vía e-mail).
Se suprime la exigencia de que el usuario realice una acción expresa, cuando instale o actualice el navegador, para manifestar su consentimiento al uso de cookies. Sobre las cookies, también se aclaran cuestiones que afectan a las obligaciones y los responsables y se sanciona ignorar la voluntad del usuario de no consentir su uso o seguir tratando sus datos aun cuando el usuario haya revocado el consentimiento prestado con anterioridad.

Bueno, pues una vez ya en marcha, vamos a ver las consecuencias que puedan tener estos cambios (si las tiene), sobre todo en lo referente a aclarar aspectos sobre el consentimiento de cookies (principalmente de las cookies estadísticas y analíticas) que tanto ha dado que hablar en las últimas semanas.

Como hemos escuchado en las redes sociales, hubiese sido deseable que la AEPD se hubiese pronunciado al respecto, de manera pública, en cualquier caso, si Ustedes lo quieren hacer, esperamos encantados sus comentarios.

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

29 de agosto de 2013/0 Comentarios/en Blog/por Eurovima Consulting S.L.

Éste post parte de los dos artículos que escribimos el pasado mes de julio (Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa) y Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€) en los que destacábamos 2 sanciones de la Agencia Española de Protección de Datos (AEPD), publicadas con apenas 3 días de diferencia a sendos establecimientos por no hacer caso de apercibimiento, cuyas cuantías eran idénticas (6.500€) y ambas por ignorar las “advertencias” de la AEPD respecto a infracciones de videovigilancia.

Periódicamente revisamos las Resoluciones de Procedimientos Sancionadores que la AEPD publica en su página web y a raíz de esos dos artículos, decidimos que sería interesante revisar y hacer un pequeño análisis de las resoluciones publicadas en los 3 últimos meses, es decir, mayo, junio y julio (la ultima con fecha 30-7-2013).

Aunque lo cierto es que no vamos a contar muchas novedades, cuando menos sí podemos decir que las actuaciones de la Agencia siguen la senda marcada por las de años anteriores y en todo caso, les animo a seguir leyendo pues entendemos que hay información para los amantes de la LOPD y LSSI que les resultará de interés.

By graur codrin in Freedigitalphotos.net

Aunque faltan pocas fechas, o eso suponemos, para que la AEPD publique la Memoria 2012, hemos considerado que no estaría mal hacer un pequeño análisis de cómo evolucionan las sanciones en el 2013, su cuantía y cómo se desarrolla la aplicación de los apercibimientos y en qué casos, cuántas se archivan, a qué sectores afectan, etc.

Como hemos indicado, después de revisar las 174 resoluciones lamentablemente no podemos ofrecer “grandes titulares”, ni tampoco un análisis exhaustivo, ya que unas vez revisadas detenidamente hemos considerado que no es posible confrontar los datos y compararlos con el periodo anual 2011 (última memoria publicada por la AEPD) no sólo por razones de hacer una análisis trimestral, sino también por no poderlos comparar con los del año pasado y valorar su evolución real.

En todo caso, sí podemos ofrecer los datos globales de estos tres meses que a modo de resumen son:

El número de resoluciones publicadas entre mayo, junio y julio de 2013 ha sido de 174.
La cuantía de las resoluciones que han finalizado en sanción asciende a 5,5 millones de euros.
El número de resoluciones del sector de telecomunicaciones fue de 104 (60% del total) cuya cuantía de las sanciones asciende a 4,1 millones de euros (74% del total).
El número de resoluciones del sector bancario fue de 22 (13% del total), con una cuantía de las sanciones que asciende a 538.000 euros (10% del total).
De las 174 resoluciones 23 no supusieron sanción (13% del total), pues 21 fueron archivadas y 2 terminaron en apercibimiento.

En cuanto a los artículos infringidos, cabe destacar lo siguiente:

El número de resoluciones más veces repetida por incumplimiento de la LOPD hace referencia al artículo 4.3, con un total de 95 resoluciones (55% del total) siendo la cuantía de las sanciones de 4,2 millones de euros (76% del total).
El artículo 6.1, ha sido infringido en 55 resoluciones (32% del total) siendo la cuantía de las sanciones de casi 2,7 millones de euros (49% del total).
El artículo 21 de la LSSI, ha sido infringido en 20 resoluciones (11% del total) aunque la cuantía de las sanciones es baja, la mayoría de 600€.
El número de resoluciones por no cumplir con el apercibimiento (Artículo 37.1.f) de la AEPD fueron 7 (4% del total) con una cuantía total de las sanciones de 35.000 euros (0,6% del total).

En definitiva, que las sanciones a la banca y sobre todo a las operadoras de telecomunicaciones, constituyen casi el 75% de los procedimientos sancionadores y se corresponden con el 84% sobre el total de la cuantía de las multas impuestas.

Que las reclamaciones presentadas ante la AEPD por la inclusión de deudas en ficheros de morosidad que no debieron ser tratadas como tales, en muchos casos (22 de los 25) terminan en sanciones en las que se resuelve que se han infringido los artículos 4.3[1] (principio de calidad de los datos) y 6.1[2] (consentimiento del afectado), suponiendo en estos casos una sanción doble por una cuantía de 50.000€, si bien en casi la mitad de las mismas se ha considerado una reducción del importe por aplicación del artículo 45.5 de la LOPD.

Otras de las resoluciones que más se repiten, son aquellas en las que se vulnera el artículo 4.3 en relación con el 29.4[3] (prestación de servicios de información sobre solvencia patrimonial y crédito), de las que podemos determinar que no se cumple que dichas entidades hayan actuado ante la existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de cuya existencia o cuantía no haya entablado el deudor reclamación judicial, arbitral o administrativa.

Que el artículo 21 de la LSSI, ha sido de los más infringidos aunque la cuantía de las sanciones es baja, la mayoría de 600€ ya que se trata de “entidades pequeñas”, salvo una sanción de 30.001€ a un Banco, siendo el motivo principal de las sanciones, el envío de correos sin acreditar autorización previa y expresa, ni relación previa y en menor medida se sanciona el envío de SMS sin incluir un medio de oposición, es decir, hacer lo de toda la vida, envíos comerciales que todos tenemos constancia que algunas empresas continúan haciendo sin “haberles invitado”.

En este nuevo repaso, hemos vuelto a leer algunas resoluciones llamativas, entre la que destacamos la PS-00747-2012 de la que en su momento ya nos había alertado Jesús Pérez Serna en su post “El spam más absurdo jamás visto”, un caso en el que se produce una transmisión vía fax de nueve mensajes comerciales no solicitados a dos líneas titularidad de la propia AEPD, produciéndose una vulneración de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) por infracción del artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse de la remisión a un mismo destinatario de más de tres mensajes de Fax de venta directa en un intervalo de tiempo inferior al plazo de un año, sin que la AEPD le hubiera prestado su consentimiento expreso, previo e informado para ello, vamos que se metieron con “el mismísimo primo de Zumosol”.

En definitiva, curiosidades aparte, vemos como la trilogía banca-telecomunicaciones-morosos suman 3 de cada 4 denuncias, cuestión que nos hace plantear si realmente los ciudadanos somos conscientes que nuestra privacidad, la protección de nuestros datos de carácter personal y su tratamiento son aspectos que competen a nuestra vida, más allá de la banca y las telecomunicaciones o la videovigilancia, pues parece que el resto de actividades profesionales cumple con la normativa, cuando hay cifras que indican que un 70% de las empresas/profesionales/entidades no cumplen con la misma.

Nos cansamos de escuchar que estamos hartos de recibir spam, llamadas telefónicas, que recaben datos sin consentimiento, que los publiquen sin las debidas garantías, etc. pero por lo que se ve, no denunciamos (salvo a las grandes compañías) y eso que es gratis, aunque el no beneficiarnos directamente de la sanción parece que influye en nuestra motivación.

[1] Artículo 4.3.- Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.

[2] Artículo 6.1.- El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

[3] Artículo 29.4.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

¿Quo Vadis LOPD? ¿Quo Vadis Privacidad?

24 de julio de 2013/3 Comentarios/en Blog/por Eurovima Consulting S.L.

Amigos lectores, hemos estado dudando en como titular este post, aunque la verdad es que lo importante es la conclusión que podamos hacer al finalizar su lectura, si es que sacamos alguna.

Hace unos días vimos en la portada del periódico “El País” el siguiente titular: “EE UU presiona en la sombra para frenar la normativa de privacidad europea” . Vaya, una portada y bien grande sobre privacidad, que además va acompañada de 3 páginas interiores desgranando parte de las cuestiones que ahora comentaremos.

Todo ello nos hace reflexionar sobre el contenido de los artículos, las entrevistas, noticias y los acontecimientos que se han sucedido últimamente, para ver hasta qué punto parece que los temas de privacidad asoman con fuerza.

La cuestión es que ya la semana pasada pudimos leer en una entrevista al director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez una frase que pienso viene a dar en parte, respuesta al título de este post: “Estamos en un momento crítico para la privacidad”.

Pues sí, un momento en el que había esperanzas por ver cómo quedaría finalmente el reglamento europeo de protección de datos, si es que daba tiempo en ésta legislatura que se agota, y ahora aparecen los escándalos conocidos sobre el programa PRISM que parece va a dejar en eclipse total a la privacidad, no sólo de los europeos, me temo que a la privacidad del “mundo mundial” le esperan tiempos de tinieblas, aunque para según qué lado del atlántico serán mayores o menores si nos atenemos a las palabras de la propia Viviane Reding (vicepresidenta de la Comisión Europea y responsable de Justicia) diciendo “nunca había visto un ‘lobby’ tan potente”.

Vamos que hay una lucha entre EEUU y la UE por el control de la privacidad, en la que a medida que avanzaba el caso PRISM convirtiéndose en el caso SNOWDEN, lo de menos es saber si realmente todas nuestras comunicaciones son intervenidas, más bien si lo seguirán siendo, entre otras cuestiones.

Las declaraciones de los países se han ido sucediendo y al final parece que todos lo sabían, consentían e incluso tenían su propio programa de espionaje. Hace unos días la propia canciller de Alemania, Angela Merkel, manifestó su postura de “endurecer las normas de protección de datos en Internet de la UE y por forzar a las compañías de Internet a ser más abiertas en sus políticas en este sentido tras los escándalos de espionaje protagonizados por el Gobierno de Estados Unidos”.

Pero según indicaban algunos medios alemanes, “Los servicios secretos alemanes conocían desde hacía años la capacidad de sus homólogos estadounidenses para interceptar comunicaciones en todo el mundo y recurrieron a ellos en repetidas ocasiones”. Ante esto la respuesta de momento, es la habitual: “el gobierno ‘no comenta públicamente detalles’ de la ‘cooperación’ entre los servicios secretos alemanes y los estadounidenses”, es decir, NO COMENT.

La semana pasada también desayunábamos con la noticia de que el Gobierno brasileño baraja obligar a las multinacionales que ofrecen acceso y servicios en Internet a almacenar sus datos en Brasil y no en el exterior, creando nuevos incentivos para que las empresas mantengan sus centros de datos en Brasil, ya que el gobierno brasileño entiende que “internet tiene reglas de gestión exclusivamente dictadas por Estados Unidos. Defendemos una gestión multilateral y multisectorial”. El caso de Brasil parece que no será el único o cuando menos en intenciones.

Y mientras en la UE con una directiva del año 1995, sus Estados miembros no se ponen de acuerdo para sacar adelante la nueva reglamentación, en un momento en el que por todo lo anteriormente comentado, es evidente que hay una necesidad de contar con estándares globales de privacidad. Si a esto le añadimos las palabras asombrosas pronunciadas en una conferencia sobre la reforma de la normativa europea de protección de datos por Giovanni Buttarelli, adjunto al supervisor Europeo de Protección de datos, fijando el año ¡¡¡2025!!! como la fecha en la que entraría por completo en vigor el nuevo reglamento, entonces me viene a la mente la famosa frase de Obélix: “están locos estos Romanos”.

Es evidente que el mundo tiene o tenemos otros problemas, que hay amigos/conocidos que afirman que la LOPD/privacidad es una paranoilla de 4 freekes, a lo que suelo responder que en cierto modo sí, pero que gracias a ellos aún hay quien se preocupa por su privacidad. Impresiones, que en cierto modo se puede confirmar si nos atenemos a una encuesta del mes de mayo, que reflejaba lo siguiente: ”La protección de datos personales, es una leve preocupación para los españoles“ y no les falta razón, sobre todo al ver cómo actúan los romanos en la defensa de su Imperio.

En el 82 ya cantaba Miguel Ríos aquello de “año 2.000”, con estrofas como:

«Esta es la era de Mister Chips,
micro-ordenador de tu porvenir.
Que por lo pronto te quita el curro
además de ser tu ficha sin fin.
Hay que dictar su sentencia,
diciéndote que es por tu bien…..»

Pues sí, de nuestro provenir, nuestra ficha sin fin y por nuestro bien. La batalla del derecho al olvido ya está en marcha y se enfrenta a la libertad de expresión, la de la competitividad marcada por las leyes globales-locales también, la de anteponer seguridad a privacidad es una batalla que renace a golpe de terrorismo. La era del Big Data y el Cloud Computing hacen que conservemos la información “por si acaso”, sin importar dónde o si lo hacemos de forma segura y responsable, sin advertir de las brechas de seguridad …

Vendrán otras guerras, probablemente inimaginables hasta para Miguel Ríos, para las que en el 2025 tampoco habrá respuestas y mientras nos haremos la misma pregunta: ¿Quo Vadis?

II Congreso Nacional de Privacidad ¿Estamos ante un periodo de “Sede Vacante”?

17 de junio de 2013/0 Comentarios/en Blog/por Eurovima Consulting S.L.

Los pasados días 13 y 14 de junio de 2013, ha tenido lugar el II Congreso Nacional de Privacidad organizado por la Asociación Profesional Española de Privacidad (APEP).

En un marco idóneo para su celebración (Campus BBVA), nos reunimos gran parte de los asociados de APEP, junto a un buen número de profesionales, empresas y personalidades del ámbito de la privacidad, tanto nacional como internacional.

En esta ocasión, el congreso centró gran parte de su programa en el futuro Reglamento de Protección de Datos de la Unión Europea, en cómo afectará su aprobación (si es que se aprueba) y en general sobre el futuro del tratamiento de datos de carácter personal desde distintas perspectivas:

La privacidad Europea frente al otro lado del atlántico.
Menores de edad.
Los futuros DPO
Privacy by design, Privacy impact assessment
Gestión de Incidencias de Seguridad.

Quizás el mensaje que más resume el congreso sea que, toma cada vez más consistencia el rumor sobre que el futuro Reglamento de Protección de Datos de la Unión Europea siga siendo “futuro”, pues amén de las 3.000 enmiendas, de lo cercano del fin de la legislatura, de la existencia de desacuerdos importantes y los habituales grupos de presión, habrá otras cuestiones ocultas, que a los “mundanos” se nos escapan, pero que por distintos comentarios de personas/personalidades destacadas en el congreso hacen pensar que esas cuestiones existen y que deben tener un buen peso para que por el momento no sea aprobado.

En todo caso desde mi opinión, la esencia del congreso se ha visto bien respaldada en sus ponencias y por sus ponentes, en los debates generados, en el intercambio de opiniones, de pensamiento, dejando de lado si habrá “fumata blanca” o continuaremos en “sede vacante” y centrándose en los aspectos vinculados a la protección de datos de carácter personal.

Nuestro resumen no se centra en analizar cada una de las ponencias, gira en torno a una serie de palabras, términos o frases que a lo largo de las dos jornadas se han ido repitiendo, no de manera machacona, pero sí en la mayoría de los debates con independencia del tema tratado, a saber:

COMPETITIVIDAD.- Leyes-Privacidad-Empresas-Sectores: Global-local
Innovación y Big Data: brechas de seguridad
Accountability: reputación-diligencia; transparencia y confianza.
Redefinición del término “Dato de carácter personal”. Derecho fundamental pero no garantizado.
Seguridad frente a Privacidad: 11S y ahora PRISM
La armonización gana peso frente a la unificación: la ventanilla única.
DPO.- ¿Como gestionar su independencia?

Seguro que estamos de acuerdo en que éstas cuestiones son las que marcan el devenir de la privacidad a nivel global y en que el termino COMPETITIVIDAD cobra un papel predominante.

De cómo quede configurado el futuro reglamento y de su aplicación dependerá que sigamos hablando de un mundo global gestionado de manera global o marcada por la Seguridad Jurídica de aplicación.

Desde la caída de la Torres Gemelas, el debate Seguridad-Privacidad se aviva o se apaga en función de los acontecimientos y quizás los más recientes hagan que el rumbo del futuro reglamento se vea alterado, o no. Mientras, nosotros continuaremos bajo nuestra LOPD y la Directiva vigente aunque los que quieran cumplirla y hacer negocios más allá de la UE lo seguirán teniendo algo más difícil que otros.

En definitiva, creo que el Congreso ha sido un éxito en todos los aspectos, alcanzando el fin y objetivos propuestos, como ha demostrado el gran interés por debatir e intercambiar opiniones en torno a nuestra profesión, transmitiendo además un nivel organizativo, de «saber hacer» y de imagen fabuloso.

No obstante sería bueno que el congreso tuviese continuidad en un marco cuyo alcance no sea meramente el enfocado normativamente a la problemática de aplicación global en términos de privacidad, es decir, sería deseable una continuidad con un enfoque local-nacional de aplicación para los grandes profesionales que hemos conocido y tratado en estos días y que conforman nuestra Asociación.

Todo ello en aras de buscar respuestas y una mejor aplicación de la normativa a la realidad de nuestros clientes, que en la mayoría de los casos, no se enmarca ni gira en torno a esas palabras, términos o frases que antes significábamos y que a modo de resumen decíamos que a lo largo de las dos jornadas se han ido repitiendo.

Confiando en que así sea, gracias y enhorabuena a todas las personas que han participado en el evento y en especial a los implicados en la organización del mismo.

Grabaciones de imágenes desde un coche, algo más que una moda, pero… ¿es legal?

30 de mayo de 2013/2 Comentarios/en Blog/por Eurovima Consulting S.L.

Imagen de Jabo en Flick.com

Que existan numerosas imágenes de la caída del meteorito en los Urales rusos ha sido en parte, gracias a que muchos de sus ciudadanos optaron por instalar una cámara en su coche, con distintos fines.

En general muchos lo hacen para defenderse de la corrupción policial y de la picaresca de los estafadores a las aseguradoras, unos como prueba judicial, otros como medida disuasoria o simplemente para compartir imágenes impactantes en internet con las que hacerse notar.

Recientemente hemos leído algunos artículos en los que se planteaba si ésta cuestión en España sería legal o no y también hemos recibido una consulta específica al respecto, por ello hemos decidido aportar nuestra visión.

Aunque alguna mención será necesaria, dejemos claro que como de costumbre no pretendemos hacer un repaso ni acopio de menciones normativas con sus correspondientes Leyes, Reglamentos, etc. y menos desde el punto de vista de la Seguridad Vial o de Tráfico.

Haremos un enfoque normativo sobre si esas cámaras pueden grabar imágenes según establece nuestra LOPD y demás reglamentos o instrucciones como la «Videovogilancia«.

No obstante, lo primero que debemos recordar es que hay múltiples casos en los que la Agencia Española de Protección de Datos (AEPD) ha impuesto sanciones por grabaciones indebidas y que en España hay distintas leyes que regulan aspectos vinculados a una grabación, como los que tienen fines de investigación policial o de prevención de un delito (LO 4 de 1997 de 4 de agosto, regula la utilización de videocámaras por las fuerzas y cuerpos de seguridad en lugares públicos) o la ley que regula la grabación de imágenes con fines de seguridad privada (Ley 23/92 de 30 de julio, de Seguridad Privada).Puesto que no estamos hablando de un caso que se enmarque en el ámbito de grabación con fines de investigación policial o de prevención de delitos ni de la grabación de imágenes con fines de seguridad privada, nos centraremos en la normativa que sí se aplica al caso.

Por tanto, para el tema que nos ocupa, debemos considerar la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (más conocida como Videovigilancia), que establece, entre otras cuestiones que:

“La seguridad y la vigilancia, elementos presentes en la sociedad actual, no son incompatibles con el derecho fundamental a la protección de la imagen como dato personal, lo que en consecuencia exige respetar la normativa existente en materia de protección de datos, para de esta manera mantener la confianza de la ciudadanía en el sistema democrático”.
“Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.”

Es decir, hablamos de un derecho fundamental que debemos respetar, constatando que las imágenes se consideran un dato de carácter personal, en virtud de lo establecido por la LOPD, que considera como dato de carácter personal la información gráfica o fotográfica, quedando excluidas el tratamiento de imágenes en el ámbito personal y doméstico (el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar).

Existen otros ámbitos en los que la grabación de imágenes pueden estar justificados y serán lícitos, como el periodista que asiste y graba un evento que tiene un claro valor informativo, en el que puedan verse imágenes de los asistentes. Dicha grabación y publicación será lícita siempre que no se invada un espacio de privacidad o cuando la información prevalezca sobre la privacidad. En cambio habrá otros en los que se enmarcan en una esfera o ámbito privado pero al que asisten personas que se escapan de nuestro ámbito privado estricto, como la función de fin de curso de un hijo o una competición. En estos casos, de los que conviene hacer un post sobre ello, habrá que ir con pies de plomo.

Volviendo a nuestras cámaras en el coche, es evidente que las nuevas tecnologías son cada vez más útiles y accesibles, en este caso para ubicarlas en un coche, por tamaño y precio hasta hace poco instalar una cámara era impensable, siendo también evidente que el uso de estas nuevas tecnologías puede generar nuevos problemas relacionados con la privacidad.

Recordemos que se considera identificable a una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la Instrucción sobre videocámaras y cámaras, sin requerir plazos o actividades desproporcionados, vamos que si alguno sigue con alguna duda, que tenga muy claro, que la imagen personal se considera dato de carácter personal, al igual que las matrículas de los vehículos (aunque sobre esta cuestión existen ciertas contradicciones).

Estas cámaras enfocarán y grabarán imágenes de la vía pública, por la que circulamos las personas y los coches y por tanto pueden grabar nuestra imagen o las matrículas de coches a discreción y por ser un dato de carácter personal, los titulares de las cámaras tendrían que cumplir con la normativa en la materia, pero además, como estamos hablando de unas imágenes que serán tomadas de la vía pública, éstas únicamente podrán ser grabadas por las Fuerzas y Cuerpos de Seguridad.

En definitiva ya no hablamos, porque ya ni procede, de esos aspectos normativos a los que los titulares de las cámaras estarían sujetos, como el consentimiento o el deber de informar al interesado (carteles informativos) o que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida, etc.

No obstante, seguro que alguno estará pensado en Google y su última campaña de Street View, por ello conviene recordar el “contencioso” AEPD-Google, en el que la AEPD concluyó en su investigación que Google se compromete a anonimizar las imágenes de personas y matrículas de vehículos antes de publicarlas, es decir, a difuminar de manera permanente e irreversible, los rostros y matrículas para que no puedan ser reconocidos y a mantener un mecanismo ágil para que los interesados puedan obtener la corrección de cualquier error (nota de prensa completa).

En resumen salvo que la normativa cambie, a día de hoy, no es posible que los particulares instalemos está cámaras en nuestros vehículos, sea cual sea el motivo (notoriedad o nuestra defensa) ya que desde el punto de vista de la LOPD no está permitido.

Ahora sólo nos queda escuchar sus opiniones o que nos planteen las dudas que puedan albergar.

NEWS 08/Mayo/2013 Nuevas Guías sobre el CLOUD y COOKIES de la AEPD

8 de mayo de 2013/en NEWS/por Rafael Varela

El pasado 26 de abril de 2013, tuvo lugar en Madrid, la 5ª Sesión Anual Abierta de la AEPD (Agencia Española de Protección de Datos). Sobre esta sesión ya publicamos un post en el que comentamos un resumen con el contenido, alcance e impresiones sobre la misma.

Hoy queremos recordar que en dicha sesión se presentaron dos guías (de las que os dejamos su enlaces correspondientes)con directrices sobre el Cloud Computing, enfocadas tanto a los clientes que contraten servicios en la nube Guía para clientes que contraten servicios de Cloud Computing, como a los proveedores que los prestan Orientaciones para prestadores de servicios de Cloud Computing.

Reproducimos por su interés, parte de la Nota emitida por la AEPD de la 5ª sesión anual (nota completa en este enlace):

En el primer bloque de la jornada el adjunto al director de la AEPD, Jesús Rubí, ha presentado la Guía para clientes que contraten servicios de cloud computing, un documento práctico que pretende facilitar el cumplimiento de la normativa de protección de datos en la contratación de servicios en la nube. El documento, dirigido a pymes, microempresas, profesionales y administraciones públicas, analiza, entre otros aspectos, las diferentes modalidades de servicios en la nube, los riesgos, las obligaciones de las partes y la legislación aplicable. En paralelo, la AEPD también ha elaborado una publicación llamada Orientaciones para los prestadores de servicios de cloud computing, que hace hincapié en las garantías que deben cumplir las empresas que ofrecen estos servicios.

Ese día 26 se anunció la publicación de la primera guía en Europa sobre el uso de cookies elaborada junto a los representantes de la industria, que el día 29 la AEPD presentó junto a dichos representantes.

Reproducimos por su interés, parte de la Nota emitida por la AEPD (nota completa en este enlace):

El director de la AEPD, José Luis Rodríguez Álvarez, ha destacado que, con esta Guía, se da un gran paso adelante para conciliar el uso de las cookies con la protección de la privacidad de los ciudadanos. “Se establecen reglas claras para garantizar que los usuarios puedan decidir si consienten o no la instalación de cookies en sus terminales, contando con una información clara y completa sobre qué datos se recopilan, quiénes los van a tratar y a qué fines se destinan. Al mismo tiempo, se proporcionan a las empresas y a los responsables de páginas web en general unas directrices y orientaciones prácticas que les facilitará el cumplimiento de las obligaciones legales con mayor seguridad jurídica y el grado de flexibilidad necesario para posibilitar el desarrollo de la economía digital”.

La guía ofrece diversas opciones para cumplir con las dos obligaciones legales fundamentales impuestas por la normativa: el deber de información al usuario y la obtención del consentimiento por parte de este. En cuanto a la información que debe facilitarse, el apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información “clara y completa” sobre las cookies. La Guía especifica un sistema de información por capas que consiste en mostrar la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información adicional sobre las cookies.

La Guía también recoge cuestiones relacionadas con la accesibilidad y visibilidad de esa información. Aunque no se ofrecen indicaciones rígidas de dónde debe ser colocada, sí se especifica que el enlace debe estar situado en zonas que capten la atención de los usuarios.

Además de ese nivel de información, para la instalación y utilización de cookies será necesario obtener el consentimiento del usuario, de forma que este pueda considerarse un consentimiento informado.

Por último, el documento también recoge el derecho de los usuarios a recibir información sobre la forma de desactivar o eliminar las cookies, así como la forma de revocar un consentimiento prestado con anterioridad.

Dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones recogidas en el documento conjunto no pretenden ofrecer una solución general y uniforme para el cumplimiento de la Ley sino que servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio. La AEPD recomienda a las entidades implicadas en la utilización de cookies llevar a cabo una revisión de las que se utilizan, bien internamente, bien con el asesoramiento de asociaciones o entidades especializadas. Las entidades podrán conocer así qué cookies se utilizan y para qué finalidad, descartando así las innecesarias.

Ley de “Murphy” y privacidad online

28 de abril de 2013/0 Comentarios/en Blog/por Rafael Varela

Creo que todos estamos de acuerdo en que parte de la información sobre nosotros, quiénes y cómo somos, nuestros gustos, aficiones, hábitos, etc… que está divulgada en Internet la ha publicado uno mismo. En ocasiones compartimos intimidades solo por el simple hecho de comunicarnos, de que sepan que hemos sido padres, tíos, abuelos o que estamos de vacaciones en tal país o tomando una copa en un local nuevo, en una boda o de visita cultural o que la gente sepa que nos gusta una página web, que en función de su contenido puede revelar datos más comprometedores o sensibles sobre nosotros.

Podemos decir que esa información la hemos compartido de manera directa, pero también hay información que otros pueden deducir de nuestra actividad digamos “indirecta” en la Red o cuando menos no pública, como la que proporcionan las aplicaciones que nos hemos descargado en el móvil, las páginas visitadas o las compras realizadas.

Con todo ello, a las empresas con servicios online les resulta relativamente sencillo recabar nuestros datos, cruzarlos y analizarlos para ampliar sus opciones de venta ofreciéndonos publicidad/productos de manera personalizada. ¿Cuántas veces hemos consultado vuelos y posteriormente nos aparecen anuncios ofreciéndonos ofertas para esos destinos?.

También existe otra vía, cada vez más extendida y es la información que otros dan de nosotros en la red y que de entrada no podemos controlar y en ocasiones ni siquiera llegamos a saber que existe, pero existe y como ya sabemos que existe una “Ley de Murphy” será usada y con malas intenciones.

Por todo ello y por lo que vendrá, creo que estaremos muy de acuerdo en que la privacidad en Internet no existe, es difícil de administrar, pero cuando menos sí que podemos decidir libremente qué información queremos trasmitir de manera directa, a quién se la damos y los medios que usamos. Todo ello sí está en nuestras manos.

Pero si todo esto lo hacemos los mayores/adultos, que podemos esperar de los adolescentes y jóvenes, que en realidad no son conscientes de las consecuencias de los datos que revelan en la Red.

Las redes sociales tratan de protegerles en cierta medida, prohibiendo su registro a los menores de 14 años (edad mínima legal), pero entenderemos que no es fácil que exista un sistema de identificación sólido que gestione el acceso por la edad, sobre todo cuando son sus propios padres los que les permiten registrarse.

Bueno, en todo caso, conviene repasar algunos de las cuestiones que debemos tener presentes para proteger nuestra privacidad online:

Lee el aviso legal y las políticas de privacidad, prestando especial atención a la identidad del responsable, a la finalidad con la que se recaban todos tus datos y a que puedas ejercitar tus derechos ARCO (de acceso, rectificación, cancelación y oposición de tus datos).
Instala un antivirus en tu equipo/dispositivo, accede al mismo y a sus registros con contraseñas robustas y cámbialas cada cierto tiempo o si detectas algo sospechoso, toda ayuda es poca. Si usas red WIFI protégela.
Los archivos temporales y las cookies que se guardan en nuestros equipos dicen mucho de nuestra actividad en la Red, bórrelos periódicamente.
Antes de aceptar la invitación de un tercero y agregarlo como contacto, piénsalo dos veces.
No publiques datos de terceras personas sin su consentimiento.
Piensa si de verdad necesitas publicar tu ubicación, gustos, fotos, etc. y por ende la de otros.
Nuestras aficiones y gustos pueden decir mucho de nosotros, cuida de tu reputación online, de la información publicada hoy puedes arrepentirte mañana. Recuerda la “Ley de Murphy”.
Si eres menor de edad seguramente no estarás leyendo este post, pero confiamos en que un adulto te lo cuente.

Resumen 5ª Sesión Anual Abierta de la AEPD

26 de abril de 2013/0 Comentarios/en Blog/por Rafael Varela

Esta mañana de viernes 26 de abril de 2013, ha tenido lugar en el marco incomparable del Teatro Real de Madrid, la 5ª Sesión Anual Abierta de la AEPD, cuyo aforo estaba completo a los pocos días de anunciarse su convocatoria.

Como cada año, acudimos con las ganas de escuchar por boca de la propia AEPD que cuestiones relevantes nos deparará nuestra querida protección de datos, esperando encontrar algunas respuestas a las cuestiones que los súbditos hemos planteado, los pequeños comentarios sobre sentencias, resoluciones e informes destacados y su visión respecto a las cuestiones que a día de hoy se encuentran pendientes de concretar dentro del marco regulador.

Particularmente creo que este año ha sido el más interesante, sobre todo por conocer y admitir abiertamente, por parte del Director de la AEPD, D. José Luís Rodríguez Álvarez, cuestiones como:

Que hay una voluntad política para que antes de que finalice la presente legislatura europea se apruebe el Reglamento Europeo sobre Protección de Datos.
Que existen aspectos puestos en duda como el modelo de ventanilla única que según el Director de la AEPD es un retroceso en las garantías para los ciudadanos que estarán obligados a dirigirse a la autoridad del Estado que corresponda para ejercitar sus derechos.
La importancia en hacer compatible la privacidad con el desarrollo tecnológico, en un marco de confianza en el que la protección de datos no sea un obstáculo, más bien la condición necesaria para generar confianza en el desarrollo de la actividad económica digital.

D. Jesús Rubí, presentó dos guías con directrices sobre el Cloud Computing, enfocadas tanto a los clientes que contraten servicios en la nube, como a los proveedores que los prestan, incidiendo en aspectos como la «diligencia» en la elección del prestador del servicio, en las responsabilidades de ambos, la localización, la subcontratación o la portabilidad de los datos.

También se dio un avance de una tercera guía sobre cookies, con orientaciones que han de adaptarse caso a caso o negocio a negocio. En este sentido, como en la mayoría, creo que las orientaciones vendrán de la mano de las sanciones, que por cierto dicen que ya han empezado a producirse inspecciones, recordando que la normativa tiene ya un año de vida, aunque “aparente menos edad” o pensásemos que se encontraba en estado de gestación, dada su escasa aplicación.

Sobre las cookies, se aboga por la información esencial visible desde el primer momento para garantizar el consentimiento informado y su comprensión (sencillez) y también por «capas», destacado que se aceptarán formulas como: “si sigue Usted navegando esta consintiendo…” o “arrastrando su cursor, consiente…” y que las cookies analíticas no están exentas del deber de información. En todo caso, ya veremos como se van implementando.

Posteriormente se realizó la entrega de premios anuales, dando paso al “análisis” de sentencias, informes y resoluciones más relevantes, tanto del Tribunal Supremo como de la Audiencia Nacional, destacando el incremento de denuncias por Suplantación de la identidad (sobre todo sector energía y agua) incidiendo en que es imputable tanto al comercial como al responsable, infracciones derivadas de imágenes colgadas en redes sociales sin consentimiento, del ejercicio de tutela del derecho al olvido siempre enfrentado a la libertad de información, del interés legítimo, etc.

En las últimas intervenciones, se habló de un nuevo modelo de transferencia internacional de datos en base a nuevos criterios que pretende mejorar la posición de los encargados de tratamiento de la UE frente a terceros y de los avances y desarrollos internacionales.

Por último, se expusieron unas 15-20 consultas de las planteadas previamente por los asistentes, esperando poderlas analizar en detalle una vez se encuentren publicadas en la web de la Agencia, cerrando la sesión las preguntas formuladas directamente por los asistentes.

En definitiva, con algo más de calma, iremos desgranando lo acontecido en próximos post, mientras, sean DILIGENTES y respeten y cuiden su PRIVACIDAD (y las de los demás).

El TJUE y el Derecho al olvido. «Olvídense del olvido»

27 de febrero de 2013/0 Comentarios/en Blog/por Rafael Varela

Como se indicaba en la sección «news» el día 26-02-2013, el Tribunal de Justicia de la Unión Europea (TJUE) analizó el ejercicio de derechos de oposición y cancelación de datos personales de ciudadanos frente a buscadores en Internet, y en concreto al buscador de Google, el conocido como “El Derecho al Olvido.”

Pues bien, según informaciones publicadas hoy en diarios como el mundo o el país, la Sala analizó entre otros, el caso de un particular que (después de varias demandas de Google contra sanciones de la AEPD) al teclear su nombre en el citado buscador, se encontraba con un enlace a un anuncio de un diario nacional, en el que aparecía la subasta de un inmueble suyo por impago a la Seguridad Social. Pese a que el asunto ya se había resuelto, el anuncio aun era accesible.

El ciudadano recibió el amparo de la AEPD, le dio la razón parcialmente y requirió a Google Spain S.L. y Google Inc. que retiraran los datos del anunciante de su índice, aunque no pidió al periódico ‘La Vanguardia’ que retirase la información dado que su publicación tenía justificación legal.

Como cuestiones principales destacar que Google manifiesta que la responsabilidad es de quien publica, que ellos buscan e indexan y que además será más sencillo que lo elimine quien lo ha publicado y que en todo caso ellos tiene su sede en California (no le aplicaría la LOPD).

Lo que la acusación entiende es que Google realiza un tratamiento de datos, aunque con una finalidad diferente al del editor, pero puesto que su negocio deriva en la publicidad, para ello gestiona, almacena y trata la información con dicha finalidad y lo hace sobre las cookies de los terminales de usuarios ubicados en España.

Por ende, se entiende que Google se encuentra sometido a la normativa europea y española de protección de datos, que, tal y como recordó la propia Comisión Europea y la AEPD en la audiencia, la directiva no exige que los medios usados por la compañía sean propios sino que pueden ser de terceros, y la actividad de la filial de Google en España se aprovecha de medios españoles, concretamente en su actividad publicitaria en la Red.

En definitiva, veremos qué se resuelve y cómo. Las cuestiones claves serán delimitar el alcance de la responsabilidad de Google frente a los derechos de los ciudadanos sobre la publicación/indexación de sus datos personales y si puede estar sujeto a la normativa de privacidad europea aunque su motor de búsqueda sea de una empresa con sede en California.

La cuestión es si su resolución llegará a tiempo, por ejemplo antes de que se publique la nueva normativa, el Reglamento general de protección de datos de la Unión Europea y como se regulará ese derecho al olvido y que papel han de cumplir cada uno de los actores intervinientes.

Aunque en Junio podemos tener una primera conclusión, hasta pasados 6-9 meses no se espera la definitiva, mientras tanto y en nuestra modesta opinión; «olvídense del olvido».

Motivos para adecuarnos a la LOPD y LSSI; ¡elige el tuyo!

18 de febrero de 2013/0 Comentarios/en Blog/por Eurovima Consulting S.L.

Veamos: ¿A quién afecta? y ¿Por qué es importante?

Primero hagámonos ésta pregunta, ¿a qué empresas/organizaciones/ profesionales afecta?

A TODAS; empresas, profesionales y también a entidades que tengan o no ánimo de lucro; fundaciones, asociaciones, comunidades de vecinos, etc.

De tal manera que las que tengan empleados/clientes/asociados/etc. estarán afectas por la Ley de Protección de Datos de Carácter Personal (LOPD) y las que actúen por Internet –aunque sólo tengan una página informativa-, por la LSSI.

En segundo lugar, veamos y busquemos motivos, legales o no, para adecuarnos; ¿por qué es importante? Entre otros motivos podemos señalar:

Ser un requerimiento legal, desde hace ya muchos, muchos, muchos años.
Se trata de uno de los derechos fundamentales reconocidos por la Constitución: “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”.
Su aplicación compete a toda la Organización (dirección, empleados, comerciales, etc).
Su incumplimiento puede originar sanciones y problemas de imagen y confianza.
Permite implementar y revisar las medidas técnicas y organizativas que garantizan la confidencialidad, integridad, disponibilidad y un correcto tratamiento de la información que nuestros Clientes/Usuarios/Asociados/Miembros/Colaboradores nos han confiado.
Debemos garantizar la continuidad de nuestro negocio. Invertir en seguridad supone ganar en rapidez y eficacia, adquiriendo un compromiso con la calidad y ética empresarial.
Ofrecer al cliente de Internet la misma imagen, seguridad, garantías y confianza que tienen de nuestra empresa de manera presencial.
Los servicios, comunicaciones en Internet, Redes Sociales, etc. se han convertido en canales de comunicación y marketing importantes para las empresas, grandes y pequeñas; donde ofrecer servicios, productos, imagen y filosofía, sin limitaciones geográficas y a una multitud de visitantes.
Recordemos que no estamos ante un proceso estático ya que es necesario que se encuentre actualizado siendo necesario establecerlo como un proceso de mejora continua.

¿A qué estamos obligados? Entre otras cuestiones a:

Declarar que datos tratamos, su finalidad, usos, cesiones, etc. y que los medios usados (captación, tratamiento y difusión) en el tratamiento de datos de carácter personal, sean adecuados y que los datos sean proporcionales a su finalidad, veraces y obtenidos legítimamente
Mantener actualizadas las medidas seguridad y procedimientos que garanticen el cumplimiento de los requerimientos legales de la información con datos de carácter personal que gestionamos.
Revisar o formalizar los contratos, con aquellos que nos prestan un servicio con acceso o tratamiento de nuestros datos (asesorías, mantenimiento informático, etc.).
Informar/implicar a los intervinientes (empleados, colaboradores, empresas externas), y facilitar y garantizar derechos de oposición, acceso, rectificación y cancelación a los clientes.
A la adaptación de nuestra página web, desde el punto de vista LOPD como LSSICE (Boletín de Novedades o Newsletter, registros de usuarios, Ventas, etc.).

Busca tu motivo para cumplir con la protección de datos y la LSSI

Habitualmente nos encontramos que muchos de estos aspectos las empresas los cumplen simplemente por el interés de salvaguardar su propio negocio y la información que lo sustenta.

Puede que también tengan implementadas medidas técnicas y organizativas que garantizan la seguridad, confidencialidad y un correcto tratamiento de la información que gestionan aun cuando no se encuentran gestionados, documentados o controlados tal y como establece la normativa.

Por todo lo dicho, busca tu motivo para cumplir con la protección de datos y la LSSI y llámanos, te informaremos en detalle.