Entradas

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

Sexy Target Stock Photo – Photo by Salvatore Vuono. in FreeDigitalPhotos.net

Vamos cerrando el 2014, que en líneas generales consideramos que ha sido un buen año, aunque tampoco podemos decir que haya sido como para recordar.

Un año en el que hemos asistido a la compra de WhatsApp por Facebook, al adiós de Windows XP o al ataque a Sony y los ciberataques masivos, al estancamiento de las Google Glass y al despegue de todo tipo de App´s, de la impresora 3D y de los Wearables, a la incertidumbre del Bitcoin o al año en el que la UE respaldó el derecho al olvido y hace a Google responsable del tratamiento de datos personales.

Los menores hablan en un idioma distinto al de los padres

Son nativos digitales enseñados por inmigrantes digitales y por tanto hablan idiomas distintos. En todo caso, aunque parezca que no, creemos que ha sido un buen año en cuanto a los avances en materia de prevención e información hacia los menores en materia de privacidad y seguridad, aunque el ciberacoso en cualquiera de sus modalidades, aumenta en la medida en que la mensajería instantánea y las Redes Sociales se apoderan de parte de sus vidas y por ello hay que perseverar en ello.

La cuestión es que de en todos esos acontecimientos citados hay un denominador común, la privacidad y la seguridad en un mundo/mercado cada vez más global y online, en el que parece que hemos avanzado poco a nivel de regulación, cuando menos la española/europea, y que en lo que hemos tratado de avanzar, ni siquiera está claro.

La Unión Europea sigue sin aprobar el nuevo marco regulatorio en materia de protección de datos

Desde el punto de vista de la privacidad, ha sido un año convulso marcado principalmente por los coletazos del “viejo” tema del espionaje NSA-SNODWEN, en el que hemos visto como ni siquiera ese terremoto ha acelerado el proceso final que haga que tengamos en la Unión Europea un nuevo marco regulatorio y sigamos con nuestra “vieja-local” LOPD.

Nos espían, lo asumimos y casi aceptamos, pues no somos capaces de ponernos de acuerdo para regularlo.

Otro gran acontecimiento ha sido la reforma de la Ley de Propiedad Intelectual, cuyo “éxito” se resume en que su tramitación ha sido accidentada, aprobada sin consenso y sin tener claro el uso y en qué manera va a afectar, no a los presuntos delincuentes contra los que pretende regular, sino al resto de usuarios de Internet.

La defensa de los derechos de autor se ha mezclado con la llamada “Tasa Google” o “canon AEDE”, ha terminado con el cierre de Google News, una herramienta que al final ayudaba a los propios editores a generar tráfico a sus páginas web.

Sobre los “piratas”, aquellos que serán perseguidos por facilitar enlaces a contenidos no autorizados, generando un “daño”, veremos la manera en que se identificará a los usuarios por la vía civil.

Esta es nuestra visión resumida del 2014. Desde EUROVIMA os seguiremos informando de estas y otras cuestiones que sean de actualidad e interés, en el ámbito que engloba la tecnología, la privacidad y la seguridad.

Aprovechamos para desearos un gran año.

El vuelo de los drones. Nueva regulación

DronesEl pasado día 10 de abril de 2.014, publicamos un artículo sobre un tema de actualidad, “El vuelo de los drones, privacidad y otras implicaciones legales”. Nos hacíamos eco de las preocupaciones que las empresas que quieren dedicarse a explotar estos aparatos de manera profesional tenían a esa fecha.

Por aquel entonces decíamos que estaba pendiente la aprobación de una norma que regulase su uso profesional. Pues bien, ya tenemos esta norma en vigor.

El día 5 de julio se publicó en el BOE el Real Decreto Ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia. Esta norma regula no solo esta materia, sino también muchas otras como la modificación de la Ley del cine, modificación de la ley de comercio minorista, aviación civil, y aeroportuaria, medidas energéticas, entre otras muchas materias.

Destacar la figura jurídica con la que se ha regulado la materia: El Real Decreto Ley

Es una norma jurídica con rango de ley que emana del poder ejecutivo y es dictada en caso de extraordinaria y urgente necesidad. Decir que aunque se trata de una norma con rango de ley, el emisor de la misma es el ejecutivo, no el legislativo, como debiera ser. Y todo ello porque el gobierno cree que las materias a regular necesitan ser abordadas con urgencia. En mi opinión, se abusa de esta figura para regular ciertas materias que con una tramitación “tradicional”, pudieran dar lugar a divergencia de opiniones. Pero bueno, hecho está.

En cuanto a los drones, materia que nos interesa, el Real Decreto dedica el artículo 50 a regular su uso civil profesional. Sin embargo esta regulación lo será de forma temporal, y hasta que, como indica la misma norma, se regule reglamentariamente “el régimen jurídico aplicable a las aeronaves civiles pilotadas por control remoto, así como a las operaciones y actividades realizadas por ellas”, momento en que quedará derogado este artículo. Quedan fuera de esta norma las actividades militares, y realizadas por los cuerpos y fuerzas de seguridad del estado, así como las realizadas por los aeromodelistas aficionados que cumplan con la legislación específica en la materia.

El Real Decreto Ley, y la LOPD

Indicar que el Real Decreto nos da “la razón”, y como adelantábamos en nuestro primer artículo, “se deberá tener en cuenta la legislación sobre, uso del espacio radioeléctrico, protección de datos o la toma de imágenes aéreas, además de la responsabilidad por los daños causados por la operación o la aeronave”. Con ello quedan validadas nuestras recomendaciones en temas de protección de datos (LOPD) en cuanto a responsables de fichero, encargados de tratamiento, y procedimientos indicados; y sobre la necesidad de contratar un seguro de responsabilidad civil para cubrir los posibles daños que se pudieran ocasionar. Las indemnizaciones por estos daños serán calculadas conforme al baremo establecido en Real Decreto 37/2001, de 19 de enero, por el que se actualiza la cuantía de las indemnizaciones por daños previstas en la Ley 48/1960, de 21 de julio, de Navegación Aérea.

¿Quién podrá manejar un dron?

El responsable de la aeronave es denominado “operador de la aeronave”, pero no se indica claramente si éste podrá ser una persona física o jurídica, entendemos que podrían ser ambos. Pero además debemos diferenciarlo del piloto de la aeronave, al que se le exigen una serie de requisitos, como ser mayor de 18 años, poseer un certificado médico, tener los conocimientos adecuados sobre la aeronave, tener licencia de piloto, incluyendo la licencia de piloto de ultraligero, o poder demostrar que se tienen los conocimientos teóricos necesarios. Esta última característica entiendo que será de difícil comprobación, a no ser por la realización de unos exámenes teóricos. Esta cuestión no queda claramente regulada. También poseer un certificado básico o avanzado para el pilotaje de aeronaves civiles pilotadas por control remoto, emitido por una organización de formación aprobada, según se quiera volar dentro o fuera del alcance visual del piloto; y que el aparato sea inferior o superior a 25 Kilos de peso.

En cuanto a la aeronave, se distinguen varios grupos, hasta 2 kg., de 2 a 25 kg., y los que excedan de 25 Kg y cuyo peso no exceda de los 150 Kg., cuyos requisitos serán distintos. Todas ellas deberán llevar una placa identificativa, del modelo, numero de serie, y operador de la misma, así como los datos de contacto de éste. Las aeronaves con peso superior a 25 kilos deberán además estar inscritas en el Registro de matrícula de aeronaves y disponer de certificado de aeronavegabilidad.

¿Dónde se podrán pilotar?

En cuanto a las operaciones que podrán realizar también quedan reguladas y serán, actividades aéreas de trabajos técnicos o científicos, vuelos de prueba de producción y de mantenimiento, de demostración no abiertos al público, programas de investigación, vuelos de desarrollo, de I+D realizados por fabricantes para el desarrollo de nuevos productos, y de prueba antes de un evento.

Para las aeronaves con peso superior a 25 kg. además se requerirá la comunicación a la Agencia Estatal de Seguridad Aérea con una antelación mínima de cinco días al día del inicio de la operación, y declaración responsable de cumplir con los demás requisitos, además de aportar el manual de operaciones, el estudio aeronáutico de seguridad y la documentación acreditativa de tener suscrito el seguro obligatorio exigidos.

En cualquier caso, se deberá además determinar un área de exclusión o de seguridad.

Como vemos, quedan excluidos por tanto los vuelos por encima de personas, pudiendo únicamente volar en zonas fuera de aglomeraciones de edificios en ciudades, pueblos o lugares habitados o de reuniones de personas al aire libre. Quedarían fuera por tanto las actividades que hemos visto recientemente en los noticiarios, como la grabación en el recorrido de los San Fermines, o en Fallas…

Desde Eurovima Consulting esperamos que esta serie de artículos os sirva para aclarar ciertos aspectos sobre el uso de estos aparatos, y en cualquier caso, quedamos a vuestra disposición para resolver vuestras dudas.

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.

 

¿LOPD y Videovigilancia: Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Hace unas cuantas semanas desde Facebook nos hacíamos eco de un informe publicado por la Agencia Española de Protección de Datos (AEPD) que hablaba sobre “la cesión de datos de las comunidades de vecinos a sus propietarios” y nos hacían la siguiente consulta:

¿LOPD y Videovigilancia: Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Cctv Camera In Front Of The Village, Residence Stock Photo by nipitphand in www.freedigitalphotos.net

“Puede un vecino colocar una cámara de videovigilancia en la puerta de su piso con intención de grabar supuestos “actos vandálicos” de otro vecino del edificio? Esto es, si quiero tener la certeza de que un vecino en concreto pone a su perro a hacer sus necesidades en mi felpudo, o quiero tener pruebas fehacientes de que es él quien, por ejemplo, me ralla la puerta, etc….puedo instalarla sin avisar a la comunidad, o es ésta la que debe autorizarlo?”

Bueno, pues hoy queremos tratar de dar respuesta a una situación que siendo lamentable debe tratarse y actuar conforme las leyes nos permitan y en este caso lo trataremos según lo establecido por la LOPD y para ello iremos por partes.

¿Aplica la LOPD aunque solo exista visualización y por tanto no concurra grabación?

Lo primero es aclarar que la imagen de una persona identificada o identificable es un dato de carácter personal y su tratamiento estará sujeto a la normativa de protección de datos, es decir:

  1. Por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
  2. Su Reglamento de desarrollo
  3. De manera particular por la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos (AEPD), sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras.

[pullquote]Aunque no exista grabación, solo visualización, también le aplica la normativa, y si hay grabación, los datos serán cancelados en el plazo máximo de un mes desde su captación.[/pullquote]

Si la cámara es instalada por la comunidad, deberá:

  1. Notificar e inscribir un fichero en el Registro General de Protección de Datos.
  2. Respetar los plazos y procedimiento de almacenamiento de las imágenes grabadas, debiendo ser cancelados en el plazo máximo de un mes desde su captación.
  3. Adoptar las medidas de seguridad previstas en Reglamento de desarrollo de la LOPD.
  4. Atender los derechos de acceso, rectificación y cancelación.
  5. La instalación debe estar autorizada por la Comunidad.
  6. Respetar todos los requisitos establecidos en la Instrucción 1/2006, de 8 de noviembre.

La comunidad debe aprobar su instalación, en un acuerdo de junta de propietarios y aprobarlo por las 3/5 partes de los propietarios según establece la Ley de Propiedad Horizontal puesto que el tratamiento de datos de carácter personal a través de cámaras de videovigilancia se produce en una zona común.

¿Qué dice al respecto la Instrucción 1/2006, de 8 de noviembre, sobre sistemas de videovigilancia?

En concreto, el Artículo 3 obliga a que los responsables (la Comunidad) que cuenten con sistemas de videovigilancia cumplan con el deber de información previsto en el artículo 5 de la LOPD, debiendo:

  1. Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
  2. Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

No aplica la normativa sobre protección de datos los tratamientos que tengan su origen en actividades exclusivamente personales o domésticas, por ejemplo, las cámaras que graban solo el interior de la vivienda particular, quedaría fuera de la LOPD.

En definitiva, ¿Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Pues lo cierto es que no. La instalación se debe hacer de forma que cuando un vecino abre la puerta de su casa la cámara no graba su interior si es colocada por la comunidad y si es propiedad del vecino, no debe grabar espacios comunes de la comunidad.

Cuando las cámaras graben espacios comunes de la comunidad de vecinos, nunca estaremos en un ámbito doméstico y si del ámbito de aplicación de la LOPD.

La LOPD establece que las cámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende (necesaria para satisfacer un interés legítimo) pero mucho nos tememos que en este caso difícilmente podremos justificar que sea imprescindible, si bien otras medidas no harán posible demostrar que se están produciendo dichos actos vandálicos.

Si lográsemos que la justicia aceptara dicho interés legítimo*, estaríamos hablando de otra cosa, pero de momento no nos consta que existen casos en los que se haya podido acreditar*.

Como de costumbre, esperamos vuestros comentarios y que nos consultéis cualquier duda sobre el tema, haciendo uso de nuestros servicios de Asesoría en protección de datos y comercio electrónico.

*15-07-14.- Actualización: Os dejamos el enlace a un artículo de David González Calleja, que aporta  más información sobre este aspecto

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo - Eurovima Consulting - Asesoría Protección de Datos - Madrid

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo - Eurovima Consulting - Asesoría Protección de Datos - Madrid

Imagen original de http://www.redusers.com

Se podría decir que “Ya podemos eliminar nuestros datos de internert!!!!”, pero seamos prudentes y de momento digamos que se van dando pasos, ya que eso será siempre que se den determinadas circunstancias.

Después de que el pasado 13 de mayo de 2014, tal y como EUROVIMA informó (ver enlace), la Justicia europea fallaba contra Google obligandola a cumplir con la normativa de protección de datos europea y a desindexar la información solicitada por los afectados, Google acaba de poner en marcha una herramienta que permita a los afectados solicitarlo, en el apartado “legal” de su página indica “Cómo retirar contenido de Google” (ver enlace).

Bueno, esto no acaba más que empezar, veremos como se implementa ya que una cuestión es que se facilite poder ejercer ese derecho y otra distinta es que se atienda en tiempo y modo, es más, de momento ni siquiera el formulario cumple con el deber de información que la LOPD establece en su artículo 5¡¡¡¡ (Derecho de información en la recogida de datos), es decir, empezamos bien.

En cualquier caso, seguiremos informando y si necesitáis hacernos alguna consulta al respecto,  es decir, si hay información que os afecte y entendéis que no debería estar publicada en la Red, no dudéis en consultar a vuestra asesoría en materia de protección de datos, privacidad, comercio electrónico y derecho TIC, al igual que esperamos vuestras opiniones.

Resumen del evento: “Big Data: claves de negocio y retos jurídicos”.

IMG-20140519-WA0005Ayer 19 de mayo de 2014, en las funcionales instalaciones del BBVA Innovation Center de Madrid, se celebró un foro de debate bajo el título “Big Data: claves de negocio y retos jurídicos” con la organización conjunta de APEP, DENAE e IAB SPAIN, en los que intervinieron 4 expertos que dieron un enfoque al evento desde los puntos de vista del negocio y jurídico: Pepe Cerezo, Mikel Lekaroz, Antonio Muñoz y Javier Puyol.

El foro giró sobre el tratamiento de la información y el marketing digital basado en el Big Data y los retos que supone para su cumplimiento normativo, dada la eclosión y el desarrollo que ha alcanzado.

Pepe Cerezo.- Decisiones de negocio en tiempo real (FAST DATA)

Inició su intervención con un repaso a la evolución de los negocios en los últimos 25 años. Desde la creación de las primeras páginas web hasta el “internet de las cosas”, pasando por el Cloud, la Redes Sociales y la era Mobile, que en su opinión dará lugar a la llamada “internet expandida”, que será un compendio de todas ellas. De cómo esa evolución ha servido para alimentar esos negocios que han surgido en cada etapa, cuyo combustible han sido y son los datos. Cómo desde el conocimiento se ha pasado a la segmentación para poder tomar decisiones en tiempo real en base a una publicidad personalizada puesto que “los datos son la voz de los Clientes”.

Mikel Lekaroz.- El dato en medios ha dejado de usarse como ametralladora, se trata de ir al “objetivo”.

Su enfoque se basó en el triángulo formado por la transformación digital, marketing y modelos de negocio, cómo se ha transformado la manera de medir las audiencias, de la evolución en busca de dejar de ser ineficiente, irrelevante e indiscriminada que en definitiva ha derivado en un cambio en el modo de pensar. Gracias al Big Data está todo conectado, y la evolución tan brutal que ha tenido ha supuesto un “Gap” entre regulación y tecnología, en el que Mikel aboga por una autorregulación basada en el cumplimiento de lo que decimos.

 Antonio Muñoz.- Big Data no es Big Brother

Asociar ambos conceptos distorsiona la realidad pues cuestiona el principio que ha de legitimar la recogida de datos dadas las implicaciones jurídicas que suponen. Por ello aboga por un balance entre la trasparencia y la información, que ha de contemplar el Reglamento Europeo de Protección de datos, que partirá desde el principio incuestionable de la legitimación en la captura, pasando por la seguridad de su almacenamiento (Cloud) y la participación de “terceros” en el proceso, es decir, de aquellos que accedan, traten o gestionen dicha información.

 Javier Puyol.- El derecho civil debe ganar “peso” frente a la privacidad en el Big Data.

Apuesta por simplificar la problemática del Big Data, en el que la disociación debe ser parte del proceso que aúne consentimiento, conocimiento y derechos, además de quedar claramente identificada la responsabilidad de cada uno de los actores que intervienen en el proceso, en el que la propia evolución del Big Data supone un reto para lograr el consentimiento.

Nuestra opinión:

Interesantes exposiciones que personalmente dejan latente la necesidad de contar con una regulación, que si bien no logrará cerrar el “Gap” mencionado, no debería dejar que el mismo continuase agrandándose.

A propósito del comentario realizado en el foro sobre que el Big Data creará 4,5 millones de empleados en los próximos años, quisimos hacer una pequeña reflexión aunque quizás no era el momento puesto que el debate podía quedar desenfocado. Sin embargo, lo queremos dejar en el aire por si alguno quiere aportar su visión sobre si al igual que se crean esos puestos de trabajo, no habrá que pensar en lo que se destruye, o lo que es lo mismo, si el Big Data en sí mismo no destruye, en este caso, nuestra privacidad.

Si hacemos un símil con la “Ley de la conservación de la materia”, podríamos decir que “el dato” no se crea ni se destruye solo se transforma. Por ello, regular esa “transformación” en base a las nuevas claves de negocio, es el verdadero reto jurídico.

 

Os dejamos el enlace al vídeo del evento.

https://www.centrodeinnovacionbbva.com/eventos/32600-big-data-claves-de-negocio-y-retos-juridicos

EL VUELO DE DRONES. PRIVACIDAD Y OTRAS IMPLICACIONES LEGALES.

El vuelo de los Drones. Privacidad y otras implicaciones legales

EL VUELO DE DRONES. PRIVACIDAD Y OTRAS IMPLICACIONES LEGALES.

Futuristic Surveillance Drones Stock Image by Victor Habbick, in Freedigitalphotos

Teníamos acabado este artículo, cuando hemos leído la nota emitida hace 2 días por fuentes del ministerio de Fomento a través de la Agencia Estatal de Seguridad Aérea (AESA).

En dicha nota se indica que en la actualidad el vuelo de DRONES para uso civil profesional o comercial y la realización de trabajos aéreos, siempre que se realice dentro del espacio aéreo nacional, están y siempre han estado prohibidos.

Entonces: ¿para qué se puede usar un DRON?.

Seguramente muchos de vosotros habréis visto en la tele o incluso en la ciudad unos aparatos muy curiosos (llamado DRON o aeronave pilotada por control remoto), que con cuatro hélices, y menos de medio metro de diámetro, cruzan la calle, por encima del tráfico, y de la gente, dando vueltas, con la particularidad que algunos llevan una cámara incorporada, para hacer grabaciones desde el aire.

Recientemente, quedé con un amigo para ver un DRON que había comprado, con la intención de hacer grabaciones en eventos. Conforme me explicaba las capacidades del aparato, más sorprendido me quedaba, aun cuando ya sabemos que hay empresas como AMAZON que pretende darle un uso comercial de transporte de paquetería y por tanto de sus utilidades y bondades.

Como la profesión va por dentro, me puse a hablar con su piloto sobre las implicaciones legales que afectan a los DRONES, y en parte a cuestiones de protección de datos de las imágenes que grababan, y terminamos hablando de muchas otras cuestiones que les afectan, y que parece ser no quedan muy claras aún y ello fue lo que motivó el empezar a escribir este artículo.

Lo que hasta ahora decía o se interpretaba de la normativa:

Investigando la cuestión, me encontré con una noticia en la edición digital del periódico Levante EMV. En ella se planteaban los problemas con los que se encontraron unos operadores de DRONES para la grabación de imágenes de las FALLAS DE VALENCIA, cuando las autoridades les dijeron que no podían volar porque se violaba el espacio aéreo de la ciudad.  La empresa encargada de las grabaciones intentó por todos los medios conseguir una autorización para volar en el evento y no consiguieron resolver el asunto, por mucha intención que pusieron. “El Servicio de Circulación y Transportes y sus Infraestructuras del Ayuntamiento de Valencia les ha contestado que el consistorio no tiene competencias para permitir vuelos de aparatos no tripulados por la ciudad y remite al aeropuerto de Valencia, encargado de distribuir las servidumbre aéreas en la ciudad, para que les facilite los permisos”. Por su parte desde AENA, empresa que gestiona el aeropuerto, “asegura que no puede dar una autorización para el vuelo de los DRONES en la ciudad «al no existir normativa aplicable a estas actividades» y remite a los interesados a la Agencia Estatal de Seguridad Aérea, el organismo del Estado que vela para que se cumplan las normas de aviación civil en el conjunto de la actividad aeronáutica de España”. Y por tanto tendremos que atenernos a la normativa que regula la actividad aeronáutica.

El artículo 5 de la Ley 21/2003, de 7 de julio, de Seguridad Aérea, indica que será el Ministerio de Fomento el competente en materia de ordenación de las actividades y trabajos aéreos, así como de la aviación general y deportiva. Así mismo será competente para el otorgamiento de los títulos que habilitan a las personas y organizaciones civiles para la realización de actividades aeronáuticas civiles y el control del cumplimiento de los requisitos y obligaciones en cada caso exigibles. Por tanto y en mi opinión es ahí donde se debe hacer hincapié para conseguir una normativa específica sobre la materia.

En definitiva, hasta entonces y sin un procedimiento especifico para conseguir autorización, en el uso de DRONES parecía que había un vacío legal, que no estaba prohibido, pero tampoco legalizado.

Aclaraciones sobre la normativa aplicable y el uso:

Tras la nota publicada se aclara específicamente que un DRON, es una aeronave y por tanto se le aplica la misma legislación que al resto de aeronaves para uso civil. De modo que si es para actividades de recreo  o deportivas, son consideradas aeromodelos, y se rigen bajo su normativa.

Por tanto para poder volar por el espacio aéreo español es necesario una autorización previa por parte del organismo competente y la nota señala que “hasta que no esté aprobada la nueva normativa específica que regule el uso de este tipo de aparatos, AESA no puede emitir dichas autorizaciones porque carece de base legal para ello”.

AESA está trabajando en colaboración con la industria para elaborar una norma que contenga disposiciones particulares que permitan su vuelo con determinadas condiciones y limitaciones.

A fecha de hoy solo se podrán usar estos aparatos a nivel recreativo en los espacios habilitados en la normativa sobre aeromodelismo, considerando que desde el nivel del suelo hacia el cielo se supone espacio aéreo y por tanto le será de aplicación la legislación nacional, es decir, no podréis volar vuestros DRONES ni tan siquiera en vuestra finca o propiedades particulares abiertas.

En definitiva, fuera de los espacios de aeromodelismo, la única manera de hacer volar nuestro DRON será si lo hacemos en una propiedad privada y “techada”. A modo de ejemplo en ningún campo de fútbol español se podría emplear.

Privacidad y otras implicaciones legales; la LOPD:

Por ello, a los que hasta ahora habíais comprado estos apartaos con fines comerciales el único aprovechamiento real será cubrir eventos que se realicen en este tipo de recintos y en estos supuestos tendremos en cuenta además lo siguiente:

  • Responsabilidad civil por daños y perjuicios. Es de lógica pensar, que un aparato teledirigido, pueda perder el control, o pueda sufrir un accidente (ya se han producido), en el que se vean implicados tanto personas, como bienes de las mismas. En este sentido lo recomendable sería contratar un seguro de responsabilidad civil, bien el responsable del evento, bien el operador del DRON, para cubrir estos riesgos.
  • Derechos de imagen. Si se contrata los servicios de DRONES, actualmente y en la mayoría de supuestos es para grabar imágenes sobre ciertos eventos de interés. Y en ese sentido las imágenes pueden incluir la de las personas y sus bienes. Pudiendo afectar a la privacidad, derechos de imagen, intimidad, y honor sobre las mismas.

Por ello, se recomienda no grabar a nadie salvo que cuentes con su consentimiento, ya que entramos de lleno en materia de protección de datos de carácter personal. El asistente a un evento es la única persona que puede autorizar la grabación y difusión de su imagen. En este sentido deberá ser informado por el responsable del fichero de imágenes sobre la grabación, y en su caso difusión de la imagen, para que decida si quiere permitir su captación o no.

Aquí debemos distinguir quién va a ser el responsable del fichero de imágenes grabadas en eventos. Podremos encontrar diferentes supuestos.

El operador de DRON y de cámara, como persona que graba directamente la imagen, puede actuar en dos posiciones:

  • Responsable del fichero de imágenes, las imágenes captadas las podrán usar en su beneficio, bien sea en campañas de promoción de la empresa, o para editarlas y hacer su propio reportaje del evento. Y para ello deberán informar a los asistentes de que van a ser responsables del fichero, cuáles van a ser sus finalidades, posibilidad de cesión de las mismas, y donde efectuar los derechos ARCO sobre éstas.

El operador del DRON, deberá estar constituido como entidad con personalidad jurídica, y estar adaptado a lo dispuesto en la LOPD y su Reglamento de desarrollo. En cuanto a sus obligaciones legales, técnicas, y organizativas, en materia de tratamiento de datos de carácter personal.

  • Encargado de tratamiento. Las imágenes captadas serán usadas por  un tercero, diferente, normalmente el Organizador del evento. Y el responsable del aparato sólo será responsable de grabar las imágenes, y devolverlas a éste, con o sin edición. Pero en ningún caso podrá quedárselas. En este sentido será el Organizador y responsable del evento  el responsable del fichero, y de cumplir con lo mencionado anteriormente y estar adaptado a lo dispuesto en la LOPD.

Como obligación legal, y para regular esta situación, el art. 12 de la LOPD, indica que entre el responsable del fichero (Organizador), y el operador del DRON debe existir un contrato de encargado de tratamiento, en el que se indique bajo qué circunstancias se deben usar los datos en representación del organizador.

Ya tenemos claro que debemos informar sobre la captación y uso de imagen. Pero cómo lo hacemos. Lo más efectivo sería informar en la misma entrada al evento, bien con la entrada en papel, de modo electrónico, o mediante la colocación de carteles informativos en la puerta de acceso. En este último caso se deberían tener formularios en la entrada a disposición del público, como mínimo de manera que puedan ser impresos en el momento.

En conclusión, y como vemos muy a menudo, las tecnologías avanzan más rápido que las leyes, y hay situaciones que aun no podemos salvar, pero para las que sí que podemos vuestra asesoría en materia de protección de datos y comercio electrónico, Eurovima, está a vuestra disposición.

 

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.

Protección de datos: Resumen y conclusiones de 6ª Sesión Anual Abierta de la AEPD

El pasado viernes 14 de marzo de 2014, en el marco incomparable del Teatro Real de Madrid, se ha celebrado la 6ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD) con un aforo completo, como cada año, de unos 1.200 profesionales de la privacidad y la protección de datos.

La cita suele servir para escuchar de la propia AEPD los aspectos más relevantes que se han producido en el último año y que nos den su opinión sobre dichas cuestiones, por otra parte también esperamos que nos cuenten o adelanten alguna novedad, aunque la verdad es que hemos salido algo defraudados pues las novedades han sido escasas y lo expuesto ha sido una mera y rápida puesta en escena de la memoria que cada año publica la AEPD.

Abrió la jornada el Director de la AEPD, D. José L. Rodríguez Álvarez, de cuya intervención resaltamos:

  1. Que no se aprobará el Reglamento Europeo, cuando el año pasado el mensaje fue que “había voluntad política para que antes de que finalice la presente legislatura europea se aprobase”.
  2. Que la información personal adquiere cada vez un mayor valor económico por sí misma.
  3. El aumento en la desconfianza en el desarrollo de la actividad económica digital y la privacidad por los acontecimientos del último año solo pueden ser reparados con más garantías. El Director señaló que en principio la Agencia no tiene competencias, aunque han participado en las solicitudes de información presentada por el Grupo de trabajo del Artículo 29.
  4. Creación de una guía de evaluación de impacto (PIA), que califica como una metodología madura, si bien solicitan nuestra colaboración para completar su contenido.
  5. Que el internet de las cosas, Drones y Big Data son los 3 grandes retos venideros en privacidad.
  6. Sobre las Cookies, que hay 16 procedimientos abiertos de los 28 iniciados y habrá un nuevo régimen sancionador que incluirá el apercibimiento.

Del resto de exposiciones, además de los merecidos premios en materia de privacidad y de que en 7-8 meses solo se haya notificado una brecha de seguridad, de manera resumida destacamos lo siguiente:

COOKIES.- Además de desgranar la única sanción publicada, apenas se aportaron datos nuevos salvo:

  1. Que de momento solo se sanciona la falta de información.
  2. Que la agilidad a la hora de subsanar errores es tenida en cuenta por la Agencia.
  3. Se confirma el nuevo régimen sancionador.

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS.- Que si bien hay avances, pues ya ha pasado por distintos trámites parlamentarios, el que se retrase es un secreto a voces, y el espionaje masivo aireado (que no descubierto) seguro que tiene mucho que ver como “causa-efecto” en la brecha de la desconfianza generada. 

PIAs.- Se anunció una guía para las evaluaciones de impacto en materia de privacidad, identificando y evaluando riesgos desde el inicio, es decir, desde el diseño. La intención es dar respuestas al qué/cómo/quién, con el respaldo de la dirección y con la participación de perfiles mixtos y actores internos/externos. Se partirá de un documento de mínimos que se completará con las aportaciones de la consulta pública.

INFORMES Y SENTENCIAS RELEVANTES.- Destacar el incremento en el número de informes y la detallada exposición de las sanciones a Google y sus expresiones condicionales del tipo: “podremos; podrá; es posible” incluidas en su política de privacidad. Además, la Agencia ha constatado que Gmail filtra correos y ficheros anexos para enviar publicidad.

CONSULTAS.- Aunque habrá que verlas en detalle cuando sean publicadas en la web de la Agencia, destacar que si publicas un video en tu perfil de una red social que al ejecutarse lleve a un tercero que instale cookies, deberás obtener el consentimiento informado para dicha instalación.


NUESTRAS CONCLUSIONES:

En un mundo TIC en constate evolución, el legislador se mueve muy lento y demasiado presionado, de manera que cuando llegue el ansiado Reglamento Europeo, este ya habrá quedado desfasado.

Con las COOKIES y la sanción a Google nos encontramos en el “día de la marmota”, una extensa exposición de algo de sobra conocido. No obstante, destacar sobre las cookies la consulta mencionada sobre la publicación de un video en red social ejecutado en plataforma de un tercero, que como diría el Maestro Luis Aragonés (si cambiamos la palabra ganar) la frase sería: “Informar, informar y volver a informar”.

Que estamos ante una guía de evaluación de impacto (PIA) versión 0.1, esperando que no se convierta en un mero informe interno más de la empresa, un informe que se moldee para que no se parezca mucho a la guía, y se guarde para mostrar ante una posible inspección. Como curiosidad, nos preguntamos si las aportaciones de la consulta pública tendrán el mismo eco publicitario sobre aquellas personas/organizaciones que hagan aportaciones significativas, como ya ha ocurrido con otras guías.

Sobre lo señalado en la exposición de las funciones de la SEDE ELECTRÓNICA de la Agencia, llegamos a la conclusión que según la AEPD el cumplimiento normativo es “gratis” ya que la Agencia en su página web pone a disposición toda la información y el material necesario para hacerlo. Que la intención de la Agencia siempre ha sido la de conjugar proximidad/accesibilidad con gratuidad, pero como dice el anuncio: para todo lo demás; EUROVIMA CONSULTING, o cualquiera de los profesionales en materia de asesoría de protección de datos (LOPD) que nos hemos citado en Madrid, o los repartidos por España.

PD.- No queriendo dar ideas, esperemos que siga siendo gratis, sobre todo sin aplicar tasas a las denuncias ante la AEPD.

NEWS Enero/2014. El 28 de enero, como cada año se celebra el día de la Protección de Datos en Europa

Cada año se celebra en esta fecha el día de la Protección de Datos en Europa, una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

EUROVIMA se suma a la difusión de este día en apoyo de la Protección de Datos, reiterándoles que como siempre, si necesitan cualquier información sobre el tema o tienen cualquier duda, que somos expertos en materia de Protección de Datos, privacidad, adecuación de páginas web a la LSSI, comercio electrónico y que nuestro departamento de Asesoría LOPDLSSI está disponible para Usted.

Pueden encontrar más información en la página web de la Agencia Española de Protección de Datos

ProtegetusdatosG

 

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

En primer lugar, queremos señalar que no entraremos en “moralinas”, aunque se hace difícil no hacerlo y por eso os pedimos vuestros comentarios y opiniones sobre este tema que la verdad es que no deja indiferente a quien lo haya conocido.

Hablamos de la reciente Sentencia de la Audiencia Nacional (AN) del 26 de septiembre de 2013

El origen de los hechos: Niño de 12 años enseña video de contenido sexual a compañera en el colegio.

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

Teenagers Reading Sms Stock Photo By Ambro in Ffreedigitalphotos.net

En un colegio de Madrid, un alumno de 12 años, muestra con su teléfono movil a una compañera, un video de contenido sexual y la alumna “denuncia” los hechos ante el director del centro. El centro que ya había requisado el móvil del menor por tenerlo encendido en clase, ante la denuncia de la alumna llama al menor para verificar la misma.

Con la ayuda de una persona del centro del área de “informática”, acceden al teléfono solicitándole el numero PIN, no está claro si de manera “forzada” o voluntaria, revisando la navegación en Internet del día en cuestión verificando el acceso en ese día a dos páginas Web de contenido sexual.

De esta situación, no son informados los padres del menor y por tanto se hace sin el consentimiento de los mismos.

Las denuncias: Primero en el juzgado, después ante la AEPD y finalmente el recurso.

Una vez conocidos los hechos, el padre del menor los denunció en el Juzgado pero fue archivado, al igual que el recurso de apelación, ya que no se apreció la violación del derecho a la intimidad, privacidad y secreto de las comunicaciones, pese a que “De las pruebas practicadas en dichas diligencias penales se deprendería, como acreditado judicialmente, el acceso inconsentido a datos personales del menor por parte del director del centro y, en concreto, la revisión del archivo histórico de navegación por internet …” 

Viendo denegada su petición, los padres deciden denunciar estos mismos hechos ante la Agencia Española de Protección de Datos (AEPD), que denegó incoación de procedimiento, dando lugar a la presentación del recurso contencioso administrativo sobre cuyo fallo estamos comentando.

El padre del menor alegaba que se había vulnerado la intimidad del menor, que no había prestado su consentimiento (recordemos que son los padres, en el caso de menores de 14 años según el artículo 13 del reglamento LOPD) para la revisión del historial de navegación, alegando cesión de datos personales (navegación en Internet).

La resolución de la AEPD; dos las razones para archivar la denuncia

La Agencia dictó resolución de archivo al considerar que no es de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, es decir, quedarían fuera del ámbito la LOPD (lo considera actividad doméstica) aunque este argumento ha sido rechazado por el Tribunal.

La segunda razón que la Agencia señaló para el archivo fue que el acceso al terminal móvil estaría amparado por la Ley Orgánica 2/2006 de Educación, y las normas propias del centro educativo, es decir, que existirían normas específicas que habilitarían el acceso al citado móvil.

En lo referente al carácter domestico, hay varias resoluciones/informes de la propia AEPD, en los que se establecen criterios sobre esta cuestión al igual que la Directiva Europea, no obstante en el caso que nos ocupa el Tribunal ha manifestado que no se pueden considerar como tales y por tanto no le es aplicable la exclusión (bofetada a la AEPD).

Conclusiones a la sentencia

Una vez que la AN le da la razón al padre, en cuanto a que al ser un menor de 14 años debería de existir el consentimiento de sus padres para el acceso o tratamiento de sus datos, posteriormente se la deniega al señalar que en realidad hay que “conjugar el contexto real en que se produjo”, es decir, “en la protección de los derechos de esa niña o de otros menores del centro”, recurriendo a una frase que en el ámbito de la LOPD se usa mucho “el derecho a la protección de datos no es ilimitado…. puede quedar constreñido por la presencia de otros derechos en conflicto” y por tanto el auto habla de realizar una detallada ponderación de los mismos.

Vamos, que hay que ponderar el derecho del resto de compañeros, frente al derecho del menor acusado por el acceso a su móvil o dicho de una manera más simple ponderar el derecho del resto de compañeros frente las actuaciones realizadas por el colegio.

Además, la sentencia señala que resulta de aplicación que el tratamiento de datos sea necesario para el cumplimiento de una misión de interés público, y para la AN la actividad educativa “no solo puede calificarse de interés público sino de verdadero servicio público.

En definitiva, que el director debe preservar en aras del servicio público que presta y al que ha sido encomendado, la protección de otros menores del centro escolar, amparado en satisfacer un interés legítimo o que la misión educativa del colegio prevalece sobre el derecho a la protección de datos.

Esta cuestión estamos seguros que algunos la consideraréis excesiva y “moralinas” aparte, nos gustaría que la valoraseis y para ello esperamos vuestros comentarios, dejando abierta algunas cuestiones, a la espera de si el padre recurre ante el Tribunal Supremo, como:

  • ¿Qué derecho debe prevalecer: el derecho del resto de compañeros o el del menor acusado por el acceso a su móvil?
  • ¿La misión educativa del colegio prevalece sobre el derecho a la intimidad de sus alumnos?
  • ¿El interés legítimo atribuido al centro es excesivo?
  • ¿Dónde ponemos los límites al interés legítimo?

Otros artículos sobre el tema:

Amedeo Maturo: El Director de Instituto: el Omnipotente.

Francisco Javier Sempere: Audiencia Nacional: acceso del Director de un centro educativo al móvil de un alumno.

Están locos estos romanos - ¿Quo Vadis LOPD?, ¿Quo Vadis Privacidad? - Eurovima Consulting - LOPD Madrid

¿Quo Vadis LOPD? ¿Quo Vadis Privacidad?

Amigos lectores, hemos estado dudando en como titular este post, aunque la verdad es que lo importante es la conclusión que podamos hacer al finalizar su lectura, si es que sacamos alguna.

Hace unos días vimos en la portada del periódico “El País” el siguiente titular: EE UU presiona en la sombra para frenar la normativa de privacidad europea” . Vaya, una portada y bien grande sobre privacidad, que además va acompañada de 3 páginas interiores desgranando parte de las cuestiones que ahora comentaremos.

Todo ello nos hace reflexionar sobre el contenido de los artículos, las entrevistas, noticias y los acontecimientos que se han sucedido últimamente, para ver hasta qué punto parece que los temas de privacidad asoman con fuerza.

La cuestión es que ya la semana pasada pudimos leer en una entrevista  al director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez una frase que pienso viene a dar en parte, respuesta al título de este post: “Estamos en un momento crítico para la privacidad”.

Pues sí, un momento en el que había esperanzas por ver cómo quedaría finalmente el reglamento europeo de protección de datos, si es que daba tiempo en ésta legislatura que se agota, y ahora aparecen los escándalos conocidos sobre el programa PRISM que parece va a dejar en eclipse total a la privacidad, no sólo de los europeos, me temo que a la privacidad del “mundo mundial” le esperan tiempos de tinieblas, aunque para según qué lado del atlántico serán mayores o menores si nos atenemos a las palabras de la propia Viviane Reding (vicepresidenta de la Comisión Europea y responsable de Justicia) diciendo “nunca había visto un ‘lobby’ tan potente”.

Vamos que hay una lucha entre EEUU y la UE por el control de la privacidad, en la que a medida que avanzaba el caso PRISM convirtiéndose en el caso SNOWDEN, lo de menos es saber si realmente todas nuestras comunicaciones son intervenidas, más bien si lo seguirán siendo, entre otras cuestiones.

Las declaraciones de los países se han ido sucediendo y al final parece que todos lo sabían, consentían e incluso tenían su propio programa de espionaje. Hace unos días la propia canciller de Alemania, Angela Merkel, manifestó su postura de “endurecer las normas de protección de datos en Internet de la UE y por forzar a las compañías de Internet a ser más abiertas en sus políticas en este sentido tras los escándalos de espionaje protagonizados por el Gobierno de Estados Unidos”.

Pero según indicaban algunos medios alemanes, “Los servicios secretos alemanes conocían desde hacía años la capacidad de sus homólogos estadounidenses para interceptar comunicaciones en todo el mundo y recurrieron a ellos en repetidas ocasiones”. Ante esto la respuesta de momento, es la habitual: “el gobierno ‘no comenta públicamente detalles’ de la ‘cooperación’ entre los servicios secretos alemanes y los estadounidenses”, es decir, NO COMENT.

La semana pasada también desayunábamos con la noticia de que el Gobierno brasileño baraja obligar a las multinacionales que ofrecen acceso y servicios en Internet a almacenar sus datos en Brasil y no en el exterior, creando nuevos incentivos para que las empresas mantengan sus centros de datos en Brasil, ya que el gobierno brasileño entiende que “internet tiene reglas de gestión exclusivamente dictadas por Estados Unidos. Defendemos una gestión multilateral y multisectorial”. El caso de Brasil parece que no será el único o cuando menos en intenciones.Están locos estos romanos - ¿Quo Vadis LOPD?, ¿Quo Vadis Privacidad? - Eurovima Consulting - LOPD Madrid

Y mientras en la UE con una directiva del año 1995, sus Estados miembros no se ponen de acuerdo para sacar adelante la nueva reglamentación, en un momento en el que por todo lo anteriormente comentado, es evidente que hay una necesidad de contar con estándares globales de privacidad. Si a esto le añadimos las palabras asombrosas pronunciadas en una conferencia sobre la reforma de la normativa europea de protección de datos por Giovanni Buttarelli, adjunto al supervisor Europeo de Protección de datos, fijando el año ¡¡¡2025!!! como la fecha en la que entraría por completo en vigor el nuevo reglamento, entonces me viene a la mente la famosa frase de Obélix: “están locos estos Romanos”.

Es evidente que el mundo tiene o tenemos otros problemas, que hay amigos/conocidos que afirman que la LOPD/privacidad es una paranoilla de 4 freekes, a lo que suelo responder que en cierto modo sí, pero que gracias a ellos aún hay quien se preocupa por su privacidad. Impresiones, que en cierto modo se puede confirmar si nos atenemos a una encuesta del mes de mayo, que reflejaba lo siguiente: ”La protección de datos personales, es una leve preocupación para los españoles“ y no les falta razón, sobre todo al ver cómo actúan los romanos en la defensa de su Imperio.

En el 82 ya cantaba Miguel Ríos aquello de “año 2.000”, con estrofas como:

Esta es la era de Mister Chips,
micro-ordenador de tu porvenir.
Que por lo pronto te quita el curro
además de ser tu ficha sin fin.
Hay que dictar su sentencia,
diciéndote que es por tu bien…..”

Pues sí, de nuestro provenir, nuestra ficha sin fin y por nuestro bien. La batalla del derecho al olvido ya está en marcha y se enfrenta a la libertad de expresión, la de la competitividad marcada por las leyes globales-locales también, la de anteponer seguridad a privacidad es una batalla que renace a golpe de terrorismo. La era del Big Data y el Cloud Computing hacen que conservemos la información “por si acaso”, sin importar dónde o si lo hacemos de forma segura y responsable, sin advertir de las brechas de seguridad …

Vendrán otras guerras, probablemente inimaginables hasta para Miguel Ríos, para las que en el 2025 tampoco habrá respuestas y mientras nos haremos la misma pregunta: ¿Quo Vadis?