Entradas

Por una privacidad de una sola “velocidad”, por un marco normativo europeo común | Eurovima Consulting S.L.

Por una privacidad de una sola “velocidad”, por un marco normativo europeo común

/0 Comentarios/en /por

Por una privacidad de una sola “velocidad”, por un marco normativo europeo común | Eurovima Consulting S.L.El pasado 28 de enero, con motivo del Día Europeo de Protección de Datos, en el blog de la Asociación Profesional Española de Privacidad (APEP) han publicado un artículo escrito por nuestro CEO, Rafael Varela del que os dejamos una reseña y os invitamos a leer completo en este enlace

Hoy 28 de enero de 2015 estamos celebrando el día de la Protección de Datos en Europa por 9º año consecutivo.

Se trata de una jornada festiva, que impulsada desde la Unión Europea por las autoridades de Protección de Datos de los estados miembros, pretende promover el conocimiento entre los ciudadanos europeos sobre cuáles son sus derechos y responsabilidades en el ámbito de protección de datos y por ende de la privacidad.

Seguramente muchos de nuestros amigos lectores, tendrán cierta información sobre los aspectos que enmarcan su privacidad, pero sobre todo de lo que les gusta y les disgusta de manera especial cuando alguien sobrepasa ciertos límites que atentan contra su persona o entorno. Todos tenemos medianamente claro cuando algo o alguien pretende menoscabar nuestros derechos en materia de protección de datos personales, pero no tanto cuando salimos de nuestro ámbito, canal o esfera cotidiano, y me explico.

Los tiempos están cambiando, siguen cambiando, pero las leyes no lo hacen al mismo ritmo. []

Protección de Datos: Resumen del Foro Debate “Privacy by design” organizado por sección TIC del ICAM, DENAE y APEP | Asesoría Protección de Datos Madrid

Protección de Datos: Resumen del Foro Debate “Privacy by design”, con ICAM, DENAE y APEP

/0 Comentarios/en /por

Protección de Datos: Resumen del Foro Debate “Privacy by design” organizado por sección TIC del ICAM, DENAE y APEP | Asesoría Protección de Datos MadridAyer 14 de enero de 2014, en un lleno Salón de Actos del Ilustre Colegio de Abogados de Madrid (ICAM) tuvo lugar un interesante foro de debate que giró sobre la privacidad desde el diseño, es decir, sobre la necesidad de asegurar que cualquier “proyecto” desde la fase de planificación de los procedimientos y sistemas, contemple el cumplimiento de las garantías de protección de los datos de carácter personal que vaya a tratar.

Ponentes.

  • Leticia Lopez-Lapuente. Responsable jurídico de protección de datos Grupo Sanitas.
  • Isabela Crespo. Abogada área de Propiedad Intelectual, Tecnologías y Protección de Datos de Gómez-Acebo & Pombo.
  • María González Moreno. Asociada de ECIJA
  • Antonio Ramos. Vicepresidente de ISACA Madrid

La sesión convocó a más de 100 profesionales del ámbito de la LOPD, presentada por Paloma Llaneza, contó con una fluida moderación que corrió a cargo de Marcos Judel, destacando la buena dinámica en la que transcurrió el debate, no solo entre los ponentes, también de los asistentes que participaron de manera activa.

Las reflexiones que personalmente me gustaría destacar sobre “Privacy by design” y sus implicaciones empresariales, son las siguientes:

  • Tratemos de reducir riesgos, ya que el riesgo nulo no existe.
  • El coste de no tenerlo previsto será más alto cuanto más tarde decidamos asumirlo.
  • Oportunidad de generar valor y obtener una ventaja competitiva del cumplimiento normativo.
  • Aunar accountability y responsabilidad con la transparencia.
  • Que la diligencia en la empresa quede patente en su implementación. Hay que ser proactivos y preventivos.
  • La necesidad de concienciación interna y en todas las áreas de la empresa, y por supuesto desde la Dirección. Evitar enfrentamientos entre seguridad y privacidad.
  • Debemos ser capaces de verificarla y medirla, otra cuestión es quién y cómo.

La privacidad en todos sus ámbitos.

La excusa era hablar de la privacidad desde el diseño, pero desde un primer momento, se vio que como siempre, la privacidad engloba tantos aspectos, actores, conceptos y dudas, que resultó imposible no hablar de todo un poco. Entre otros aspectos, se debatió sobre:

  • El esperado Nuevo Reglamento Europeo de protección de datos, que aunque se hace muy necesario, nos hay previsiones para que llegue antes del 2016.
  • De la figura del DPO (Data Protection Officer) o Delegado/Responsable de Protección de Datos, de su obligatoriedad, de su nombramiento, independencia, perfil y funciones
  • De los mercados, normativa y competitividad: local vs global

En definitiva, agradecer a ICAM, DENAE (Asociación Española de Derecho del Entretenimiento) y APEP (Asociación Profesional Española de Privacidad) esta buena oportunidad para poner sobre la mesa, la actualidad y las inquietudes que a los profesionales en materia de protección de datos nos mantiene en constante conexión.

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan

/0 Comentarios/en /por
¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

Sexy Target Stock Photo – Photo by Salvatore Vuono. in FreeDigitalPhotos.net

Vamos cerrando el 2014, que en líneas generales consideramos que ha sido un buen año, aunque tampoco podemos decir que haya sido como para recordar.

Un año en el que hemos asistido a la compra de WhatsApp por Facebook, al adiós de Windows XP o al ataque a Sony y los ciberataques masivos, al estancamiento de las Google Glass y al despegue de todo tipo de App´s, de la impresora 3D y de los Wearables, a la incertidumbre del Bitcoin o al año en el que la UE respaldó el derecho al olvido y hace a Google responsable del tratamiento de datos personales.

Los menores hablan en un idioma distinto al de los padres

Son nativos digitales enseñados por inmigrantes digitales y por tanto hablan idiomas distintos. En todo caso, aunque parezca que no, creemos que ha sido un buen año en cuanto a los avances en materia de prevención e información hacia los menores en materia de privacidad y seguridad, aunque el ciberacoso en cualquiera de sus modalidades, aumenta en la medida en que la mensajería instantánea y las Redes Sociales se apoderan de parte de sus vidas y por ello hay que perseverar en ello.

La cuestión es que de en todos esos acontecimientos citados hay un denominador común, la privacidad y la seguridad en un mundo/mercado cada vez más global y online, en el que parece que hemos avanzado poco a nivel de regulación, cuando menos la española/europea, y que en lo que hemos tratado de avanzar, ni siquiera está claro.

La Unión Europea sigue sin aprobar el nuevo marco regulatorio en materia de protección de datos

Desde el punto de vista de la privacidad, ha sido un año convulso marcado principalmente por los coletazos del “viejo” tema del espionaje NSA-SNODWEN, en el que hemos visto como ni siquiera ese terremoto ha acelerado el proceso final que haga que tengamos en la Unión Europea un nuevo marco regulatorio y sigamos con nuestra “vieja-local” LOPD.

Nos espían, lo asumimos y casi aceptamos, pues no somos capaces de ponernos de acuerdo para regularlo.

Otro gran acontecimiento ha sido la reforma de la Ley de Propiedad Intelectual, cuyo “éxito” se resume en que su tramitación ha sido accidentada, aprobada sin consenso y sin tener claro el uso y en qué manera va a afectar, no a los presuntos delincuentes contra los que pretende regular, sino al resto de usuarios de Internet.

La defensa de los derechos de autor se ha mezclado con la llamada “Tasa Google” o “canon AEDE”, ha terminado con el cierre de Google News, una herramienta que al final ayudaba a los propios editores a generar tráfico a sus páginas web.

Sobre los “piratas”, aquellos que serán perseguidos por facilitar enlaces a contenidos no autorizados, generando un “daño”, veremos la manera en que se identificará a los usuarios por la vía civil.

Esta es nuestra visión resumida del 2014. Desde EUROVIMA os seguiremos informando de estas y otras cuestiones que sean de actualidad e interés, en el ámbito que engloba la tecnología, la privacidad y la seguridad.

Aprovechamos para desearos un gran año.

El vuelo de los drones. Nueva regulación

/2 Comentarios/en /por

DronesEl pasado día 10 de abril de 2.014, publicamos un artículo sobre un tema de actualidad, “El vuelo de los drones, privacidad y otras implicaciones legales”. Nos hacíamos eco de las preocupaciones que las empresas que quieren dedicarse a explotar estos aparatos de manera profesional tenían a esa fecha.

Por aquel entonces decíamos que estaba pendiente la aprobación de una norma que regulase su uso profesional. Pues bien, ya tenemos esta norma en vigor.

El día 5 de julio se publicó en el BOE el Real Decreto Ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia. Esta norma regula no solo esta materia, sino también muchas otras como la modificación de la Ley del cine, modificación de la ley de comercio minorista, aviación civil, y aeroportuaria, medidas energéticas, entre otras muchas materias.

Destacar la figura jurídica con la que se ha regulado la materia: El Real Decreto Ley

Es una norma jurídica con rango de ley que emana del poder ejecutivo y es dictada en caso de extraordinaria y urgente necesidad. Decir que aunque se trata de una norma con rango de ley, el emisor de la misma es el ejecutivo, no el legislativo, como debiera ser. Y todo ello porque el gobierno cree que las materias a regular necesitan ser abordadas con urgencia. En mi opinión, se abusa de esta figura para regular ciertas materias que con una tramitación “tradicional”, pudieran dar lugar a divergencia de opiniones. Pero bueno, hecho está.

En cuanto a los drones, materia que nos interesa, el Real Decreto dedica el artículo 50 a regular su uso civil profesional. Sin embargo esta regulación lo será de forma temporal, y hasta que, como indica la misma norma, se regule reglamentariamente “el régimen jurídico aplicable a las aeronaves civiles pilotadas por control remoto, así como a las operaciones y actividades realizadas por ellas”, momento en que quedará derogado este artículo. Quedan fuera de esta norma las actividades militares, y realizadas por los cuerpos y fuerzas de seguridad del estado, así como las realizadas por los aeromodelistas aficionados que cumplan con la legislación específica en la materia.

El Real Decreto Ley, y la LOPD

Indicar que el Real Decreto nos da “la razón”, y como adelantábamos en nuestro primer artículo, “se deberá tener en cuenta la legislación sobre, uso del espacio radioeléctrico, protección de datos o la toma de imágenes aéreas, además de la responsabilidad por los daños causados por la operación o la aeronave”. Con ello quedan validadas nuestras recomendaciones en temas de protección de datos (LOPD) en cuanto a responsables de fichero, encargados de tratamiento, y procedimientos indicados; y sobre la necesidad de contratar un seguro de responsabilidad civil para cubrir los posibles daños que se pudieran ocasionar. Las indemnizaciones por estos daños serán calculadas conforme al baremo establecido en Real Decreto 37/2001, de 19 de enero, por el que se actualiza la cuantía de las indemnizaciones por daños previstas en la Ley 48/1960, de 21 de julio, de Navegación Aérea.

¿Quién podrá manejar un dron?

El responsable de la aeronave es denominado “operador de la aeronave”, pero no se indica claramente si éste podrá ser una persona física o jurídica, entendemos que podrían ser ambos. Pero además debemos diferenciarlo del piloto de la aeronave, al que se le exigen una serie de requisitos, como ser mayor de 18 años, poseer un certificado médico, tener los conocimientos adecuados sobre la aeronave, tener licencia de piloto, incluyendo la licencia de piloto de ultraligero, o poder demostrar que se tienen los conocimientos teóricos necesarios. Esta última característica entiendo que será de difícil comprobación, a no ser por la realización de unos exámenes teóricos. Esta cuestión no queda claramente regulada. También poseer un certificado básico o avanzado para el pilotaje de aeronaves civiles pilotadas por control remoto, emitido por una organización de formación aprobada, según se quiera volar dentro o fuera del alcance visual del piloto; y que el aparato sea inferior o superior a 25 Kilos de peso.

En cuanto a la aeronave, se distinguen varios grupos, hasta 2 kg., de 2 a 25 kg., y los que excedan de 25 Kg y cuyo peso no exceda de los 150 Kg., cuyos requisitos serán distintos. Todas ellas deberán llevar una placa identificativa, del modelo, numero de serie, y operador de la misma, así como los datos de contacto de éste. Las aeronaves con peso superior a 25 kilos deberán además estar inscritas en el Registro de matrícula de aeronaves y disponer de certificado de aeronavegabilidad.

¿Dónde se podrán pilotar?

En cuanto a las operaciones que podrán realizar también quedan reguladas y serán, actividades aéreas de trabajos técnicos o científicos, vuelos de prueba de producción y de mantenimiento, de demostración no abiertos al público, programas de investigación, vuelos de desarrollo, de I+D realizados por fabricantes para el desarrollo de nuevos productos, y de prueba antes de un evento.

Para las aeronaves con peso superior a 25 kg. además se requerirá la comunicación a la Agencia Estatal de Seguridad Aérea con una antelación mínima de cinco días al día del inicio de la operación, y declaración responsable de cumplir con los demás requisitos, además de aportar el manual de operaciones, el estudio aeronáutico de seguridad y la documentación acreditativa de tener suscrito el seguro obligatorio exigidos.

En cualquier caso, se deberá además determinar un área de exclusión o de seguridad.

Como vemos, quedan excluidos por tanto los vuelos por encima de personas, pudiendo únicamente volar en zonas fuera de aglomeraciones de edificios en ciudades, pueblos o lugares habitados o de reuniones de personas al aire libre. Quedarían fuera por tanto las actividades que hemos visto recientemente en los noticiarios, como la grabación en el recorrido de los San Fermines, o en Fallas…

Desde Eurovima Consulting esperamos que esta serie de artículos os sirva para aclarar ciertos aspectos sobre el uso de estos aparatos, y en cualquier caso, quedamos a vuestra disposición para resolver vuestras dudas.

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.

 

¿LOPD y Videovigilancia: Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

/64 Comentarios/en /por

Hace unas cuantas semanas desde Facebook nos hacíamos eco de un informe publicado por la Agencia Española de Protección de Datos (AEPD) que hablaba sobre «la cesión de datos de las comunidades de vecinos a sus propietarios» y nos hacían la siguiente consulta:

¿LOPD y Videovigilancia: Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Cctv Camera In Front Of The Village, Residence Stock Photo by nipitphand in www.freedigitalphotos.net

“Puede un vecino colocar una cámara de videovigilancia en la puerta de su piso con intención de grabar supuestos «actos vandálicos» de otro vecino del edificio? Esto es, si quiero tener la certeza de que un vecino en concreto pone a su perro a hacer sus necesidades en mi felpudo, o quiero tener pruebas fehacientes de que es él quien, por ejemplo, me ralla la puerta, etc….puedo instalarla sin avisar a la comunidad, o es ésta la que debe autorizarlo?”

Bueno, pues hoy queremos tratar de dar respuesta a una situación que siendo lamentable debe tratarse y actuar conforme las leyes nos permitan y en este caso lo trataremos según lo establecido por la LOPD y para ello iremos por partes.

¿Aplica la LOPD aunque solo exista visualización y por tanto no concurra grabación?

Lo primero es aclarar que la imagen de una persona identificada o identificable es un dato de carácter personal y su tratamiento estará sujeto a la normativa de protección de datos, es decir:

  1. Por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
  2. Su Reglamento de desarrollo
  3. De manera particular por la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos (AEPD), sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras.

[pullquote]Aunque no exista grabación, solo visualización, también le aplica la normativa, y si hay grabación, los datos serán cancelados en el plazo máximo de un mes desde su captación.[/pullquote]

Si la cámara es instalada por la comunidad, deberá:

  1. Notificar e inscribir un fichero en el Registro General de Protección de Datos.
  2. Respetar los plazos y procedimiento de almacenamiento de las imágenes grabadas, debiendo ser cancelados en el plazo máximo de un mes desde su captación.
  3. Adoptar las medidas de seguridad previstas en Reglamento de desarrollo de la LOPD.
  4. Atender los derechos de acceso, rectificación y cancelación.
  5. La instalación debe estar autorizada por la Comunidad.
  6. Respetar todos los requisitos establecidos en la Instrucción 1/2006, de 8 de noviembre.

La comunidad debe aprobar su instalación, en un acuerdo de junta de propietarios y aprobarlo por las 3/5 partes de los propietarios según establece la Ley de Propiedad Horizontal puesto que el tratamiento de datos de carácter personal a través de cámaras de videovigilancia se produce en una zona común.

¿Qué dice al respecto la Instrucción 1/2006, de 8 de noviembre, sobre sistemas de videovigilancia?

En concreto, el Artículo 3 obliga a que los responsables (la Comunidad) que cuenten con sistemas de videovigilancia cumplan con el deber de información previsto en el artículo 5 de la LOPD, debiendo:

  1. Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
  2. Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

No aplica la normativa sobre protección de datos los tratamientos que tengan su origen en actividades exclusivamente personales o domésticas, por ejemplo, las cámaras que graban solo el interior de la vivienda particular, quedaría fuera de la LOPD.

En definitiva, ¿Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Pues lo cierto es que no. La instalación se debe hacer de forma que cuando un vecino abre la puerta de su casa la cámara no graba su interior si es colocada por la comunidad y si es propiedad del vecino, no debe grabar espacios comunes de la comunidad.

Cuando las cámaras graben espacios comunes de la comunidad de vecinos, nunca estaremos en un ámbito doméstico y si del ámbito de aplicación de la LOPD.

La LOPD establece que las cámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende (necesaria para satisfacer un interés legítimo) pero mucho nos tememos que en este caso difícilmente podremos justificar que sea imprescindible, si bien otras medidas no harán posible demostrar que se están produciendo dichos actos vandálicos.

Si lográsemos que la justicia aceptara dicho interés legítimo*, estaríamos hablando de otra cosa, pero de momento no nos consta que existen casos en los que se haya podido acreditar*.

Como de costumbre, esperamos vuestros comentarios y que nos consultéis cualquier duda sobre el tema, haciendo uso de nuestros servicios de Asesoría en protección de datos y comercio electrónico.

*15-07-14.- Actualización: Os dejamos el enlace a un artículo de David González Calleja, que aporta  más información sobre este aspecto

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo - Eurovima Consulting - Asesoría Protección de Datos - Madrid

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo

/0 Comentarios/en /por
Derecho al olvido. Google pone en marcha una herramienta para solicitarlo - Eurovima Consulting - Asesoría Protección de Datos - Madrid

Imagen original de http://www.redusers.com

Se podría decir que «Ya podemos eliminar nuestros datos de internert!!!!», pero seamos prudentes y de momento digamos que se van dando pasos, ya que eso será siempre que se den determinadas circunstancias.

Después de que el pasado 13 de mayo de 2014, tal y como EUROVIMA informó (ver enlace), la Justicia europea fallaba contra Google obligandola a cumplir con la normativa de protección de datos europea y a desindexar la información solicitada por los afectados, Google acaba de poner en marcha una herramienta que permita a los afectados solicitarlo, en el apartado «legal» de su página indica «Cómo retirar contenido de Google» (ver enlace).

Bueno, esto no acaba más que empezar, veremos como se implementa ya que una cuestión es que se facilite poder ejercer ese derecho y otra distinta es que se atienda en tiempo y modo, es más, de momento ni siquiera el formulario cumple con el deber de información que la LOPD establece en su artículo 5¡¡¡¡ (Derecho de información en la recogida de datos), es decir, empezamos bien.

En cualquier caso, seguiremos informando y si necesitáis hacernos alguna consulta al respecto,  es decir, si hay información que os afecte y entendéis que no debería estar publicada en la Red, no dudéis en consultar a vuestra asesoría en materia de protección de datos, privacidad, comercio electrónico y derecho TIC, al igual que esperamos vuestras opiniones.

Resumen del evento: “Big Data: claves de negocio y retos jurídicos”.

/0 Comentarios/en /por

IMG-20140519-WA0005Ayer 19 de mayo de 2014, en las funcionales instalaciones del BBVA Innovation Center de Madrid, se celebró un foro de debate bajo el título “Big Data: claves de negocio y retos jurídicos” con la organización conjunta de APEP, DENAE e IAB SPAIN, en los que intervinieron 4 expertos que dieron un enfoque al evento desde los puntos de vista del negocio y jurídico: Pepe Cerezo, Mikel Lekaroz, Antonio Muñoz y Javier Puyol.

El foro giró sobre el tratamiento de la información y el marketing digital basado en el Big Data y los retos que supone para su cumplimiento normativo, dada la eclosión y el desarrollo que ha alcanzado.

Pepe Cerezo.- Decisiones de negocio en tiempo real (FAST DATA)

Inició su intervención con un repaso a la evolución de los negocios en los últimos 25 años. Desde la creación de las primeras páginas web hasta el “internet de las cosas”, pasando por el Cloud, la Redes Sociales y la era Mobile, que en su opinión dará lugar a la llamada “internet expandida”, que será un compendio de todas ellas. De cómo esa evolución ha servido para alimentar esos negocios que han surgido en cada etapa, cuyo combustible han sido y son los datos. Cómo desde el conocimiento se ha pasado a la segmentación para poder tomar decisiones en tiempo real en base a una publicidad personalizada puesto que “los datos son la voz de los Clientes”.

Mikel Lekaroz.- El dato en medios ha dejado de usarse como ametralladora, se trata de ir al “objetivo”.

Su enfoque se basó en el triángulo formado por la transformación digital, marketing y modelos de negocio, cómo se ha transformado la manera de medir las audiencias, de la evolución en busca de dejar de ser ineficiente, irrelevante e indiscriminada que en definitiva ha derivado en un cambio en el modo de pensar. Gracias al Big Data está todo conectado, y la evolución tan brutal que ha tenido ha supuesto un “Gap” entre regulación y tecnología, en el que Mikel aboga por una autorregulación basada en el cumplimiento de lo que decimos.

 Antonio Muñoz.- Big Data no es Big Brother

Asociar ambos conceptos distorsiona la realidad pues cuestiona el principio que ha de legitimar la recogida de datos dadas las implicaciones jurídicas que suponen. Por ello aboga por un balance entre la trasparencia y la información, que ha de contemplar el Reglamento Europeo de Protección de datos, que partirá desde el principio incuestionable de la legitimación en la captura, pasando por la seguridad de su almacenamiento (Cloud) y la participación de “terceros” en el proceso, es decir, de aquellos que accedan, traten o gestionen dicha información.

 Javier Puyol.- El derecho civil debe ganar “peso” frente a la privacidad en el Big Data.

Apuesta por simplificar la problemática del Big Data, en el que la disociación debe ser parte del proceso que aúne consentimiento, conocimiento y derechos, además de quedar claramente identificada la responsabilidad de cada uno de los actores que intervienen en el proceso, en el que la propia evolución del Big Data supone un reto para lograr el consentimiento.

Nuestra opinión:

Interesantes exposiciones que personalmente dejan latente la necesidad de contar con una regulación, que si bien no logrará cerrar el “Gap” mencionado, no debería dejar que el mismo continuase agrandándose.

A propósito del comentario realizado en el foro sobre que el Big Data creará 4,5 millones de empleados en los próximos años, quisimos hacer una pequeña reflexión aunque quizás no era el momento puesto que el debate podía quedar desenfocado. Sin embargo, lo queremos dejar en el aire por si alguno quiere aportar su visión sobre si al igual que se crean esos puestos de trabajo, no habrá que pensar en lo que se destruye, o lo que es lo mismo, si el Big Data en sí mismo no destruye, en este caso, nuestra privacidad.

Si hacemos un símil con la «Ley de la conservación de la materia”, podríamos decir que “el dato” no se crea ni se destruye solo se transforma. Por ello, regular esa “transformación” en base a las nuevas claves de negocio, es el verdadero reto jurídico.

 

Os dejamos el enlace al vídeo del evento.

https://www.centrodeinnovacionbbva.com/eventos/32600-big-data-claves-de-negocio-y-retos-juridicos

EL VUELO DE DRONES. PRIVACIDAD Y OTRAS IMPLICACIONES LEGALES.

El vuelo de los Drones. Privacidad y otras implicaciones legales

/6 Comentarios/en /por
EL VUELO DE DRONES. PRIVACIDAD Y OTRAS IMPLICACIONES LEGALES.

Futuristic Surveillance Drones Stock Image by Victor Habbick, in Freedigitalphotos

Teníamos acabado este artículo, cuando hemos leído la nota emitida hace 2 días por fuentes del ministerio de Fomento a través de la Agencia Estatal de Seguridad Aérea (AESA).

En dicha nota se indica que en la actualidad el vuelo de DRONES para uso civil profesional o comercial y la realización de trabajos aéreos, siempre que se realice dentro del espacio aéreo nacional, están y siempre han estado prohibidos.

Entonces: ¿para qué se puede usar un DRON?.

Seguramente muchos de vosotros habréis visto en la tele o incluso en la ciudad unos aparatos muy curiosos (llamado DRON o aeronave pilotada por control remoto), que con cuatro hélices, y menos de medio metro de diámetro, cruzan la calle, por encima del tráfico, y de la gente, dando vueltas, con la particularidad que algunos llevan una cámara incorporada, para hacer grabaciones desde el aire.

Recientemente, quedé con un amigo para ver un DRON que había comprado, con la intención de hacer grabaciones en eventos. Conforme me explicaba las capacidades del aparato, más sorprendido me quedaba, aun cuando ya sabemos que hay empresas como AMAZON que pretende darle un uso comercial de transporte de paquetería y por tanto de sus utilidades y bondades.

Como la profesión va por dentro, me puse a hablar con su piloto sobre las implicaciones legales que afectan a los DRONES, y en parte a cuestiones de protección de datos de las imágenes que grababan, y terminamos hablando de muchas otras cuestiones que les afectan, y que parece ser no quedan muy claras aún y ello fue lo que motivó el empezar a escribir este artículo.

Lo que hasta ahora decía o se interpretaba de la normativa:

Investigando la cuestión, me encontré con una noticia en la edición digital del periódico Levante EMV. En ella se planteaban los problemas con los que se encontraron unos operadores de DRONES para la grabación de imágenes de las FALLAS DE VALENCIA, cuando las autoridades les dijeron que no podían volar porque se violaba el espacio aéreo de la ciudad.  La empresa encargada de las grabaciones intentó por todos los medios conseguir una autorización para volar en el evento y no consiguieron resolver el asunto, por mucha intención que pusieron. “El Servicio de Circulación y Transportes y sus Infraestructuras del Ayuntamiento de Valencia les ha contestado que el consistorio no tiene competencias para permitir vuelos de aparatos no tripulados por la ciudad y remite al aeropuerto de Valencia, encargado de distribuir las servidumbre aéreas en la ciudad, para que les facilite los permisos”. Por su parte desde AENA, empresa que gestiona el aeropuerto, “asegura que no puede dar una autorización para el vuelo de los DRONES en la ciudad «al no existir normativa aplicable a estas actividades» y remite a los interesados a la Agencia Estatal de Seguridad Aérea, el organismo del Estado que vela para que se cumplan las normas de aviación civil en el conjunto de la actividad aeronáutica de España”. Y por tanto tendremos que atenernos a la normativa que regula la actividad aeronáutica.

El artículo 5 de la Ley 21/2003, de 7 de julio, de Seguridad Aérea, indica que será el Ministerio de Fomento el competente en materia de ordenación de las actividades y trabajos aéreos, así como de la aviación general y deportiva. Así mismo será competente para el otorgamiento de los títulos que habilitan a las personas y organizaciones civiles para la realización de actividades aeronáuticas civiles y el control del cumplimiento de los requisitos y obligaciones en cada caso exigibles. Por tanto y en mi opinión es ahí donde se debe hacer hincapié para conseguir una normativa específica sobre la materia.

En definitiva, hasta entonces y sin un procedimiento especifico para conseguir autorización, en el uso de DRONES parecía que había un vacío legal, que no estaba prohibido, pero tampoco legalizado.

Aclaraciones sobre la normativa aplicable y el uso:

Tras la nota publicada se aclara específicamente que un DRON, es una aeronave y por tanto se le aplica la misma legislación que al resto de aeronaves para uso civil. De modo que si es para actividades de recreo  o deportivas, son consideradas aeromodelos, y se rigen bajo su normativa.

Por tanto para poder volar por el espacio aéreo español es necesario una autorización previa por parte del organismo competente y la nota señala que “hasta que no esté aprobada la nueva normativa específica que regule el uso de este tipo de aparatos, AESA no puede emitir dichas autorizaciones porque carece de base legal para ello”.

AESA está trabajando en colaboración con la industria para elaborar una norma que contenga disposiciones particulares que permitan su vuelo con determinadas condiciones y limitaciones.

A fecha de hoy solo se podrán usar estos aparatos a nivel recreativo en los espacios habilitados en la normativa sobre aeromodelismo, considerando que desde el nivel del suelo hacia el cielo se supone espacio aéreo y por tanto le será de aplicación la legislación nacional, es decir, no podréis volar vuestros DRONES ni tan siquiera en vuestra finca o propiedades particulares abiertas.

En definitiva, fuera de los espacios de aeromodelismo, la única manera de hacer volar nuestro DRON será si lo hacemos en una propiedad privada y “techada”. A modo de ejemplo en ningún campo de fútbol español se podría emplear.

Privacidad y otras implicaciones legales; la LOPD:

Por ello, a los que hasta ahora habíais comprado estos apartaos con fines comerciales el único aprovechamiento real será cubrir eventos que se realicen en este tipo de recintos y en estos supuestos tendremos en cuenta además lo siguiente:

  • Responsabilidad civil por daños y perjuicios. Es de lógica pensar, que un aparato teledirigido, pueda perder el control, o pueda sufrir un accidente (ya se han producido), en el que se vean implicados tanto personas, como bienes de las mismas. En este sentido lo recomendable sería contratar un seguro de responsabilidad civil, bien el responsable del evento, bien el operador del DRON, para cubrir estos riesgos.
  • Derechos de imagen. Si se contrata los servicios de DRONES, actualmente y en la mayoría de supuestos es para grabar imágenes sobre ciertos eventos de interés. Y en ese sentido las imágenes pueden incluir la de las personas y sus bienes. Pudiendo afectar a la privacidad, derechos de imagen, intimidad, y honor sobre las mismas.

Por ello, se recomienda no grabar a nadie salvo que cuentes con su consentimiento, ya que entramos de lleno en materia de protección de datos de carácter personal. El asistente a un evento es la única persona que puede autorizar la grabación y difusión de su imagen. En este sentido deberá ser informado por el responsable del fichero de imágenes sobre la grabación, y en su caso difusión de la imagen, para que decida si quiere permitir su captación o no.

Aquí debemos distinguir quién va a ser el responsable del fichero de imágenes grabadas en eventos. Podremos encontrar diferentes supuestos.

El operador de DRON y de cámara, como persona que graba directamente la imagen, puede actuar en dos posiciones:

  • Responsable del fichero de imágenes, las imágenes captadas las podrán usar en su beneficio, bien sea en campañas de promoción de la empresa, o para editarlas y hacer su propio reportaje del evento. Y para ello deberán informar a los asistentes de que van a ser responsables del fichero, cuáles van a ser sus finalidades, posibilidad de cesión de las mismas, y donde efectuar los derechos ARCO sobre éstas.

El operador del DRON, deberá estar constituido como entidad con personalidad jurídica, y estar adaptado a lo dispuesto en la LOPD y su Reglamento de desarrollo. En cuanto a sus obligaciones legales, técnicas, y organizativas, en materia de tratamiento de datos de carácter personal.

  • Encargado de tratamiento. Las imágenes captadas serán usadas por  un tercero, diferente, normalmente el Organizador del evento. Y el responsable del aparato sólo será responsable de grabar las imágenes, y devolverlas a éste, con o sin edición. Pero en ningún caso podrá quedárselas. En este sentido será el Organizador y responsable del evento  el responsable del fichero, y de cumplir con lo mencionado anteriormente y estar adaptado a lo dispuesto en la LOPD.

Como obligación legal, y para regular esta situación, el art. 12 de la LOPD, indica que entre el responsable del fichero (Organizador), y el operador del DRON debe existir un contrato de encargado de tratamiento, en el que se indique bajo qué circunstancias se deben usar los datos en representación del organizador.

Ya tenemos claro que debemos informar sobre la captación y uso de imagen. Pero cómo lo hacemos. Lo más efectivo sería informar en la misma entrada al evento, bien con la entrada en papel, de modo electrónico, o mediante la colocación de carteles informativos en la puerta de acceso. En este último caso se deberían tener formularios en la entrada a disposición del público, como mínimo de manera que puedan ser impresos en el momento.

En conclusión, y como vemos muy a menudo, las tecnologías avanzan más rápido que las leyes, y hay situaciones que aun no podemos salvar, pero para las que sí que podemos vuestra asesoría en materia de protección de datos y comercio electrónico, Eurovima, está a vuestra disposición.

 

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.

Protección de datos: Resumen y conclusiones de 6ª Sesión Anual Abierta de la AEPD

/0 Comentarios/en /por

El pasado viernes 14 de marzo de 2014, en el marco incomparable del Teatro Real de Madrid, se ha celebrado la 6ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD) con un aforo completo, como cada año, de unos 1.200 profesionales de la privacidad y la protección de datos.

La cita suele servir para escuchar de la propia AEPD los aspectos más relevantes que se han producido en el último año y que nos den su opinión sobre dichas cuestiones, por otra parte también esperamos que nos cuenten o adelanten alguna novedad, aunque la verdad es que hemos salido algo defraudados pues las novedades han sido escasas y lo expuesto ha sido una mera y rápida puesta en escena de la memoria que cada año publica la AEPD.

Abrió la jornada el Director de la AEPD, D. José L. Rodríguez Álvarez, de cuya intervención resaltamos:

  1. Que no se aprobará el Reglamento Europeo, cuando el año pasado el mensaje fue que “había voluntad política para que antes de que finalice la presente legislatura europea se aprobase”.
  2. Que la información personal adquiere cada vez un mayor valor económico por sí misma.
  3. El aumento en la desconfianza en el desarrollo de la actividad económica digital y la privacidad por los acontecimientos del último año solo pueden ser reparados con más garantías. El Director señaló que en principio la Agencia no tiene competencias, aunque han participado en las solicitudes de información presentada por el Grupo de trabajo del Artículo 29.
  4. Creación de una guía de evaluación de impacto (PIA), que califica como una metodología madura, si bien solicitan nuestra colaboración para completar su contenido.
  5. Que el internet de las cosas, Drones y Big Data son los 3 grandes retos venideros en privacidad.
  6. Sobre las Cookies, que hay 16 procedimientos abiertos de los 28 iniciados y habrá un nuevo régimen sancionador que incluirá el apercibimiento.

Del resto de exposiciones, además de los merecidos premios en materia de privacidad y de que en 7-8 meses solo se haya notificado una brecha de seguridad, de manera resumida destacamos lo siguiente:

COOKIES.- Además de desgranar la única sanción publicada, apenas se aportaron datos nuevos salvo:

  1. Que de momento solo se sanciona la falta de información.
  2. Que la agilidad a la hora de subsanar errores es tenida en cuenta por la Agencia.
  3. Se confirma el nuevo régimen sancionador.

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS.- Que si bien hay avances, pues ya ha pasado por distintos trámites parlamentarios, el que se retrase es un secreto a voces, y el espionaje masivo aireado (que no descubierto) seguro que tiene mucho que ver como “causa-efecto” en la brecha de la desconfianza generada. 

PIAs.- Se anunció una guía para las evaluaciones de impacto en materia de privacidad, identificando y evaluando riesgos desde el inicio, es decir, desde el diseño. La intención es dar respuestas al qué/cómo/quién, con el respaldo de la dirección y con la participación de perfiles mixtos y actores internos/externos. Se partirá de un documento de mínimos que se completará con las aportaciones de la consulta pública.

INFORMES Y SENTENCIAS RELEVANTES.- Destacar el incremento en el número de informes y la detallada exposición de las sanciones a Google y sus expresiones condicionales del tipo: “podremos; podrá; es posible” incluidas en su política de privacidad. Además, la Agencia ha constatado que Gmail filtra correos y ficheros anexos para enviar publicidad.

CONSULTAS.- Aunque habrá que verlas en detalle cuando sean publicadas en la web de la Agencia, destacar que si publicas un video en tu perfil de una red social que al ejecutarse lleve a un tercero que instale cookies, deberás obtener el consentimiento informado para dicha instalación.


NUESTRAS CONCLUSIONES:

En un mundo TIC en constate evolución, el legislador se mueve muy lento y demasiado presionado, de manera que cuando llegue el ansiado Reglamento Europeo, este ya habrá quedado desfasado.

Con las COOKIES y la sanción a Google nos encontramos en el “día de la marmota”, una extensa exposición de algo de sobra conocido. No obstante, destacar sobre las cookies la consulta mencionada sobre la publicación de un video en red social ejecutado en plataforma de un tercero, que como diría el Maestro Luis Aragonés (si cambiamos la palabra ganar) la frase sería: “Informar, informar y volver a informar”.

Que estamos ante una guía de evaluación de impacto (PIA) versión 0.1, esperando que no se convierta en un mero informe interno más de la empresa, un informe que se moldee para que no se parezca mucho a la guía, y se guarde para mostrar ante una posible inspección. Como curiosidad, nos preguntamos si las aportaciones de la consulta pública tendrán el mismo eco publicitario sobre aquellas personas/organizaciones que hagan aportaciones significativas, como ya ha ocurrido con otras guías.

Sobre lo señalado en la exposición de las funciones de la SEDE ELECTRÓNICA de la Agencia, llegamos a la conclusión que según la AEPD el cumplimiento normativo es “gratis” ya que la Agencia en su página web pone a disposición toda la información y el material necesario para hacerlo. Que la intención de la Agencia siempre ha sido la de conjugar proximidad/accesibilidad con gratuidad, pero como dice el anuncio: para todo lo demás; EUROVIMA CONSULTING, o cualquiera de los profesionales en materia de asesoría de protección de datos (LOPD) que nos hemos citado en Madrid, o los repartidos por España.

PD.- No queriendo dar ideas, esperemos que siga siendo gratis, sobre todo sin aplicar tasas a las denuncias ante la AEPD.

NEWS Enero/2014. El 28 de enero, como cada año se celebra el día de la Protección de Datos en Europa

/0 Comentarios/en /por

Cada año se celebra en esta fecha el día de la Protección de Datos en Europa, una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

EUROVIMA se suma a la difusión de este día en apoyo de la Protección de Datos, reiterándoles que como siempre, si necesitan cualquier información sobre el tema o tienen cualquier duda, que somos expertos en materia de Protección de Datos, privacidad, adecuación de páginas web a la LSSI, comercio electrónico y que nuestro departamento de Asesoría LOPDLSSI está disponible para Usted.

Pueden encontrar más información en la página web de la Agencia Española de Protección de Datos

ProtegetusdatosG