El nuevo Reglamento y las transferencias internacionales

/en , /por

El nuevo Reglamento y las transferencias internacionales
dortega
Sáb, 11/24/2018

24 de Noviembre de 2018

El Reglamento General de Protección de Datos introduce novedades importantes en el régimen de autorización y notificación previa de las transferencias internacionales de datos

Las transferencias internacionales de datos de carácter personal adquirieron una mayor relevancia pública tras las revelaciones de Snowden y, sobre todo, con la sentencia del Tribunal de Justicia de la Unión Europea, de octubre de 2015,  que invalidó la Decisión de Puerto Seguro de la Comisión Europea que consideraba que las entidades de EEUU adheridas a dicho sistema proporcionaban un nivel adecuado de protección. Esta sentencia dio lugar a que muchos responsables de ficheros adquirieran consciencia de que estaban realizando transferencias internacionales con motivo de la contratación de determinados servicios, fundamentalmente de  cloud computing.

Puerto Seguro fue sustituido por  Escudo de la Privacidad como sistema para poder transmitir datos a los EEUU, pero no vamos a centrarnos en él sino en las novedades que el  Reglamento General de Protección de Datos (RGPD) establece en la regulación de las transferencias internacionales de datos.

El RGPD parte de los criterios ya establecidos en la Directiva 95/46 e incorporados en la legislación interna española, es decir, que sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes o se den algunas de las circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del Reglamento.

El RGPD introduce novedades que afectan a todo el régimen de transferencias internacionales, pero vamos a fijarnos en las que hacen referencia al régimen de autorizaciones que supone un cambio radical con el modelo de la actual normativa.

La primera cuestión es que el RGPD establece sin duda alguna que el exportador de datos puede ser tanto un responsable como un encargado del tratamiento, precisión con la que definitivamente se pone fin a las restricciones legales de determinados Estados miembros en los que el exportador ha de ser siempre el responsable del tratamiento. Ello da lugar a que los prestadores de servicio establecidos en terceros países se encuentren en mejor situación a la hora de subcontratar en esos u otros terceros países que los prestadores de servicios establecidos en la UE. Situación que, en nuestro ámbito, fue abordada por la Agencia Española de Protección de Datos mediante la adopción de un modelo de cláusulas contractuales que ofrecen las garantías adecuadas para las transferencias internacionales de encargados establecidos en España a subencargados en terceros países.

Asimismo, se amplía el abanico de instrumentos en los que se pueden incluir y aportar las garantías adecuadas para proteger los derechos de los afectados como consecuencia de la transferencia de datos. Se incorporan los códigos de conducta y los mecanismos de certificación como instrumentos que pueden incorporar esas garantías, además de las Normas Corporativas Vinculantes (conocidas por sus siglas en inglés, BCR) para los grupos multinacionales que, aunque en la práctica ya están operativas, merced al trabajo del Grupo de Trabajo del Artículo del 29 (GT29), por primera vez se reconocen con rango legal, lo que va a posibilitar su uso en aquellos Estados miembros que hasta la fecha no las consideran válidas al derivar la vinculación no sólo de la vía contractual sino también de declaraciones unilaterales. Esta gama más amplia de instrumentos tendría que facilitar la labor de los exportadores al disponer de más entre los que elegir.

Pero donde más evidente son las novedades que introduce el RGPD es en el régimen de autorización y notificación previa de las transferencias internacionales, que quedan reducidas a muy pocos supuestos.

La actual normativa aplicable obliga a los exportadores de datos a solicitar de la Agencia Española de Protección de Datos una autorización previa para poder transferir datos a importadores establecidos en países que no cuentan con un nivel adecuado de protección, siempre que aporten las garantías suficientes, y a notificarle las transferencias cuando se dirigen a países que sí disponen de dicho nivel adecuado o, en otro caso, se realizan al amparo de alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica de Protección de Datos. En el marco del RGPD las transferencias se pueden llevar a cabo sin necesidad de autorización previa, salvo que las garantías se aporten a través de un contrato ad hoc o de un acuerdo administrativo entre autoridades públicas, ni de notificación a la autoridad de control, salvo que se amparen en la excepción basada en el interés legítimo imperioso del responsable del tratamiento y se cumplan los demás requisitos que para este supuesto establece el RGPD.

Modificaciones sustantivas que, sin duda, van a facilitar las relaciones comerciales y la cooperación internacional al evitar tener que solicitar la autorización de la Agencia en la mayoría de los casos, pero al mismo tiempo garantizando los derechos de los afectados en la transmisión de los datos fuera de la UE.

El examen de aplicaciones (I)

/en , /por

El examen de aplicaciones (I)
dortega
Vie, 11/23/2018

23 de Noviembre de 2018

Valorar el sitio desde el que vamos a descargar una app es un primer paso en materia de privacidad y seguridad

Hace algunos años, cuando queríamos comprar una aplicación o un juego para nuestro ordenador, pagábamos una cantidad de dinero y a cambio recibíamos un CD. En la actualidad, el precio de las aplicaciones no siempre es tan evidente. Ahora, descargamos las apps en nuestros teléfonos y tabletas a través de internet y empezamos a utilizarlas. Proponemos la realización de un examen de apps en el que hay cuatro temas: la tienda (I), los permisos (II), los términos y condiciones (III), y los datos personales (IV).

En este primer artículo nos centraremos en el primero de ellos y en entradas posteriores abordaremos los siguientes para superar la prueba con seguridad.

La tienda de aplicaciones

Cuando descargamos la app o el juego de la tienda “oficial” del fabricante del dispositivo o del sistema operativo, podemos confiar en que los responsables de este canal han tomado ciertas medidas: por un lado, las aplicaciones han pasado unas mínimas pruebas de seguridad sobre un sistema de características equivalentes al nuestro; también han formalizado un contrato con el desarrollador; y además han identificado sus productos mediante un certificado. No es una garantía absoluta, pero es un primer paso de seguridad.

Algunos colectivos, como grandes corporaciones empresariales y centros gubernamentales, con miles de dispositivos móviles de sus empleados, tienen sus propias tiendas exclusivas de aplicaciones. En ellas solamente se publican aquellas que tienen interés para su misión y que además han superado pruebas de sus propios departamentos de seguridad. En estos colectivos los permisos de descarga de otras tiendas y otras políticas de seguridad de los móviles de los empleados están restringidos. Esto sucede porque cada vez las organizaciones son más conscientes del valor de los datos almacenados en los móviles y tabletas de sus empleados, y empiezan a tomar medidas de seguridad específicas como ya se toman para los PCs y los equipos en red.

Los particulares, si además de la confianza que nos da la propia tienda de aplicaciones queremos garantías adicionales sobre la bondad de una app, tenemos que fijarnos en algunos detalles: por ejemplo, la página de la app en la tienda proporciona información sobre si la aplicación contiene publicidad o ventas, lo que puede ser una pista de por qué se ofrece la app o el juego; el apartado con las demás aplicaciones del mismo desarrollador puede darnos pistas sobre sus intenciones al ofrecer una aplicación gratuita; y las opiniones de otros usuarios que han descargado la aplicación y escriben sobre ella nos pueden dar señales sobre sus problemas o los riesgos que han detectado.

Esta información puede ser verídica, pero hay que tener en mente que en algunos casos puede haberse falseado. Existen incluso servicios profesionales que se encargan de dar buena reputación a aplicaciones dañinas, descargándola o puntuándola miles de veces como si tuviera miles de usuarios entusiastas. También existen mecanismos por los que los usuarios solamente pueden descargar o acceder a funcionalidades de una aplicación tras haberla votado positivamente o haberla recomendado en redes sociales. Las tiendas persiguen este tipo de trampas, pero aun así se dan muchos casos.

Las dudas sobre la reputación de una aplicación o juego no solamente afectan a las descargas nuevas, sino también a las actualizaciones. Tras una nueva versión de un programa o un juego ya instalado puede haber un cambio de proveedor y un cambio de finalidad: puede darse el caso de organizaciones que compran a los desarrolladores sus aplicaciones publicadas en las tiendas con el objetivo de aprovechar la comunidad de usuarios existente para introducir algún tipo de malware en las actualizaciones del código o introducir en ellas su publicidad.

Un caso delicado de tratar son las tiendas que de manera abierta proporcionan aplicaciones no aprobadas por los fabricantes. Si bien es posible que una aplicación no pudiera distribuirse desde una tienda oficial por una simple cuestión de política comercial, en ocasiones las tiendas no oficiales albergan aplicaciones que representan verdaderos agujeros de seguridad y que nunca superarían los controles de otros proveedores. Para ahondar en el riesgo, las aplicaciones ofrecidas por estas tiendas requieren en muchas ocasiones que el móvil o la tableta hayan sido desbloqueados. El desbloqueo o  rooteo de un móvil es un proceso por el cual se proporciona al usuario y a las aplicaciones la llave maestra para acceder a ficheros restringidos, o incluso para modificar partes del propio sistema operativo.

El desbloqueo de un móvil y el uso de aplicaciones de tiendas no oficiales pueden proporcionar a determinados usuarios avanzados unas funcionalidades mayores que las que ofrecía el dispositivo de fábrica. Sin embargo, el coste que asumen es un riesgo para la seguridad de sus datos, los sensores de su teléfono o tableta, y para las redes que utilizan y comparten con nosotros. Es un proceso que vulnera las garantías de los fabricantes y deja sin valor las pruebas de seguridad de las aplicaciones instaladas. Es también una alteración de un sistema certificado, equivalente a la manipulación del motor de un coche o de un electrodoméstico, que nunca debe hacerse sin conocer bien las implicaciones que tiene.

En la era de las aplicaciones móviles no debemos andar con miedo, pero sí tomar decisiones conscientes y ser selectivos con la tienda de aplicaciones que nos provee. Solamente así podremos responder con acierto en el primer tema de nuestro examen.

La Agencia Española de Protección de Datos ha lanzado una  

Guía sobre la privacidad y la seguridad en internet

 elaborada junto al INCIBE que incluye algunas fichas para concienciar (que no asustar) a los usuarios de los riesgos de las apps.

Modificación de la Ley Orgánica del Régimen Electoral General (LOREG)

/en , /por

Modificación de la Ley Orgánica del Régimen Electoral General (LOREG)
dortega
Vie, 11/23/2018

23 de Noviembre de 2018

(Madrid, 23 de noviembre de 2018). La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales incluye una modificación de la Ley Orgánica del Régimen Electoral General (LOREG).

 En relación con el contenido de este artículo, la AEPD −que tiene entre sus competencias aplicar e interpretar la normativa de protección de datos con arreglo a las garantías establecidas en el RGPD− ha señalado que no se permitirá a los partidos políticos perfilar datos ideológicos, sexuales, de religión o de cualquier otro tipo que se puedan obtener de los ciudadanos en las redes sociales u otros servicios de internet.

Tampoco se permitirá a los partidos el envío de publicidad o propaganda electoral basada en un perfil ideológico a partir de información obtenida en los citados servicios. El envío de propaganda debe identificar, en cualquier caso, su naturaleza electoral, garantizando asimismo que los ciudadanos puedan ejercitar de forma sencilla y gratuita del derecho de oposición.

En este contexto, la AEPD ha manifestado su iniciativa para coordinarse con la Junta Electoral Central, señalando que, en el ejercicio de sus competencias, vigilará con especial diligencia y rigor el cumplimiento de la normativa de protección de datos.

Además, la Agencia ha precisado que en el listado de tratamientos que están obligados a realizar una evaluación de impacto, que va a presentar próximamente al Comité Europeo de Protección de Datos, estarán incluidos los realizados por partidos políticos que vayan a utilizar datos de las redes sociales u otros servicios de internet amparándose en esta modificación de la LOREG.

Aprobada la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales

/en , /por

Aprobada la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales
dortega
Vie, 11/23/2018

23 de Noviembre de 2018

La normativa, que ha obtenido un apoyo parlamentario del 93%, adapta el derecho español al modelo establecido por el RGPD.

La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales ha sido aprobada con un 93% de apoyo parlamentario. La nueva normativa, que adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD), introduce novedades mediante el desarrollo de materias contenidas en el mismo.

La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.

Otro de los aspectos novedosos incluidos en la nueva normativa es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.

En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.

La Ley refuerza, como propuso la Agencia, las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola de forma específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo de un año desde la entrada en vigor de la Ley un proyecto de ley dirigido específicamente a garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en los currículums.

El texto regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.

Por otra parte, la Agencia ha propuesto que se recogieran en la Ley los sistemas de denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este modo, la Ley dota a las empresas de un mecanismo que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas.

Además, la Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.

Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas. Con la anterior Ley, no existía una cantidad mínima.

Por último, se modifica la Ley de competencia desleal, regulando como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de ínfima calidad a las empresas. 

Cámaras on-board y protección de datos

/en , /por

Cámaras on-board y protección de datos
dortega
Jue, 11/22/2018

22 de Noviembre de 2018

Las cámaras on-board suelen incorporarse para captar imágenes durante el recorrido. La captación y grabación de ciertas imágenes puede suponer un tratamiento de datos, por lo que procede valorar la legitimación para el mismo.

La proliferación del uso de cámaras con fines de seguridad motivó que la Agencia Española de Protección de Datos publicase la  Instrucción 1/2006 para adecuar estos tratamientos de datos a la normativa.

Esta instrucción se completó con la publicación de la  Guía de Videovigilancia, cuya actualización está contemplada en el  Plan Estratégico 2015-2019 de la Agencia, así como con la emisión de  informes jurídicos, y fichas informativas específicas (por ejemplo, videovigilancia en comunidades de vecinos, en la plaza de garaje o en viviendas unipersonales).

La evolución tecnológica de los últimos años ha provocado que surjan nuevos instrumentos a través de los cuales se puede realizar la captación de imágenes, como los drones, las cámaras-globos y las denominadas cámaras on-board. Estas últimas suelen incorporarse en los vehículos, o en los cascos de los ciclistas o motociclistas, captando imágenes durante el recorrido.

La Agencia Española de Protección de Datos se ha pronunciado en el  informe jurídico 0456/2015, sobre la utilización de este tipo de cámaras con la finalidad de obtener pruebas para denunciar si se cometen infracciones de tráfico.

Partiendo de que ciertas imágenes pueden ser un dato de carácter personal, y que su captación y grabación supone un tratamiento de datos, procede valorar la legitimación sobre la que se permitiría dicho tratamiento.

Por ello, debe considerarse si procedería aplicar a este tipo de grabaciones la regla del interés legítimo regulado en el artículo 7.f) de la Directiva 95/46, por lo que procede realizar la oportuna ponderación en relación a “si existe un interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos que prevalezca sobre interés o los derechos y libertades fundamentales del interesado” o si por el contrario deben prevalecer estos últimos sobre el interés del responsable.

Como nos hemos referido anteriormente, la finalidad de la grabación es la obtención de pruebas para denunciar infracciones de tráfico y el interés legítimo invocado se referiría al derecho fundamental a la tutela judicial efectiva, que regula el artículo 24 de nuestro texto constitucional, y sobre el cual esta Agencia ya se ha manifestado en alguna ocasión.

En este sentido, esta ponderación para determinar la aplicación del interés legítimo requiere, además de tener en cuenta el principio de proporcionalidad, que se incorporen una serie de cautelas al respecto, de tal forma que no procede una implantación genérica y sin límites.

Como expone el informe jurídico citado con anterioridad, de entre estas cautelas pueden destacarse alguna de las siguientes:

La activación de la grabación cuando se produzca un evento concreto, o bien su activación manual;
El acceso a las imágenes únicamente en caso de que ocurra el citado evento;
Difuminar la imagen de las personas o datos como las matrículas que no estén vinculadas al accidente en cuestión;
Las diferentes fórmulas que se adopten en relación al cumplimiento con el derecho de información a los interesados.

Qué debes saber si quieres poner una cámara en tu plaza de garaje

/en , /por

Qué debes saber si quieres poner una cámara en tu plaza de garaje
dortega
Mié, 11/21/2018

21 de Noviembre de 2018

La colocación de videocámaras en plazas de garaje por las que puedan transitar otras personas está sujeta a la autorización previa de la comunidad de propietarios.

El uso de la videovigilancia no ha dejado de crecer en nuestro país en los últimos años. Y el ámbito de las comunidades de vecinos no es una excepción. Las estadísticas así lo reflejan: a finales de 2008 eran algo más 1.100 las comunidades que habían registrado el fichero de videovigilancia en la Agencia; ocho años después la cifra ronda los 27.000.

El principal motivo aducido para el uso de cámaras de videovigilancia es que proporciona seguridad y protección, permite la identificación de delincuentes y evita delitos por su efecto disuasorio. La valoración sobre hasta qué punto nos parece bien que se empleen cámaras de seguridad en comunidades de vecinos ha cambiado con los años: en 2008  lo veía bien o muy bien un 56% mientras que  tres años después era el 66%.

Supongamos que han robado en el interior de tu coche o este ha sido blanco de actos vandálicos dentro del garaje y quieres colocar una videocámara para que no vuelva a suceder. En este caso, es importante que tengas en cuenta, entre otras, estas consideraciones:

Si por tu plaza de garaje pueden pasar vecinos u otras personas -por ejemplo, el portero de la finca- aunque se trate de un espacio privado y tengas reservado su uso para tu vehículo, se considera un lugar de libre acceso y se aplican los requisitos recogidos en la  Instrucción 1/2006 de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
Pese a que tengas pensado instalar una videocámara dirigida exclusivamente a tu plaza de garaje es más que probable que captes, aunque sea tangencialmente, imágenes de espacios comunes o de las plazas colindantes, por lo que, en todo caso, deberás contar con el acuerdo de la comunidad de propietarios, recogido en acta, para poder efectuar dicha instalación.
Recuerda que grabar imágenes de personas identificadas o identificables con fines de videovigilancia mediante cámaras se considera un tratamiento de datos personales.
En el caso de que efectivamente quieras grabar las imágenes, previamente debes inscribir un fichero en el Registro General de Protección de Datos de la AEPD que indique que su finalidad es la videovigilancia (puedes hacerlo aquí).
Debes informar mediante carteles ubicados en una zona visible de que la zona está siendo videovigilada (la Agencia tiene  un modelo de cartel que puedes utilizar). En el cartel debe indicarse claramente la identidad del responsable de la instalación. También debes informar de ante quién pueden ejercer sus derechos los afectados y dónde pueden hacerlo.
Asimismo, deberás facilitar a los posibles afectados información según lo dispuesto en el artículo 5.1 de la LOPD). Puedes utilizar este  modelo de cláusula informativa.
Si grabas, las imágenes no se pueden conservar por más de un mes desde su captación.

Podrás encontrar más información en esta  

. La AEPD también dispone de otras fichas con información sobre el uso de  

Por otra parte, la Agencia trabaja en la actualización de una Guía de videovigilancia como una de las iniciativas previstas en su  Plan Estratégico 2015-2019. Su publicación está prevista en este año.

La AEPD colabora en el concurso para jóvenes ‘Ellos te enseñan’

/en , /por

La AEPD colabora en el concurso para jóvenes ‘Ellos te enseñan’
dortega
Mié, 11/21/2018

21 de Noviembre de 2018

La iniciativa pretende concienciar a jóvenes y padres sobre privacidad y seguridad en internet.

La Agencia Española de Protección de Datos (AEPD) ha colaborado en el concurso ‘Ellos te enseñan’, puesto en marcha por la Organización de Consumidores y Usuarios (OCU) con el apoyo de Google. La iniciativa pretende concienciar de manera activa a alumnos, padres y profesores sobre la importancia de fomentar la privacidad y la seguridad en internet. En el concurso también han colaborado la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN), el Instituto Nacional de Ciberseguridad (INCIBE) y la Confederación Española de Asociaciones de Padres y Madres de Alumnos (CEAPA).

El concurso propone a estudiantes de la ESO o del primer curso de FP que, con la ayuda de sus profesores, y utilizando la información y materiales contenidos en la web  Vive un internet seguro, presenten un trabajo creativo en forma de decálogo dirigido a sus padres, en el que podrán explicar a estos a través de fotografías, redacciones, vídeos o infografías de qué manera pueden navegar por internet de manera segura. Entre los materiales de apoyo aportados por la AEPD para participar en el concurso se pueden encontrar las guías  No te enredes en internet y  Sé legal, además de un  cómic o  fichas didácticas.

En el trabajo que pueden presentar los alumnos a través de los centros escolares (la participación puede ser individual o en equipos de hasta tres personas) tendrán que acreditar que poseen conocimientos suficientes sobre un uso adecuado, responsable y positivo de internet, a la vez que ayudar a sus padres a avanzar en el conocimiento aquellas prácticas que mejoran la protección de los menores y su privacidad.

El plazo para la presentación de los trabajos estará abierto hasta el próximo 16 de marzo, pudiendo encontrar toda la información necesaria en  la convocatoria del concurso.

Una vez finalizado este plazo, el jurado compuesto por representantes de las instituciones colaboradoras elegirá un total de tres finalistas en función de la originalidad y el potencial didáctico de los trabajos, siendo estos finalistas los que optarán a los premios que serán entregados en el mes de mayo.

Criterio de la Agencia Española de Protección de Datos sobre cuestiones electorales en el proyecto de nueva LOPD

/en , /por

Criterio de la Agencia Española de Protección de Datos sobre cuestiones electorales en el proyecto de nueva LOPD
dortega
Mié, 11/21/2018

21 de Noviembre de 2018

(Madrid, 21 de noviembre de 2018) Ante las noticias aparecidas en medios de comunicación sobre la modificación de la LOREG en el Proyecto de LOPD y garantía de los derechos digitales que se vota hoy en el Pleno del Senado, la Agencia Española de Protección de Datos quiere manifestar lo siguiente:

El texto del Proyecto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas.
Tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos.
El Proyecto sólo permite, conforme al Considerando 56 del Reglamento General de Protección de Datos, la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales. Esta interpretación se fundamenta en la supresión del término “tratamiento” recogido en la enmienda 331 inicialmente presentada en el Congreso.
Este criterio se basa, asimismo, en la supresión del apartado 2 de dicha enmienda, que permitía la difusión de propaganda electoral basada en perfiles ideológicos con determinadas garantías.
El texto permite el envío de propaganda electoral sin que su contenido pueda basarse en los perfiles antes citados, identificando en cualquier caso su naturaleza electoral y garantizando el ejercicio sencillo y gratuito del derecho de oposición.
En todo caso, las previsiones del artículo recogido en el Proyecto de ley deben cumplir todas las garantías establecidas en el Reglamento General de Protección de Datos. 

La AEPD, Comercio y Consumo ofrecen recomendaciones para impulsar la compra segura en internet con motivo del Black Friday

/en , /por

La AEPD, Comercio y Consumo ofrecen recomendaciones para impulsar la compra segura en internet con motivo del Black Friday
dortega
Lun, 11/19/2018

19 de Noviembre de 2018

(Madrid, 19 de noviembre de 2018) La Agencia Española de Protección de Datos (AEPD), la Dirección General de Política Comercial y Competitividad, y la Dirección General de Consumo han celebrado hoy un acto en el que han ofrecido recomendaciones para fomentar la compra segura en internet, incluyendo consejos específicos sobre juguetes conectados. Esta presentación tiene lugar pocos días antes del Black Friday y el Cyber Monday −23 y 26 de noviembre, respectivamente−, fechas elegida por millones de personas para adquirir productos de todo tipo y, en muchos casos, para anticipar sus compras navideñas.

Uno de cada cuatro hogares españoles (25,7%) compró a través de internet en 2017, según datos del INE pero, en paralelo, según el barómetro del CIS del pasado mayo, un 39% admite tener mucha o bastante preocupación al facilitar el número de su tarjeta para realizar compras por Internet. Los materiales presentados hoy forman parte de las actuaciones preventivas y de colaboración puestas en marcha por la AEPD para impulsar que los ciudadanos conozcan los derechos que les asisten, en un escenario comercial en el que descuentos y ofertas llamativas pueden ser utilizadas por webs o aplicaciones fraudulentas. Por ello, la AEPD, Comercio y Consumo se han unido para promover que las compras online se realicen con seguridad y en sitios de confianza.

“Desde la Agencia queremos promover acciones que favorezcan la confianza de los ciudadanos y que posibiliten, al mismo tiempo, el desarrollo de la economía digital, ya que un ciudadano bien informado es clave para el crecimiento de los negocios online, donde la confianza es una base fundamental”, ha señalado durante la presentación la directora de la AEPD, Mar España.

El director general de Política Comercial y Competitividad, de la Secretaría de Estado de Comercio, José Luis Kaiser, destacó que “la Secretaría de Estado de Comercio acompaña tanto a empresas digitales como retailerstradicionales en la transición hacia un modelo de futuro que garantice la elección del consumidor en un marco de comercio seguro”. Además puso de manifiesto que “en paralelo al perfeccionamiento de los mecanismos de pago online, el consumidor ha incrementado su confianza en la seguridad del sistema, precondición para el desarrollo saludable del comercio. Una mayor información sobre los elementos de riesgo en la red unido a la adopción de sistemas de pago seguro y a la protección de los datos que configuran la identidad del usuario en sentido amplio son elementos que determinan la consolidación y crecimiento ordenado del negocio online”.

En su intervención, el director general de Consumo del Ministerio de Sanidad, Consumo y Bienestar Social, Nelson Castro, ha destacado la importancia de realizar una compra reflexiva, en páginas webs seguras y que a los consumidores les asisten los mismos derechos que si hicieran una compra o contratación en un establecimiento físico.

Entre las recomendaciones para fomentar la compra segura en internet se encuentran la de utilizar páginas oficiales y/o de confianza; usar contraseñas robustas; no comprar utilizando redes WiFi públicas; cerrar siempre la sesión al finalizar la compra; emplear una tarjeta de uso exclusivo para realizar pagos online, no enviar dinero en efectivo o ignorar los correos en los que nos solicitan datos bancarios. Se aconseja asimismo revisar la política de privacidad de webs y aplicaciones y no dar más datos de los necesarios para completar la compra. Además, se recuerda que las tiendas no pueden tratar los datos de los menores de 14 años sin el consentimiento de sus padres o tutores.

La protección de datos en el caso de los juguetes conectados es especialmente relevante dado que los usuarios suelen ser menores. Así, se aconseja comprobar aspectos como qué datos recoge el juguete, quién y para qué los va a utilizar, qué opciones ofrece para configurar la privacidad o ante quién y cómo se puede interponer una reclamación en caso de querer ejercer nuestros derechos. Se recomienda también optar por productos que ofrezcan información completa e identifiquen de forma clara, por ejemplo, cuándo están grabando la voz del niño/a.

Estas recomendaciones y consejos complementan a la 

guia-compra-segura-digital-web

una iniciativa realizada por la Agencia, INCIBE, Consumo y la Policía Nacional con la finalidad de generar confianza y contribuir al crecimiento del comercio online en España. El comercio electrónico facturó en España más de 30.000 millones de euros en 2017 y superó los 8.900 millones en el primer trimestre de 2018, un 32,8% más que el año anterior, según datos de la CNMC. En cuanto a segmentación geográfica, las webs de comercio electrónico en España aglutinan el 52,7% de los ingresos. El 93,1% de las compras desde España hacia el exterior se dirigen a la Unión Europea, seguidas de EEUU (2,3%).

Los códigos de conducta en el Reglamento Europeo de Protección de Datos

/en , /por

Los códigos de conducta en el Reglamento Europeo de Protección de Datos
dortega
Dom, 11/18/2018

18 de Noviembre de 2018

En el marco de la autorregulación que el Reglamento Europeo de Protección de Datos pretende promover, los códigos de conducta, junto con las certificaciones, destacan como una herramienta útil para demostrar que responsables y encargados cumplen con los requisitos establecidos en el mismo.

Los códigos de conducta, a diferencia de las certificaciones, ya estaban previstos de una forma genérica en la Directiva 95/46/CE y, en el caso de España, se adaptó al derecho nacional tanto en la LORTAD como en la LOPD.

De forma más concreta, en el título VII del Reglamento de desarrollo de la LOPD (RLOPD) se recogen con mayor claridad el objeto y la naturaleza, la iniciativa y ámbito de aplicación, los compromisos adicionales, las garantías del cumplimiento, la publicidad, la relación de adheridos, así como las obligaciones posteriores a la inscripción del código tipo. Finalmente, el RLOPD también regula el procedimiento de inscripción de los códigos tipo así como los preceptos relativos al procedimiento para su tramitación.

Este marco normativo ha propiciado la elaboración de 13 códigos tipo en el ámbito del sector privado y 2 en el ámbito del sector público como mecanismos de autorregulación en materia de protección de datos, complementando el marco regulatorio existente.

Como se señalaba al principio, el objetivo principal que parece tener el  Reglamento europeo de Protección de Datos al dar una mayor relevancia a los códigos de conducta es el de que sirvan como herramientas para que los responsables y encargados puedan demostrar su cumplimiento, teniendo en cuenta las características y necesidades específicas de los distintos sectores y de las pymes y micropymes. Para ello, señala a los Estados miembros, las Autoridades de protección de datos, el Comité europeo de protección de datos, así como a la Comisión, como impulsores para la elaboración de códigos de conducta o para la adaptación de los ya existentes por parte de los responsables y encargados, así como a las asociaciones y otros organismos representativos de categorías de responsables y encargados.

El Reglamento señala los aspectos que, ente otros, estos códigos deberían incluir, lo que podría entenderse como un conjunto de requisitos mínimos a ser abordados con el fin de contribuir a la correcta aplicación del Reglamento europeo. Entre ellos, los códigos de conducta deberán arrojar claridad sobre:

el tratamiento leal y transparente;
los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;
la recogida de datos personales;
la seudoanonimización de datos personales;
la información proporcionada al público y a los interesados;
el ejercicio de los derechos de los interesados;
la información proporcionada a los niños y la protección de éstos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño;
las medidas y procedimientos para garantizar la seguridad del tratamiento así como la protección de datos desde el diseño y por defecto;
la notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados;
la transferencia de datos personales a terceros países y organizaciones internacionales, o
los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados.

Destaca este último aspecto, que permitirá resolver los conflictos que pudieran plantearse y obtener satisfacción de manera ágil.

El Reglamento prevé la posibilidad de aprobar códigos de conducta cuando guarde relación con actividades de tratamiento en varios Estados miembros o incluya compromisos vinculantes y exigibles para realizar transferencias internacionales de datos a través del mecanismo de coherencia, que cuenta como antecedente el mecanismo coordinado y de reconocimiento mutuo impulsado por el Grupo del Artículo 29 para la adopción de las BCR.

Mucho más impreciso parece el alcance del mecanismo previsto para la supervisión de códigos de conducta por parte de un organismo que tenga el nivel adecuado de pericia en relación con el objeto del código y que haya sido acreditado para tal fin por la autoridad de control competente. Cabe señalar que el RLOPD ya contenía entre el contenido mínimo que debían tener los códigos tipo mecanismos de supervisión a través de los cuales se garantice el cumplimiento por los adheridos de lo establecido en el código tipo. Habrá que estar, por tanto, atentos al desarrollo que se realice de esta previsión.

Como resumen, los códigos de conducta, que adquieren una mayor relevancia, resultan un instrumento que no sólo permite adecuar la aplicación del Reglamento europeo a las características de cada sector, sino que sirven para demostrar su cumplimiento y, en el caso de España, tanto la Agencia Española de Protección de Datos como los potenciales promotores de los códigos disponen de un buen punto de partida en la experiencia desarrollada durante la vigencia de la LOPD y, en especial, de su Reglamento de desarrollo.