La Agencia Española de Protección de Datos ha lanzado en los últimos meses diferentes materiales que tratan de concienciar a los usuarios sobre la importancia de proteger su privacidad en los entornos digitales. La  

Guía sobre la privacidad y la seguridad en internet

, los vídeos tutoriales que enseñan a gestionar  quién puede ver los datos que publicamos en las redes sociales, las  guías para niños, padres y profesores o la publicación de diferentes contenidos de carácter práctico son algunas de las iniciativas puestas en marcha.

En la Agencia estamos convencidos de que el uso de los datos personales que hacen empresas, organismos públicos y organizaciones debe de ser compatible con el derecho a la protección de datos y la privacidad de los ciudadanos. En este sentido, la Asociación de Usuarios de Internet (AUI) ha lanzado la iniciativa  TestdePrivacidad.org, en la que la AEPD participa como embajadora, para difundir, informar y sensibilizar sobre la importancia de la privacidad en el entorno digital y dar a conocer iniciativas que permitan una mejor gestión de la misma.

La presentación de este proyecto se realizará en Madrid el próximo jueves 16 de marzo, y la AEPD participará en ella. Si quieres asistir a la presentación de esta iniciativa,  en este enlace puedes inscribirte. La entrada es libre, pero es necesario registrarse. Además de presentar las herramientas, a la jornada acudirán instituciones, reguladores, empresas, partidos políticos y sociedad civil para exponer sus reflexiones en esta materia.

Jornada sobre PRIVACIDAD y CIUDADANÍA DIGITAL

Cuándo: Jueves, 16 de marzo (11:30 – 14:00 horas)
Dónde: Auditorio Espacio Telefónica (C/ Fuencarral 3, Madrid)

El objetivo de esta iniciativa es aportar a los ciudadanos información, conocimiento, consejos y herramientas para que puedan encontrar respuesta a cuestiones básicas que afectan a sus datos personales en los entornos digitales. ¿Qué es la dirección IP? ¿Qué son las cookies, qué implicaciones tienen en nuestra privacidad y cómo bloquearlas o eliminarlas? ¿Qué es la huella digital y cómo cambiarla? ¿ Quién recoge datos tuyos cuando visitas otras webs? o ¿ Cómo mejorar tu privacidad? son algunas de las preguntas para las que podrás encontrar respuesta en esta web. Además, cada respuesta se complementa con consejos, informaciones de interés y acciones que puede llevar a cabo para mejorar la privacidad en relación con la cuestión o tema de la pregunta.

Hace algunos años, cuando queríamos comprar una aplicación o un juego para nuestro ordenador, pagábamos una cantidad de dinero y a cambio recibíamos un CD. En la actualidad, el precio de las aplicaciones no siempre es tan evidente. Ahora, descargamos las apps en nuestros teléfonos y tabletas a través de internet y empezamos a utilizarlas. Proponemos la realización de un examen de apps en el que hay cuatro temas: la tienda (I), los permisos (II), los términos y condiciones (III), y los datos personales (IV).

En este primer artículo nos centraremos en el primero de ellos y en entradas posteriores abordaremos los siguientes para superar la prueba con seguridad.

La tienda de aplicaciones

Cuando descargamos la app o el juego de la tienda “oficial” del fabricante del dispositivo o del sistema operativo, podemos confiar en que los responsables de este canal han tomado ciertas medidas: por un lado, las aplicaciones han pasado unas mínimas pruebas de seguridad sobre un sistema de características equivalentes al nuestro; también han formalizado un contrato con el desarrollador; y además han identificado sus productos mediante un certificado. No es una garantía absoluta, pero es un primer paso de seguridad.

Algunos colectivos, como grandes corporaciones empresariales y centros gubernamentales, con miles de dispositivos móviles de sus empleados, tienen sus propias tiendas exclusivas de aplicaciones. En ellas solamente se publican aquellas que tienen interés para su misión y que además han superado pruebas de sus propios departamentos de seguridad. En estos colectivos los permisos de descarga de otras tiendas y otras políticas de seguridad de los móviles de los empleados están restringidos. Esto sucede porque cada vez las organizaciones son más conscientes del valor de los datos almacenados en los móviles y tabletas de sus empleados, y empiezan a tomar medidas de seguridad específicas como ya se toman para los PCs y los equipos en red.

Los particulares, si además de la confianza que nos da la propia tienda de aplicaciones queremos garantías adicionales sobre la bondad de una app, tenemos que fijarnos en algunos detalles: por ejemplo, la página de la app en la tienda proporciona información sobre si la aplicación contiene publicidad o ventas, lo que puede ser una pista de por qué se ofrece la app o el juego; el apartado con las demás aplicaciones del mismo desarrollador puede darnos pistas sobre sus intenciones al ofrecer una aplicación gratuita; y las opiniones de otros usuarios que han descargado la aplicación y escriben sobre ella nos pueden dar señales sobre sus problemas o los riesgos que han detectado.

Esta información puede ser verídica, pero hay que tener en mente que en algunos casos puede haberse falseado. Existen incluso servicios profesionales que se encargan de dar buena reputación a aplicaciones dañinas, descargándola o puntuándola miles de veces como si tuviera miles de usuarios entusiastas. También existen mecanismos por los que los usuarios solamente pueden descargar o acceder a funcionalidades de una aplicación tras haberla votado positivamente o haberla recomendado en redes sociales. Las tiendas persiguen este tipo de trampas, pero aun así se dan muchos casos.

Las dudas sobre la reputación de una aplicación o juego no solamente afectan a las descargas nuevas, sino también a las actualizaciones. Tras una nueva versión de un programa o un juego ya instalado puede haber un cambio de proveedor y un cambio de finalidad: puede darse el caso de organizaciones que compran a los desarrolladores sus aplicaciones publicadas en las tiendas con el objetivo de aprovechar la comunidad de usuarios existente para introducir algún tipo de malware en las actualizaciones del código o introducir en ellas su publicidad.

Un caso delicado de tratar son las tiendas que de manera abierta proporcionan aplicaciones no aprobadas por los fabricantes. Si bien es posible que una aplicación no pudiera distribuirse desde una tienda oficial por una simple cuestión de política comercial, en ocasiones las tiendas no oficiales albergan aplicaciones que representan verdaderos agujeros de seguridad y que nunca superarían los controles de otros proveedores. Para ahondar en el riesgo, las aplicaciones ofrecidas por estas tiendas requieren en muchas ocasiones que el móvil o la tableta hayan sido desbloqueados. El desbloqueo o  rooteo de un móvil es un proceso por el cual se proporciona al usuario y a las aplicaciones la llave maestra para acceder a ficheros restringidos, o incluso para modificar partes del propio sistema operativo.

El desbloqueo de un móvil y el uso de aplicaciones de tiendas no oficiales pueden proporcionar a determinados usuarios avanzados unas funcionalidades mayores que las que ofrecía el dispositivo de fábrica. Sin embargo, el coste que asumen es un riesgo para la seguridad de sus datos, los sensores de su teléfono o tableta, y para las redes que utilizan y comparten con nosotros. Es un proceso que vulnera las garantías de los fabricantes y deja sin valor las pruebas de seguridad de las aplicaciones instaladas. Es también una alteración de un sistema certificado, equivalente a la manipulación del motor de un coche o de un electrodoméstico, que nunca debe hacerse sin conocer bien las implicaciones que tiene.

En la era de las aplicaciones móviles no debemos andar con miedo, pero sí tomar decisiones conscientes y ser selectivos con la tienda de aplicaciones que nos provee. Solamente así podremos responder con acierto en el primer tema de nuestro examen.

La Agencia Española de Protección de Datos ha lanzado una  

Guía sobre la privacidad y la seguridad en internet

 elaborada junto al INCIBE que incluye algunas fichas para concienciar (que no asustar) a los usuarios de los riesgos de las apps.

El uso de la videovigilancia no ha dejado de crecer en nuestro país en los últimos años. Y el ámbito de las comunidades de vecinos no es una excepción. Las estadísticas así lo reflejan: a finales de 2008 eran algo más 1.100 las comunidades que habían registrado el fichero de videovigilancia en la Agencia; ocho años después la cifra ronda los 27.000.

El principal motivo aducido para el uso de cámaras de videovigilancia es que proporciona seguridad y protección, permite la identificación de delincuentes y evita delitos por su efecto disuasorio. La valoración sobre hasta qué punto nos parece bien que se empleen cámaras de seguridad en comunidades de vecinos ha cambiado con los años: en 2008  lo veía bien o muy bien un 56% mientras que  tres años después era el 66%.

Supongamos que han robado en el interior de tu coche o este ha sido blanco de actos vandálicos dentro del garaje y quieres colocar una videocámara para que no vuelva a suceder. En este caso, es importante que tengas en cuenta, entre otras, estas consideraciones:

Si por tu plaza de garaje pueden pasar vecinos u otras personas -por ejemplo, el portero de la finca- aunque se trate de un espacio privado y tengas reservado su uso para tu vehículo, se considera un lugar de libre acceso y se aplican los requisitos recogidos en la  Instrucción 1/2006 de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
Pese a que tengas pensado instalar una videocámara dirigida exclusivamente a tu plaza de garaje es más que probable que captes, aunque sea tangencialmente, imágenes de espacios comunes o de las plazas colindantes, por lo que, en todo caso, deberás contar con el acuerdo de la comunidad de propietarios, recogido en acta, para poder efectuar dicha instalación.
Recuerda que grabar imágenes de personas identificadas o identificables con fines de videovigilancia mediante cámaras se considera un tratamiento de datos personales.
En el caso de que efectivamente quieras grabar las imágenes, previamente debes inscribir un fichero en el Registro General de Protección de Datos de la AEPD que indique que su finalidad es la videovigilancia (puedes hacerlo aquí).
Debes informar mediante carteles ubicados en una zona visible de que la zona está siendo videovigilada (la Agencia tiene  un modelo de cartel que puedes utilizar). En el cartel debe indicarse claramente la identidad del responsable de la instalación. También debes informar de ante quién pueden ejercer sus derechos los afectados y dónde pueden hacerlo.
Asimismo, deberás facilitar a los posibles afectados información según lo dispuesto en el artículo 5.1 de la LOPD). Puedes utilizar este  modelo de cláusula informativa.
Si grabas, las imágenes no se pueden conservar por más de un mes desde su captación.

Podrás encontrar más información en esta  

. La AEPD también dispone de otras fichas con información sobre el uso de  

Por otra parte, la Agencia trabaja en la actualización de una Guía de videovigilancia como una de las iniciativas previstas en su  Plan Estratégico 2015-2019. Su publicación está prevista en este año.

Los códigos de conducta, a diferencia de las certificaciones, ya estaban previstos de una forma genérica en la Directiva 95/46/CE y, en el caso de España, se adaptó al derecho nacional tanto en la LORTAD como en la LOPD.

De forma más concreta, en el título VII del Reglamento de desarrollo de la LOPD (RLOPD) se recogen con mayor claridad el objeto y la naturaleza, la iniciativa y ámbito de aplicación, los compromisos adicionales, las garantías del cumplimiento, la publicidad, la relación de adheridos, así como las obligaciones posteriores a la inscripción del código tipo. Finalmente, el RLOPD también regula el procedimiento de inscripción de los códigos tipo así como los preceptos relativos al procedimiento para su tramitación.

Este marco normativo ha propiciado la elaboración de 13 códigos tipo en el ámbito del sector privado y 2 en el ámbito del sector público como mecanismos de autorregulación en materia de protección de datos, complementando el marco regulatorio existente.

Como se señalaba al principio, el objetivo principal que parece tener el  Reglamento europeo de Protección de Datos al dar una mayor relevancia a los códigos de conducta es el de que sirvan como herramientas para que los responsables y encargados puedan demostrar su cumplimiento, teniendo en cuenta las características y necesidades específicas de los distintos sectores y de las pymes y micropymes. Para ello, señala a los Estados miembros, las Autoridades de protección de datos, el Comité europeo de protección de datos, así como a la Comisión, como impulsores para la elaboración de códigos de conducta o para la adaptación de los ya existentes por parte de los responsables y encargados, así como a las asociaciones y otros organismos representativos de categorías de responsables y encargados.

El Reglamento señala los aspectos que, ente otros, estos códigos deberían incluir, lo que podría entenderse como un conjunto de requisitos mínimos a ser abordados con el fin de contribuir a la correcta aplicación del Reglamento europeo. Entre ellos, los códigos de conducta deberán arrojar claridad sobre:

el tratamiento leal y transparente;
los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;
la recogida de datos personales;
la seudoanonimización de datos personales;
la información proporcionada al público y a los interesados;
el ejercicio de los derechos de los interesados;
la información proporcionada a los niños y la protección de éstos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño;
las medidas y procedimientos para garantizar la seguridad del tratamiento así como la protección de datos desde el diseño y por defecto;
la notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados;
la transferencia de datos personales a terceros países y organizaciones internacionales, o
los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados.

Destaca este último aspecto, que permitirá resolver los conflictos que pudieran plantearse y obtener satisfacción de manera ágil.

El Reglamento prevé la posibilidad de aprobar códigos de conducta cuando guarde relación con actividades de tratamiento en varios Estados miembros o incluya compromisos vinculantes y exigibles para realizar transferencias internacionales de datos a través del mecanismo de coherencia, que cuenta como antecedente el mecanismo coordinado y de reconocimiento mutuo impulsado por el Grupo del Artículo 29 para la adopción de las BCR.

Mucho más impreciso parece el alcance del mecanismo previsto para la supervisión de códigos de conducta por parte de un organismo que tenga el nivel adecuado de pericia en relación con el objeto del código y que haya sido acreditado para tal fin por la autoridad de control competente. Cabe señalar que el RLOPD ya contenía entre el contenido mínimo que debían tener los códigos tipo mecanismos de supervisión a través de los cuales se garantice el cumplimiento por los adheridos de lo establecido en el código tipo. Habrá que estar, por tanto, atentos al desarrollo que se realice de esta previsión.

Como resumen, los códigos de conducta, que adquieren una mayor relevancia, resultan un instrumento que no sólo permite adecuar la aplicación del Reglamento europeo a las características de cada sector, sino que sirven para demostrar su cumplimiento y, en el caso de España, tanto la Agencia Española de Protección de Datos como los potenciales promotores de los códigos disponen de un buen punto de partida en la experiencia desarrollada durante la vigencia de la LOPD y, en especial, de su Reglamento de desarrollo.