Sanción de 1500 euros por grabar sin consentimiento

sanción LOPD grabación cámaras
La Agencia Española de Protección de Datos ha sancionado por grabar sin consentimiento, a la empresa Leistung S.L.N.E., tras la denuncia presentada por una mujer cuya identidad queda salvaguardada, con las iniciales A.A.A.

Denuncia por el sistema de videovigilancia

El procedimiento sancionador se puso en marcha tras la denuncia, que aseguraba que la empresa Leistung había instalado un sistema de cámaras de vigilancia en su negocio de Pontevedra, las cuales emitían imágenes en directo en su página web, de acceso público (es decir, abierta a cualquier usuario de Internet). La denunciante aseguraba, además, que en dichas emisiones podían identificarse a los peatones y coches que pasaban junto al comercio, en sus calles adyacentes. Para demostrar el hecho denunciado, A.A.A. suministró pantallazos de los vídeos denunciados e incluso un vídeo demostrativo.

¿Qué clase de sanciones puede imponer la AEPD?

Hay que explicar que la AEPD no es un tribunal, es decir, no es una instancia judicial como tal, sino que es un organismo de control que se define como "independiente", y cuya misión es velar por la observancia de la normativa en materia de protección de datos. En especial, se encarga de que se cumpla el derecho fundamental a la protección de los datos personales. La AEPD, por tanto, puede, además de multas pecuniarias, imponer otras sanciones, pero no puede llevar a la cárcel a una empresa o persona por incumplir la LOPD, sino que informa al ciudadano, le protege para que defienda sus derechos, y actúa como un supervisor que tutela al ciudadano para que pueda ejercer esos derechos. En el caso que nos compete, la AEPD investiga y sanciona a aquellas entidades que puedan realizar alguna actividad contra la protección de datos personales.

Claves para la videovigilancia en mi negocio

Después de este análisis sobre una de las sanciones impuesta por la AEPD respecto a una infracción cometida en materia de videovigilancia, os dejo un artículo con las medidas que hay que tener en cuenta a la hora de poner cámaras en un negocio.

La AEPD informa al ciudadano, le protege para que defienda sus derechos, y actúa como un supervisor que tutela al ciudadano para que pueda ejercer esos derechos.

¿Necesitas cumplir la LOPD?

Read more


¿Es necesario el Reglamento sobre Privacidad y Comunicaciones Electrónicas?

e-privacy certificado
¿Sabíais que se va a aprobar un Reglamento relativo a la privacidad en las comunicaciones electrónicas? En este artículo te desvelo las claves de e-Privacy y lo que el Supervisor Europeo de Protección de Datos (SEPD) ha dicho del mismo.

Motivación por la que surge el e-Privacy

Este Reglamento surge, para sustituir a la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas y también como complemento del RGPD. La Comisión Europea, solicitó un Dictamen preliminar al SEPD, sobre la propuesta de este Reglamento y llegó a conclusiones tanto positivas como negativas del mismo.

Aspectos positivos

Aspectos negativos

Mi opinión sobre el e-Privacy

Este Reglamento supondrá un gran avance para poder garantizar un nivel elevado de protección de las comunicaciones de los ciudadanos, así como, para establecer unas condiciones de igualdad para todos los usuarios de la UE. Sin embargo, a pesar de que supone una novedad muy positiva, el legislador deberá modificar y mejorar el texto legislativo para que se complemente a la perfección con el RGPD. Del mismo modo, deberá delimitar y simplificar las disposiciones del mismo.

¿Necesitas cumplir la LOPD?

Read more


El consentimiento y el Reglamento Europeo de Protección de Datos

tipos de consentimiento en la nueva ley de proteccion de datos

Empresas, consentimiento y LOPD

En primer lugar, deberás analizar todos los canales de entrada de datos personales que existen y todos los datos que están siendo tratados en tu empresa.

También debes comprobar que dispones del consentimiento para poder tratar esos datos, en caso de que sea necesario.

¿Cuándo es necesario el consentimiento?

Necesitamos obtener el consentimiento de los afectados siempre que realicemos un tratamiento de sus datos personales, es decir, la gran mayoría de las empresas deberán solicitar a sus clientes una autorización para tratar con sus datos.

Casos en los que no es obligatorio

La LOPD establece una serie de supuestos en los que no es necesario recabar el consentimiento:
  • Cuando los datos sean recogidos para el ejercicio de las funciones de las Administraciones Públicas en el ejercicio de sus funciones.
  • Si el tratamiento de los datos busca proteger un interés vital para el interesado.
  • En caso de que los datos aludan a las partes del contrato de una relación laboral, administrativa o comercial y éstos sean precisos para su cumplimiento o mantenimiento.
  • Cuando los datos figuren en fuentes accesibles para el público.

¿Dónde almacenar ese consentimiento?

Es necesario guardar una justificación suficiente respecto a la obtención del consentimiento en los supuestos en que sea necesario ante posibles reclamaciones que nos puedan plantear.

En caso de que sea necesario algún consentimiento, debemos solicitarlo y guardarlo como prueba ante eventuales denuncias. Ese consentimiento lo guardaremos en nuestra empresa para poder demostrar que el interesado a aceptado el tratamiento de sus datos personales.

Tipos de consentimiento

Examinaremos escuetamente los tipos de consentimiento permitidos por la LOPD, con mención especial al consentimiento tácito, por ser un consentimiento que ofrece claras dudas en cuanto a la prueba:

consentimiento_tipos_de_consentimiento
Presunto
El consentimiento presunto se entiende del comportamiento del afectado. Se da, por ejemplo, cuando un entrevistado rellena un formulario con sus datos personales, sin permitir expresamente el almacenamiento de los mismos, pero siendo avisado de las circunstancias referidas a su tratamiento. El consentimiento presunto, pese a su admisión doctrinal, origina importantes problemas de inseguridad jurídica dando lugar a un evidente riesgo.
Tácito
El consentimiento tácito, en cambio, no se deduce de actos del interesado sino “de su inacción, de su silencio”. El consentimiento tácito es aceptado por la LOPD y también por la propia AEPD.
A partir del 2018, con el nuevo RGPD, ya no se considera válido el consentimiento tácito.
Se considera consentimiento tácito cuando, después de haber recibido la información correspondiente, el usuario no dice que no (ejemplo: "si no me contestas antes de 30 días, entonces te enviaré información comercial de terceros"). Por tanto, el consentimiento tácito se considera válido, siempre y cuando no nos encontremos ante datos especialmente protegidos.
Expreso
El consentimiento expreso, por su parte, “exige que se manifieste de forma clara e inequívoca por parte del interesado que permite o consiente el tratamiento o la cesión de los que se le informa, a través de la declaración de su voluntad, que podrá realizarse por escrito, de forma verbal, a través de notificación telemática o por cualquier otro medio”. Este consentimiento existe cuando el usuario debe decir explícitamente que sí (ejemplo: "si deseas que te envíe información comercial, marca esta casilla") o que no, pero en cualquier caso debe realizar una acción.
Revocación
El interesado tiene derecho a revocar el consentimiento a través de una vía sencilla, gratuita y que no suponga ingreso alguno para el responsable del tratamiento de los datos. Los mecanismos más frecuentes para ello son el correo electrónico o la puesta a disposición del interesado de un número de teléfono gratuito para gestionar esa revocación.

¿Demasiado complejo?

Consentimiento en el nuevo RGPD

La LOPD, vigente hasta mayo de 2018, como hemos visto, admite tanto el consentimiento expreso como el tácito o presunto. Sin embargo, a partir de esa fecha, con la entrada en vigor del Reglamento europeo de Protección de Datos y la nueva LOPD, solo será válido el consentimiento expreso. La novedad más importante respecto al consentimiento que incorpora el Reglamento se basa es que debe otorgarse a través de un acto afirmativo claro que evidencie una declaración de voluntad libre, específica, informada e inequívoca del interesado de admitir el tratamiento de datos de carácter personal que le afectan.

Características

El consentimiento para autorizar el tratamiento de datos debe ser: libre, concreto, informado, expreso y cierto.

  • Será tan fácil retirar el consentimiento como otorgarlo.
  • El Responsable del tratamiento tendrá que poder demostrar que se ha obtenido el consentimiento del interesado.
  • No será obligatorio solicitar el consentimiento cuando el tratamiento sea necesario para el cumplimiento de obligaciones legales a las que esté sujeto el Responsable.

Ejemplos de consentimiento válido

Se considera válido:
ejemplos proteccion de datos
  • Insertar una casilla para marcar en un sitio web en Internet.
  • Configuración del almacenamiento de “cookies” en el navegador.
  • Cualquier otra declaración o conducta que muestre claramente en este contexto que el afectado consiente la propuesta de tratamiento de sus datos personales.

¿Se admite el consentimiento tácito?

A partir del 2018, con el nuevo RGPD, ya no se considera válido el consentimiento tácito. El silencio, la inacción o las casillas ya marcadas no se consideran consentimiento.

consentimiento_registro-de-dominios

Páginas web

El Reglamento especifica que, en términos on-line, esa aceptación pueda manifestarse a través del habitual “click” de la casilla informativa, o mediante la elección de parámetros técnicos específicos para usar el servicio de que se trate (por ejemplo, la configuración del almacenamiento de “cookies” en el navegador).

Guía online para conocer cómo debes solicitar el consentimiento en tu página web

VER GUÍA
No se acepta la inactividad o las casillas marcadas por defecto como consentimiento válido. Es digno de mención el requerimiento que se hace para los casos de petición de consentimiento por medios electrónicos. Debe ser clara y concreta pero que “no altere inútilmente el uso del servicio para el que se presta”.También se incorpora una prevención expresa en favor de los usuarios sobre la polémica “portabilidad” de datos. Los prestadores de servicios no podrán negar la cesión de datos a otro responsable cuando así lo haya pedido el interesado, ni al contrario, es decir, cederlos sin su consentimiento.
¿Qué páginas web deben solicitar un consentimiento?
Cualquier página web o tienda online que recoja datos personales a través de formularios (de contacto, de suscripción o de solicitud de presupuesto) debe solicitar el consentimiento de los usuarios para poder tratar sus datos.
¿Cómo solicito el consentimiento en mi página web?
¿Puedo enviar comunicaciones comerciales a clientes sin consentimiento?
Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. También se admite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente. En cualquier caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines comerciales.
¿De qué forma se puede recabar el “consentimiento expreso” del destinatario para la recepción de comunicaciones comerciales por correo electrónico?
  • En el marco de un procedimiento de contratación o suscripción a algún servicio que tenga lugar vía web y en el que el destinatario deba facilitar su dirección de correo electrónico, incluyendo en las condiciones generales de contratación una cláusula sobre el consentimiento del destinatario a la recepción de comunicaciones comerciales y solicitando su aceptación junto con el contrato.
  • Ofreciendo a los usuarios la posibilidad de facilitar su dirección de correo electrónico para recibir información sobre los productos o servicios ofrecidos por la empresa mediante un mensaje y un formulario tipo incluido en su página de Internet.
¿Para usuarios que estén registrados con anterioridad y que ya hayan aceptado una vez nuestra política de privacidad se puede dejar el check marcado por defecto?
No basta solo con modificar todos los formularios de contacto y añadirles un check box, debes convertir todos los consentimientos tácitos que hayas obtenido hasta ahora y convertirlos en explícitos si quieres seguir trabajando con ellos. Debes conseguir un consentimiento expreso de toda tu lista de suscriptores ya que, si no, cualquiera de ellos puede convertirse en un potencial peligro como se le ocurra denunciarte.

consentimiento_menoresMenores

Los datos de los niños merecen una alusión especial, debido a que pueden no ser tan conscientes de sus derechos y de los peligros o efectos de los tratamientos de sus datos.

Requisitos específicos

El Reglamento establece específicamente que en labores de mercadotecnia, en la confección de perfiles, o al momento de recoger sus datos, hay que adoptar precauciones especiales, entre las que están:
Facilitar la información básica del tratamiento de manera clara y ajustada a su capacidad cognitiva si los servicios van dirigidos específicamente a ellos (principio de transparencia).
Asegurar que los plazos mínimos de conservación sean menores a los previstos para un adulto.
Otorgar al interesado el derecho a la cancelación de sus datos o revocación del consentimiento cuando se convierta en adulto.
También se detalla que no es posible tomar decisiones automatizadas de sus datos, sobre su perfil o personalidad, con efectos jurídicos vinculantes.
¿Cuándo necesito el consentimiento del menor o de sus padres?
Para poder realizar un tratamiento de los datos personales de un menor de edad necesitamos siempre un consentimiento que debe proporcionarlo el propio menor o sus padres dependiendo de la edad de aquel. Así, los mayores de 13 años pueden otorgar por sí mismos el consentimiento para tratar sus datos. Si son menores de 13 años, se requiere la autorización de sus padres o tutores legales.
En casos de padres divorciados, ¿es necesario el consentimiento de ambos?
Aquí, independientemente de que la guarda y custodia del menor en cuestión se atribuya en exclusiva a uno de ellos, no le da derecho sin más al progenitor que ostente la custodia a autorizar el tratamiento de los datos personales de su hijo menor sin el consentimiento del otro, ya que debemos tener en cuenta que en estos casos lo más normal es el ejercicio compartido de la patria potestad o representación legal del menor por parte de ambos padres, con lo que sigue siendo preciso que ambos autoricen previamente ese tratamiento.
Tengo una academia, ¿me obliga la ley a solicitar un consentimiento para tratar con los datos de los alumnos?
Soy fotógrafo, ¿puedo exponer las fotos de los niños/as en el escaparate?¿y en una página web?
Para poder exponer las fotos de menores en el escaparate es necesario asimismo el consentimiento del menor o de sus progenitores al tratarse de un dato personal. No puede ser aceptado que la mera captación de las imágenes de una persona en un estudio fotográfico conceda al fotógrafo un derecho de autor o de propiedad intelectual a utilizar de la forma que estime conveniente la imagen de esa persona sin su consentimiento, exponiéndola al público. Igualmente, la publicación en una página web de las fotos de los menores constituye una cesión o comunicación de datos de carácter personal, definida como “Toda revelación de datos realizada a una persona distinta del interesado” y requiere el consentimiento, en los términos antes señalados, del afectado o de sus padres si se trata de un menor de 13 años.
¿Puede ceder el centro de enseñanza los datos del alumnado a la Asociación de Madres y Padres de Alumnos (AMPA) sin su consentimiento previo?
No. La ley establece que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Será necesario que el centro solicite el consentimiento previo e informado para poder comunicar los datos a la AMPA.

consentimiento_redes_socialesRedes sociales

En relación con las fotografías no existen novedades específicas en el RGPD. Tan sólo se introduce una aclaración sobre los datos biométricos. El uso de sistemas biométricos deberá, en primer lugar, disponer de una evaluación de impacto. En segundo lugar, dado que se tratan datos de carácter sensible, se deberá disponer de mayor protección por parte del responsable y el encargado, en su caso, del tratamiento. Y, en tercer lugar, se deberá disponer del consentimiento expreso del interesado.

La imagen de una persona precisamente fusiona varios elementos identificativos que hacen que sea única y distinta del resto sin necesidad de más información. Esa imagen alude también a datos especialmente protegidos, como la raza, religión, circunstancias especiales físicas o de salud, etc.

¿Necesito una autorización para publicar fotos en redes sociales?
Para publicar imágenes y otros datos personales en redes sociales es necesario obtener el consentimiento expreso del titular de esos datos. El mero hecho de tener un perfil en una red social no autoriza que un tercero pueda reproducirla en un medio de comunicación sin el consentimiento previo del titular. Es decir, queda totalmente prohibido sacar foto a través del móvil de una persona andando en la calle y colgarla en la web sin el previo consentimiento del afectado. Y no vale utilizar la excusa de que has sacado la foto en un local público. Hay siempre que respetar el límite de la vida privada de cada uno. Este requisito constituye una especie de “blindaje” a la protección de la intimidad y a la propia imagen.
Utilización de imágenes y datos personales en un sorteo
En casos de recopilación de datos para realizar un sorteo el consentimiento previo es fundamental, por lo que indiscutiblemente, las empresas deben informar a los titulares afectados. Para que la recogida de datos sea legal y posible, deberemos informar a todos los implicados y solicitar su autorización sobre:
  • La finalidad de la recopilación de estos datos.
  • Quién es el destinatario que va a recibir estos datos.
  • El nombre y la dirección del responsable del tratamiento de estos datos
  • Las consecuencias de la recogida de estos datos.
  • La posibilidad de ejercer los derechos ARCO

consentimiento_trabajadoresTrabajadores

La normativa permite utilizar los datos de carácter personal de sus empleados sin su previo consentimiento, siempre que lo haga dentro del marco de la relación laboral y dicho uso sea necesario para cumplir con las obligaciones derivadas de esta relación contractual. Hacer las nóminas es algo que, como empresario y empleador, debe realizar para cumplir con sus obligaciones.

¿Tienes empleados? Te recomiendo leer esta guía

VER GUÍA
En otros casos es obligatorio solicitar el consentimiento del trabajador para poder tratar sus datos personales. Además, en el momento de obtener su consentimiento, debe informarles de los derechos de acceso, rectificación y cancelación que la ley les concede, debiendo proporcionar un medio gratuito y fácil de utilizar para el ejercicio de estos derechos.
Publicación de fotografías
A diferencia de los datos indicados para la confección de las nóminas, las fotografías no son en absoluto necesarias para cumplir con las obligaciones derivadas de la relación laboral con sus empleados. Por este motivo, y aun cuando las fotografías se tomen cuando los empleados están trabajando en la empresa, deberá recabar su consentimiento para hacerlas y utilizarlas.
Publicación de datos de los empleados en el tablón de anuncios de la empresa
En el tablón de anuncios de la empresa se publican normalmente los turnos de trabajo de los empleados, el calendario de vacaciones, días de permisos, etc. pero nos surge la duda de si podemos hacerlo. Estas publicaciones incluyen nombres y otras informaciones que permiten identificar a las personas por lo que no pueden hacerse públicas sin el expreso consentimiento de los trabajadores. Se exige que todos los trabajadores firmen una cláusula de información y consentimiento. Ésta quedaría incorporada a sus contratos, en la que se les advierte y permiten que se publique en el tablón la información que les concierne.
¿Se puede grabar a un trabajador en su puesto de trabajo?
¿Es legal grabar audio en el trabajo?
Ya son varias las veces en las que me preguntan si se pueden poner micrófonos en el trabajo, la respuesta es que no es legal grabar conversaciones en el trabajo sin el consentimiento expreso del trabajador. Esta es una cuestión muy conflictiva pues no existe normativa específica que regule la instalación y utilización de estos mecanismos de control y vigilancia consistentes en sistemas de captación de imágenes o grabación de sonidos dentro de los centros de trabajo, por lo que son los órganos jurisdiccionales los encargados de ponderar, en caso de conflicto, en qué circunstancias puede considerarse legítimo su uso por parte del empresario.
¿Está permitido poner GPS en el móvil a un trabajador?
La respuesta es sí. En virtud de dichas potestades de dirección y control, el empresario puede implantar un sistema de localización de sus flotas y equipos por GPS, sin necesidad de pedir el consentimiento a nadie. Ahora bien, la existencia de esta legitimación legal, no exime a la empresa, en absoluto, de la obligación de informar a los afectados (en este caso, al trabajador) acerca de cuál es el tratamiento de datos que se realizará, cuál es la finalidad que se persigue y qué derechos asisten a los propios trabajadores. Y corresponderá también a la empresa la carga de demostrar, si fuera necesario, que ha dado cumplimiento a este deber de informar.

consentimiento_sanidadSanidad

Los datos de salud son considerados como datos especialmente protegidos y, para poder tratarlos, se exige un consentimiento inequívoco del titular. Este consentimiento, otorgado voluntariamente, podrá ser revocado en cualquier momento, con causa justificada, por las personas afectadas, debiendo, en dicho supuesto, cancelarse los datos existentes sobre las mismas, excepto si estos datos pudieran serles obligatoriamente exigidos.

Excepciones a la necesidad de consentimiento

No se exige el consentimiento del afectado cuando:
  • El tratamiento tenga por finalidad proteger un interés vital del interesado.
  • El tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios siempre que dicho tratamiento se realice por un profesional o por otra persona sujeta asimismo a una obligación de secreto.
  • Se realice una comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de Salud para la atención sanitaria de las personas.
  • Otros supuestos en que por razones de interés general, así lo establezca una Ley.
¿Puede un centro médico dar información a los familiares del paciente?
¿Puedo comunicar datos de salud a través de Whatsapp?
Las herramientas gratuitas no se pueden utilizar de forma similar para el uso doméstico que para el profesional y empresarial, porque cuando actuamos profesionalmente nos estamos responsabilizando del tratamiento de datos de terceros.  Si es para solicitar o recordar una cita  con el paciente sí, pero no está permitido para gestionar cualquier tipo de información personal de ese paciente.
¿Cómo solicitar el consentimiento a los pacientes en sesiones por videoconferencia?
En caso de que la consulta se realice a través de videoconferencia puede solicitarse el consentimiento de forma verbal al paciente al comenzar la sesión. Otra opción, pero probablemente eso dependerá más del programa utilizado, sería que antes de producirse la conexión efectiva médico-paciente, a este se le presentara en su pantalla un texto que cumpliera las especificaciones de la LOPD y que no pudiera avanzar sin haberlo aceptado de una manera registrable por el sistema. Sin embargo hay que añadir que al producirse un movimiento de datos de salud por Internet estos deberán ir cifrados, por lo que habría que valorar mucho las condiciones de seguridad del sistema de videoconferencia y ver si cumple estos parámetros de seguridad.

consentimiento_sancionesSanciones

El Reglamento General de Protección de Datos incrementará de forma significativa las sanciones derivadas de su incorrecto cumplimento. Según el RGPD, el incumplimiento de los requisitos exigidos para el consentimiento en el tratamiento de datos personales será sancionado con multas administrativas de 20 millones € como máximo o, si es una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía.

Tipos de infracciones

La nueva LOPD considera infracciones muy graves:
  • El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento.
  • La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
Entre las infracciones graves están:
  • El tratamiento de datos de carácter personal de un menor de trece años sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.
  • No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de trece años o por el titular de su patria potestad o tutela.

Dudas frecuentes de las empresas

¿Necesitan las Administraciones Públicas consentimiento de los interesados para tratar sus datos?
No es necesario el consentimiento si los datos se recogen para ejercer funciones propias de las Administraciones cuando actúan en el ámbito de las competencias que les han sido legalmente atribuidas. En cualquier otro caso, es necesario el consentimiento de la persona afectada o titular de los datos personales para la recogida y el tratamiento de sus datos. Así pues, las personas afectadas deben consentir la recogida y el tratamiento de sus datos cuando las Administraciones quieran llevar a cabo actuaciones que no se deriven de las funciones que la ley les atribuye.
¿Pueden coger mis datos de las guías telefónicas?
Sí que lo pueden hacer. Las guías telefónicas son una fuente de acceso al público, y la ley permite que se puedan recoger los datos que constan en ellas sin el consentimiento de la persona afectada en los casos en que su tratamiento sea necesario para satisfacer el interés legítimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y las libertades fundamentales de la persona interesada. Cuando estos datos se destinen a la actividad de publicidad o prospección comercial, en cada comunicación dirigida a usted le tendrán que informar sobre el origen de los datos, la identidad del responsable del tratamiento y los derechos que le asisten. ¿Necesito consentimiento para utilizar cámaras de videovigilancia?

Modelos


Consentimiento de trabajadores
Autorización de clientes para la recogida de datos
Consentimiento de pacientes
Autorización para publicar imágenes
Consentimiento para curriculum
Recursos, plantillas, modelos...

¿Necesitas cumplir la LOPD?

Read more


Transferencias internacionales de datos y el Reglamento europeo de Protección de Datos

empresas acogidas al privacy shield

¿Somos conscientes de que al guardar nuestros datos en la nube estamos realizando transferencias internacionales de datos? ¿Son seguras esas transferencias? ¿Cuál es la situación actual de las transferencias internacionales de datos?

Y es que en la era de Internet, los datos se consideran la materia prima más deseada. Y no sólo para las empresas, que mediante el análisis de la información de sus clientes consiguen una oportunidad para aumentar sus negocios, sino también para los usuarios que, por primera vez, se han dado cuenta de que su rastro, la huella que dejan al navegar por Internet, puede utilizarse como moneda de cambio para conseguir ciertos servicios.

Transferencias internacionales y el nuevo Reglamento europeo de Protección de Datos

Tenemos que comprender que cuando guardamos ficheros con datos personales en Dropbox o Google Drive, usamos servidores de Google para guardar emails de personas físicas o efectuamos campañas de mail marketing usando Mailchimp, realizamos transferencias internacionales de datos.

Hasta el momento, estas transferencias se regulaban por el Acuerdo de Safe Harbor o Puerto Seguro dispuesto entre la UE y EEUU, al que estaban incorporadas las empresas que ofrecían un nivel de protección de los datos personales conforme al nivel exigido por las regulaciones de la Unión Europea. No obstante, en octubre de 2015, ese Acuerdo queda anulado por el Tribunal de Justicia de la Unión Europea.

Como consecuencia de la derogación del Acuerdo, la Agencia Española de Protección de Datos comunicó a todas las empresas que hubieran comunicado en los ficheros que inscribieron en el Registro General de Protección de Datos la transferencia de datos a EEUU como Puerto Seguro, exigiéndoles que adaptaran sus transferencias internacionales a la normativa o interrumpieran las mismas.

¿Cómo adaptar las transferencias internacionales de datos a la normativa?

Para adaptar esas transferencias de datos a EE.UU. es necesario cumplir los siguientes requisitos:

  • Pedir autorización a la AEPD, salvo que esa transferencia se encuentre en alguno de los supuestos excluidos de autorización por la LOPD.
  • Firmar un contrato entre el responsable de los ficheros (exportador) y el encargado del tratamiento (importador). Este contrato debe cumplir las Cláusulas contractuales tipo recogidas en la Decisión 2010/87/UE de la Comisión para la transferencia de datos personales a encargados del tratamiento que se encuentren en terceros países.

Excepciones a la necesidad de autorización

Los supuestos en los que no se necesitará el permiso previo del Director de la AEPD son:

  • Cuando la transferencia internacional de datos personales sea resultado de la aplicación de tratados o convenios ratificados por España.
  • Si la transferencia se realiza con el fin de brindar o requerir auxilio judicial internacional
  • En caso de que la transferencia sea precisa para la prevención o para el dictámen médicos, el servicio de asistencia sanitaria o tratamiento médico o la administración de servicios sanitarios.
  • Cuando aluda a transferencias dinerarias según su legislación aplicable.
  • En caso de que el afectado haya otorgado su consentimiento expreso a esa transferencia.
  • Cuando se requiera la transferencia para el cumplimiento de un contrato entre el afectado y el responsable del fichero o para imponer medidas precontractuales a solicitud del afectado.
  • Cuando la transferencia sea necesaria para la firma o cumplimiento de un contrato firmado o por firmar, en interés del afectado, por el responsable del fichero y un tercero.
  • Si esa transferencia es necesaria o legalmente exigida para amparar un interés público. Será considerada como tal la transferencia exigida por una Administración fiscal o aduanera para el desempeño de sus funciones.
  • En caso de que la transferencia sea imprescindible para el reconocimiento, ejercicio o protección de un derecho en un procedimiento judicial.
  • Si la transferencia se realiza, a petición de persona legítimada, desde un Registro público y aquélla sea conforme a la finalidad del mismo.

Situación tras el Reglamento europeo de Protección de Datos

En las transferencias internacionales de datos no se producen cambios significativos de los sistemas actuales ya conocidos como la determinación por parte de la Comisión del los países designados como “puertos seguros“, transferencias mediante garantías adecuadas o normas corporativas vinculantes, incluso del propio consentimiento del afectado, pero sí que se incorpora una transferencia en casos de “intereses legítimos imperiosos” por parte del responsable del tratamiento que veremos en que se traduce.

Consentimiento del interesado

El Reglamento indica que a falta de los instrumentos anteriores, se podrá realizar transferencias de datos a países sin un nivel adecuado de protección si se observan alguna de las siguientes condiciones, es decir estamos ante probables excepciones para la transferencia, y no tienen que concurrir todos los requerimientos sino que con uno de ellos ya sería válida; entre ellos, podemos recalcar como siempre, el consentimiento, pero aquí sería un consentimiento reforzado: el interesado haya consentido expresamente esa transferencia planteada, después de ser informado de los eventuales riesgos para él de esas transferencias a causa de la ausencia de una decisión de adecuación y de garantías adecuadas.

Interés público o ejecución de un contrato

También acepta las transferencias de datos cuando sea precisa para poder ejecutar un acuerdo entre el interesado y el responsable del tratamiento; cuando sea necesaria para la realización o ejecución de un contrato, en beneficio del interesado, entre el responsable del tratamiento y una tercera persona física o jurídica; cuando sea necesaria por razones importantes de interés público; o si es necesaria para la presentación, el ejercicio o la defensa de reclamaciones.

Intereses legítimos

Finalmente, abre otra vía como posible cajón desastre cuando no se ajusten a ninguna de las opciones establecidas, y menciona la figura de los “intereses legítimos imperiosos“. De acuerdo a esto, podrían efectuarse transferencias internacionales de datos cuando no reúnan los requisitos anteriores cuando:

  • No sea repetitiva, es decir, que se produzca una única vez.;
  • Afecte a un número ilimitado de personas;
  • Se informa a la autoridad de control correspondiente y se informa a los interesados sobre la transferencia y los intereses legítimos en los que se basa la misma.

Aprobación del Privacy Shield

El día 12 de julio la Comisión Europea aprueba un nuevo marco normativo entre Europa y Estados Unidos en materia de protección de datos llamado “Escudo de Privacidad”, donde proclama como correctas las transferencias internacionales efectuadas a empresas en Estados Unidos siempre que estas se adapten a ese marco normativo.

Así, las empresas norteamericanas que lo deseen podrán certificarse a partir del 1 de agosto de 2016 y podrán importar datos de carácter personal sin necesidad de que las entidades europeas exportadoras necesiten pedir autorización a las distintas Autoridades Europeas en materia de Protección de Datos.

Efectos del Privacy Shield

El Escudo de Privacidad o Privacy Shield supone una serie de ventajas para las empresas que utilicen proveedores americanos para almacenar o tratar datos personales. Se intenta garantizar que los datos que se transfieran gozarán de un nivel de protección equiparable al nivel europeo. Si comparten datos con otra compañía también ésta deberá adherirse al acuerdo y tendrán obligación de revisar su cumplimiento anualmente.

Obligaciones más rigurosas

El Departamento de Comercio Estadounidense estará autorizado a realizar exámenes y modificaciones regulares a las entidades adheridas al Escudo de Privacidad para garantizar que se adaptan al marco normativo. Como novedad se indica que en el supuesto de transferencias siguientes a terceras empresas desde una entidad incorporada al Escudo de Privacidad, esos terceros deberán asegurar el mismo nivel de protección.

Mayor claridad en el acceso a datos por la Administración norteamericana.

La supervisión indiscriminada de datos que se efectúa por las autoridades americanas se someterá a limitaciones, garantías y mecanismos de supervisión. Además, la Secretaría de Estado norteamericana ha incluido la posibilidad de que los ciudadanos europeos puedan reclamar el tratamiento de sus datos personales por las autoridades americanas a través de un procedimiento de arbitraje integrado en el Departamento de Estado e independiente de las Agencias Nacionales de Seguridad norteamericanas.

Protección real de los derechos individuales

Los ciudadanos europeos cuentan con varias opciones de recurso frente a entidades privadas, entre las que están: Ante la propia entidad incorporada al Escudo de Privacidad, que debe solventar en un plazo máximo de 45 días; Mediante un sistema extrajudicial y gratuito de resolución de litigios; Ante las Autoridades nacionales europeas de protección de datos, que cooperarán con la Comisión Federal de Comercio norteamericana para garantizar que las reclamaciones presentadas por los ciudadanos europeos son investigadas y solucionadas; De forma complementaria, si no se ha resuelto por los mecanismos anteriores, se dispone un mecanismo de arbitraje.

Verificación conjunta anual de la eficacia del Escudo de Privacidad

Por la Comisión Europea y el Departamento de Comercio de Estados Unidos.

Con Privacy Shield se pretende fortalecer las condiciones para las transferencias internacionales de datos a terceros, asegurando el mismo nivel de protección que en el caso de una empresa afiliada al acuerdo. Si las empresas no observan las cláusulas harán frente a duras sanciones e incluso a ser excluidas del marco del convenio.

Soy una empresa española, ¿cómo me puedo beneficiar del Privacy Shield?

El Acuerdo de Escudo de la Privacidad permitirá a las empresas españolas utilizar servicios ofrecidos por empresas estadounidenses de forma más rápida y sencilla, sin necesidad de contar con el consentimiento inequívoco del afectado y sin tener que esperar a la autorización por escrito de la Directora de la AEPD. La forma para beneficiarse de este acuerdo es sencilla: cuando la empresa española quiera comenzar a usar los servicios de una empresa estadounidense que suponga el tratamiento de datos en aquel país, tan solo tendrá que revisar que dicha empresa americana está en el listado del Acuerdo del Escudo de Privacidad. Esto querrá decir que la esa empresa se ha comprometido a seguir las reglas del acuerdo y someterse a ellas. Las empresas estadounidense que podrán empezar a usarse serán las que ofrecen servicios como Google Drive, MailChimp, servicios de hosting, Páginas de empresa en Facebook, cuentas corporativas en Twitter… en la medida en que estas sociedades acepten el Acuerdo, lo cumplan y pasen a formar parte de la Privacy Shield List.

¿Cómo puedo saber si mi proveedor está adherido al Privacy Shield?

Una empresa estadounidense que nos ofrece servicios está cumpliendo con el Privacy Shield si está incluida en el listado que aparece en la web del Departamento de Comercio de Estados Unidos. Las empresas que quieran adherirse, deben autocertificarse. La autocertificación implica unos requisitos para la empresa solicitante:
  • Deberá publicar una Política de Privacidad que cumpla con los principios del acuerdo
  • Identificar los tipos de recursos disponibles para investigar las reclamaciones sin resolver y resolución de conflictos
  • Asegurarse de que el mecanismo de verificación es el correcto
  • Designar una persona de contacto dentro de la misma empresa, para que se ocupe de los temas relativos al "Privacy Shield".

¿En qué supuestos son de aplicación las llamadas reglas corporativas vinculantes?

Las normas corporativas vinculantes son una herramienta que puede ser usada para proteger adecuadamente los datos personales cuando se transfieren fuera la Unión Europea. Son un instrumento potenciado por la Unión Europea, enfocado a flexibilizar los movimientos internacionales de datos personales entre un grupo de empresas multinacionales con filiales establecidas incluso fuera del Espacio Económico Europeo.  

Read more


Autorización necesaria para fotografías de niños en colegios

consentimiento fotos niños colegios

¿Debe un colegio recoger el consentimiento de los padres para colgar fotos de actividades donde aparecen los niños, en su blog?

Esta es la consulta que nos propone una lectora del blog, y para responderla tenemos por parte del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) el Informe 0194/2009, que trata precisamente este asunto. Y la respuesta aplica lo mismo para publicaciones en internet como para otras en libros, anuarios, revistas, etc...

Read more


Envíos publicitarios a personas y empresas que figuran en fuentes accesibles al público

El concepto de fuentes accesibles al público y la posibilidad de envíos publicitarios con estos datos es uno de los que más dudas y consultas motivan en el sector de protección de datos.

En el informe 0105/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) se responde a una consulta que plantea si resulta conforme a la normativa de protección de datos el envío de comunicaciones publicitarias, relativas a los servicios que presta la empresa consultante, a empresas o personas que aparecen en las guías telefónicas o en las guías de colegiados que reparten los colegios oficiales.

Tipos de envíos publicitarios

A la hora de abordar la cuestión planteada en la consulta debe tenerse en cuenta el medio por el que va a llevarse a cabo la publicidad, ya que si se trata de comunicaciones electrónicas resulta de aplicación lo dispuesto en la Ley de Servicios de la Sociedad de la Información (LSSI), mientras que en los envío de tipo postal sólo consideraremos la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

Será posible el envío de publicidad, siempre y cuando los datos de las personas a quienes se remita se encuentren en fuentes accesibles al público. Es decir, según la LOPD, serían las siguientes: el censo promocional; los repertorios telefónicos; las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo; los diarios y boletines oficiales y los medios de comunicación.

Cesión o acceso a datos por terceros

También es preciso recordar que si recurrimos a una empresa externa para que realice las campañas de publicidad  o utilizamos plataformas externas de email marketing, esto se considera una cesión de datos, por lo que será necesario considerar las particularidades de la empresa y si cumple con la LOPD, así como firmar un contrato de acceso a datos por cuenta de terceros.

¿Cómo cumplir la LOPD y LSSI en campañas de email marketing?

La LOPD debe cumplirse ya que normalmente, para la realización de estas campañas, se usan datos personales de los suscriptores (por ejemplo el nombre y la dirección de correo electrónico), por lo que es necesario inscribir un fichero de datos en la Agencia Española de Protección de Datos. Por otro lado, en caso de usar una plataforma de correo electrónico que está ubicada fuera de la Unión Europea, se está efectuando una Transferencia Internacional de Datos, por lo hay que averiguar si la empresa a la que vamos a hacer esa transferencia cumple todos los requisitos de seguridad exigidos.

La LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio electrónico) en una de sus secciones regula las llamadas comunicaciones electrónicas. Esta ley establece como obligatorio que se haya especificado un permiso expreso por parte del receptor del correo.

Según la LSSI, es ilícito enviar emails a direcciones recogidas de fuentes públicas, de bases de datos compradas, cedidas, regaladas, etc. Se exige un permiso expreso de los suscriptores, de lo contrario estaremos cometiendo una infracción que puede considerarse como leve (sancionada con multas de hasta 30.000€) o como grave (multas de hasta 150.000€). La única excepción posible ante el consentimiento expreso es que haya existido una relación comercial previa y demostrable con el usuario al que se ha enviado el email.

Read more


Consentimiento para el tratamiento de datos de menores de edad

ley de proteccion de datos menores
Esta mañana he recibido una consulta en el blog que me ha dado la idea para escribir este artículo. Una madre me pregunta sobre el consentimiento que debe otorgar para que puedan hacer fotografías a su hija de 7 años en un campamento y publicarlas. Creo que en esta época del año y con muchos menores en campamentos o escuelas de verano es un tema que preocupará a muchos padres.

El tratamiento de datos de menores de edad requiere de una vigilancia especial, ya que por parte de la Agencia Española de Protección de Datos (AEPD) se exige un mayor rigor cuando el consentimiento se obtiene de un menor, debido a que va dirigido a una persona más vulnerable que aún no está totalmente formada.

Consentimiento necesario para tratar datos personales de menores

La LOPD establece una protección especial para los menores de edad al considerarlos como el sector más frágil y por su dependencia de los padres o tutores legales. Por ello se exige más rigor en el cumplimiento de los requisitos de la normativa de Protección de Datos.¿Dónde está la frontera de edad respecto a quién se considera capacitado para proporcionar ese consentimiento? El artículo 13.1 del Reglamento LOPD indica:

Artículo 13.1 del Reglamento LOPD

Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.

Necesidad de consentimiento para menores de 14 años

En caso de menores de 14 años o incapaces, se exigirá en todo caso el consentimiento de sus padres o tutores legales para tratar sus datos personales. Este consentimiento será igual al exigido en otros casos a los afectados por el tratamiento con la diferencia de que quien debe otorgarlo es el representante legal del menor. Los requisitos exigidos por la LOPD para que el consentimiento sea válido son que debe de ser libre, inequívoco, específico e informado.

Evita sanciones y cumple con la LOD

Es el responsable del fichero quien debe garantizar que el consentimiento obtenido es válido y, por ello, debe asegurarse de que la persona que presta ese consentimiento es quien está capacitada para ello. Lo normal es que el responsable del fichero exija el DNI u otra forma de identificación a esa persona.

Información sobre el tratamiento de los datos personales

Al solicitar el consentimiento, el responsable del fichero debe informar de forma clara y concisa de una serie de aspectos como:

  • De la existencia un fichero de datos de carácter personal, de la finalidad para la que se recogen éstos y de los receptores de la información.
  • Del carácter forzoso o voluntario de su respuesta a las preguntas que les sean propuestas.
  • De los efectos de la recogida de los datos o de la negativa a facilitarlos.
  • De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
  • Del nombre y dirección del responsable del tratamiento o, en su caso, de su representante.

Modelo para informar de la recogida de datos y solicitar el consentimiento

La AEPD establece un modelo de solicitud de consentimiento que reúne los requisitos establecidos por la ley teniendo en cuenta que, en el caso de menores entre los 14 y los 18 años, y debido que el consentimiento puede ser otorgado por los propios menores como afectados por el tratamiento, se establece la obligación de usar un lenguaje claro y accesible para los menores.

En ese modelo de consentimiento se indicará la finalidad de la recogida y tratamiento de los datos, los destinatarios de la información, la forma de ejercer los derechos ARCO y la identidad y dirección del responsable del fichero.

Prueba del consentimiento

En cuanto a la demostración de ese consentimiento, el articulo 12 del Reglamento señala que es el responsable del fichero quien debe probar la existencia de ese consentimiento por cualquier medio admisible, y cuando se trata de menores de edad se establecen en el Reglamento mayores exigencias, así se atribuye al responsable del fichero el establecer los procedimientos para garantizar que se ha comprobado válidamente la edad del menor y la legitimidad del consentimiento otorgado por los padres o tutores legales.

Los datos personales de menores de 14 años sólo pueden ser recogidos y tratados con el consentimiento expreso de sus progenitores o tutores legales.

La norma no exige un procedimiento determinado, dejando libertad al responsable del fichero para establecer el que considere adecuado.

Consentimiento prestado por menores de edad

Los menores entre 14 y 18 años pueden prestar ellos mismos el consentimiento para tratar sus datos personales ya que se considera que tienen condiciones suficientes de madurez para ello. En este caso sólo se exige que el lenguaje utilizado sea comprensible para ellos y que el consentimiento reúna los requisitos de libertad, información, certeza y concreción.

Debe tenerse en cuenta, además que el artículo 18 del Reglamento impone al responsable del fichero o tratamiento la obligación de conservar los documentos o cualquier otro soporte empleado que garantice el cumplimiento del deber de información. Para el depósito de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá escanear la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no se ha producido alteración alguna de los soportes originales.

Límites al tratamiento de datos de menores

No se puede recabar ni tratar cualquier dato de los menores, la ley establece límites como:

  • No se pueden solicitar datos que permitan obtener información relativa a otros componentes de la familia o sobre sus características como pueden ser los datos referidos a la profesión de los padres, situación económica, datos sociológicos o cualesquiera otros, sin el debido consentimiento de los titulares de tales datos.
  • Sólo pueden solicitarse los datos de identidad y dirección de los padres o tutores con la finalidad de obtener el consentimiento necesario.

Podemos concluir, por tanto, que los datos personales de menores de 14 años sólo pueden ser recogidos y tratados con el consentimiento expreso de sus progenitores o tutores legales y que para obtener ese consentimiento es necesario informarles previa y claramente sobre las finalidades de ese tratamiento y la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición así como la dirección del responsable de ese fichero.

Tratamiento de datos de menores en el colegio o en actividades extraescolares

En estos lugares se tratan múltiples datos de menores y, por tanto, es necesario cumplir la LOPD. En caso de actividades extraescolares realizadas en lugares ajenos al centro escolar se debe respetar también el derecho fundamental a la Protección de Datos y así, la captación de fotos de los niños y su uso posterior en alojamientos, actividades deportivas etc. debería realizarse con el conocimiento y el consentimiento de los padres o con el del niño, si fuera mayor de catorce años.

Es habitual que los colegios tengan perfiles en las redes sociales donde se publican imágenes de los estudiantes en excursiones, competiciones y todo tipo de actos. También hay profesores que hacen fotos a los alumnos en el recreo para después enviárselas a los padres o a los representantes del colegio para publicarlas en revistas o anuarios.

Otro caso especialmente grave es el hecho de descargar determinadas aplicaciones educativas por los profesores, con un proveedor extranjero, y utilizarlas aunque tengan que incluir información personal de los alumnos.

Publicación de fotos de menores

ejemplos proteccion de datos

Multa de la AEPD de 601 € a una Academia de música por publicar en unos carteles publicitarios la foto de un menor en un concierto sin el consentimiento de los padres. O 1000 € a un fotógrafo por publicar en un concurso una foto de un menor sin el consentimiento de sus progenitores.

Es conveniente educar al menor informándole sobre su privacidad y, sobre todo, en las redes sociales, tan habituales hoy en día para los menores. Los menores no son conscientes normalmente de la importancia que tiene la publicación de fotos u otros datos personales en las redes sociales. Deben aprender la importancia que tiene preservar su intimidad y no exponer públicamente su imagen.

Los principales peligros a los que están expuestos los menores en las redes sociales son: acceso a contenidos inapropiados para su edad, probabilidad de comunicarse online con usuarios malintencionados y la información personal publicada por ellos mismos o por terceros.

Los niños son especialmente vulnerables en el entorno de Internet. Las ofertas que reciben en páginas web, foros, o chats les atraen fácilmente. Debe acompañarse a los menores en la navegación, especialmente al principio, ayudarles a diferenciar peligros existentes, asegurarse de que los niños no accedan a Internet a través de entornos no confiables o de que no intercambien datos personales ni fotografías con desconocidos.

Si tu hijo va a participar este verano en cualquier campamento o competición en el cual se les hagan fotos que luego van a aparecer en las redes sociales, asegúrate de haber dado tu consentimiento para ello. Y, sobre todo, ten en cuenta que estos datos subidos a la red ya no pueden borrarse.

¿Necesitas cumplir la LOPD?

Read more


Pokemon Go: todos nuestros datos expuestos

aplicacion movil pokemon

Mi sobrino se ha vuelto loco con un nuevo juego que consiste en capturar unos bichos que son una mezcla entre ratón y conejo llamados pokemon. Se trata de un nuevo juego de Nintendo en realidad aumentada que está causando furor en todo el mundo. Mediante el geoposicionamiento y el uso de la cámara del móvil, los jugadores pueden salir de casa para capturar pokemon en el mundo real.

Este innovador videojuego casi está superando a Twitter en usuarios diarios y ha hecho que Nintendo se dispare en bolsa, sin embargo, no todo son alabanzas. Debemos tener cuidado con nuestra privacidad al utilizarlo.

La AEPD investiga a Pokemon Go

La Agencia Española de Protección de Datos (AEPD) mantiene abiertos actualmente varios casos de posible violación de los derechos que están involucrados en Pokemon Go y varios juguetes que permita grabar la voz y la imagen de los niños que interactúan con ellos. Se espera que sea notificado en las próximas semanas. Así lo indicó la directora de la AEPD, Mar España, en su comparecencia en la Comisión Constitucional del Congreso, donde explicó que en el caso del juego en el que se capturan los personajes de la serie Pokemon, están trabajando para determinar si su política de privacidad es compatible con la legislación española en esta materia. Más complejas son las investigaciones que se están llevando a cabo por la filtración de los datos registrados en los productos de VTech, que afecta principalmente a los juguetes y, por lo tanto, afecta sobre todo a los niños. "Se trata de empresas de los Países Bajos y Hong Kong", dijo Mar España, quien advirtió que no puede dar más detalles hasta que finalicen las investigaciones. La AEPD está analizando estos muñecos que se conectan a Internet y captan la voz y la imagen de los menores que juegan con ellos debido a la "gran alarma" generada entre los ciudadanos.

Pokemon Go y privacidad

Se ha descubierto un grave riesgo de seguridad en este famoso videojuego y es que, mientras nosotros jugamos, la aplicación tiene acceso a todos nuestros datos en Google.

De hecho, para poder jugar, la aplicación nos pide obligatoriamente acceso a nuestra cuenta de Google sin informarnos de qué datos son a los que va a acceder.

Datos a los que Nintendo tiene acceso

Cuando entramos en nuestro perfil de seguridad de Google podemos ver que Pokemon Go tiene un acceso total a todos nuestros datos. Esto significa que puede acceder a:

  • Leer todos nuestros correos electrónicos
  • Mandar correos electrónicos a nuestro nombre
  • Acceder a nuestros archivos en Google Drive, incluidos los eliminados
  • Entrada al historial de navegación, búsquedas, mapas y ubicaciones
  • Acceso a todas nuestras fotos
  • Y en general a toda la información acumulada en Google

Con estos accesos la aplicación no solo puede ver sino que también puede modificar toda la información de nuestra cuenta de Google.

Para acceder al juego existen dos métodos: a través de nuestra cuenta de Google o activando una cuenta en Pokemon.com. Sin embargo, esta última de momento no es posible crearla así que no nos queda más remedio que utilizar la cuenta de Google. Una vez que seleccionamos esta opción nos aparece la pantalla de acceso a los servicios de la compañía pero en ningún momento se nos informa de a qué datos va a acceder la aplicación.

¿Qué podemos hacer?

La única solución que tenemos en este caso es revocar el acceso a la aplicación, es decir, no tendremos la posibilidad de jugar hasta que la empresa nos avise de qué ocurrió y solucione este fallo con la opción de crear una cuenta en la propia aplicación o que la web de Pokemon habilite la opción de crear cuentas.

Actualización de Pokemon Go

Nintendo ha corregido los problemas de privacidad surgidos con la primera versión de Pokemon Go con una nueva versión disponible en Google Play y App Store. Debemos descargar la actualización 1.0.1 de Pokémon Go, cerrar sesión dentro del juego y volver a entrar.

En España, donde se ha publicado oficialmente la aplicación el viernes día 15 de julio, es necesario descargar de nuevo la app actualizada en el caso de Android, o iniciar sesión con una cuenta de otro país en el caso de iOS.

La empresa encargada del desarrollo de la aplicación ha indicado que ese fallo de seguridad se ha debido a un error de programación ya que la app sólo debía tener acceso a la ID y al correo electrónico.

El hecho de que una aplicación tenga un acceso total a nuestros datos de la cuenta de Google es muy valioso para los piratas informáticos debido a que se les pone en bandeja multitud de datos personales. Para evitar esto, aconsejo a todos los que ya se hayan descargado este videojuego que lo actualicen para proteger sus datos personales. ¡No te preocupes!, no perderás tus pokemon.

Otros peligros de usar Pokemon Go

Aparte de los problemas de privacidad originados con esta aplicación, existe otro peligro y es que en países donde aún no se ha lanzado oficialmente la aplicación, circula una versión pirata de la misma que introduce un 'software' espía conocido como DroidJack el cuál puede ver a través de la cámara, rastrear la ubicación, interceptar los mensajes de texto o escuchar las llamadas.

¿Cómo proteger nuestros datos al usar aplicaciones móviles?

El aviso de privacidad que aparece en los móviles para aprobar cualquier petición durante la instalación de una aplicación muchas veces puede comprometer la privacidad de forma engañosa. Algunas aplicaciones dicen que pueden proporcionarles nuestros datos a los organismos de seguridad o empresas privadas con la finalidad de contestar a peticiones legales, o por su propia voluntad.

Muchos de estos juegos no solo ingresan dinero por su venta o por las interacciones dentro del juego, sino que también recogen datos sobre los hábitos de los usuarios y se los venden a otras empresas.

Entonces, ¿qué podemos hacer para proteger nuestra privacidad?

  • Leer la letra pequeña antes de aceptar la instalación de una aplicación.

Pokémon Go está diseñado para rastrear tu ubicación. Y, al igual que otras aplicaciones, su política de privacidad le autorizar para facilitar todos tus datos personales a entidades de seguridad y a empresas privadas que formulen peticiones legales o por cualquier actividad que consideren poco ética o legalmente comprometida.

También puede compartir tu información personal con otras empresas con el propósito de "investigación y estudios, perfiles demográficos y otras actividades similares”.

  • Revisar las aplicaciones desarrolladas por terceros.

Debemos revisar regularmente el acceso otorgado a través de plataformas como Google o Facebook ya que, la mayoría de aplicaciones utilizan esas plataformas para autentificar cuentas.

¿Qué opinan los expertos en videojuegos sobre Pokemon Go?

Me he puesto en contacto con diferentes blogs expertos en videojuegos para conocer su opinión sobre el nuevo juego que está revolucionando el mundo virtual y sobre cómo se trata la privacidad o se puede evitar introducir software espía al descargarlo.

La opinión de Paredes Digitales

Guillermo Paredes, administrador y redactor de la web Paredes Digitales, web encargada de informar sobre PlayStation 4 a través de noticias, reportajes, análisis y videos, me comenta que: "Pokemon Go es un juego en el que, en el momento de instalar la aplicación, se nos pide permiso para acceder a nuestra cuenta de Gmail. Aceptando este permiso la aplicación podía acceder a todos nuestros datos de correo electrónico (contactos, fotos, documentos). De hecho ante la reticencia de los usuarios de permitir esta visibilidad total del email personal se ha tenido que lanzar una actualización para evitarlo y de paso rectificar.

Además Pokemon Go es un juego que se basa en la geolocalización, por una lado, permitiendo que se sepa en todo momento donde está el jugador y, por otro, se permite el acceso a la cámara del móvil.

El mejor consejo que se puede dar en términos de privacidad es por un lado leerse la Política de Privacidad del juego, eso que todo el mundo decide ignorar y simplemente desplazarse hasta el final para aceptarla sin haber leído nada. Leyendo el documento el jugador será consciente de qué privacidad tiene en concreto y qué información está dejando ver y que utilice la empresa. También puedes ir al apartado APLICACIONES de tu smartphone para ver qué aplicaciones están conectadas a tu cuenta.

Para finalizar, si no estás convencido o hay algún aspecto que te echa para atrás lo mejor es no descargar la aplicación".

Criterio de Pixfans

Por otra parte, Juan Gestal, administrador de la web Pixfans, blog de videojuegos, tecnología y temas de ocio en general, me indica que, aunque no está seguro de cómo Pokemon Go trata los datos personales que recopila y, sobre todo, los datos de ubicación, piensa que los guardará pero que eso deberá aparecer reflejado en sus condiciones de uso.

En cuanto al software espía, Juan manifiesta que "la única forma de protegerse es descargando el juego directamente desde la App Store o desde Google Play, es decir, desde los sitios oficiales. 

En iOS descargarse el juego de un sitio no oficial es complicado, porque ya requiere que el teléfono esté pirateado. Lo que había que hacer para bajarlo antes de que estuviese disponible en España era crear una cuenta americana y ya se podía descargar, pero se descargaba desde la propia App Store, así que no había riesgos. Además las aplicaciones en iOS no pueden salirse de su 'sandbox' o caja de arena. Es decir, no pueden hacer daño a otras o al sistema y el malware en la plataforma es escaso o nulo, o está presente simplemente en los teléfonos y tabletas pirateados. 

Por otra parte, Android sí permite instalar aplicaciones fuera de la tienda oficial. Si los usuarios se descargan el Pokemon Go desde una página web, no hay garantías de que se estén descargando la aplicación oficial o que ésta esté modificada de alguna manera para incluir malware".

Read more


Riesgo de spam utilizando WhatsApp y Google Plus

whatsapp-190x190Las "modas" y los "gurús" están muy bien para las revistas y los programas de televisión de entretenimiento, pero en el mundo empresarial hay que tener cuidado con según qué consejos. En los últimos días se han visto varios artículos, incluso informaciones en televisión, hablando de las ventajas en el uso empresarial de la aplicación de mensajería WhatsApp para el contacto con clientes, pero en ninguna de ellas se hace la más mínima referencia al cumplimiento de la Ley de Servicios de la Sociedad de la Información (LSSI), y por eso en este post se advierte de los riesgos que puede conllevar, tanto la citada plataforma como alguna de las opciones de la red social Google Plus.

¿Qué es el spam?

El término SPAM o correo basura se usa para referirse a los mensajes no solicitados que recibimos tanto en el correo electrónico como en el teléfono móvil o a las aplicaciones de mensajería mientras estamos chateando. Son mensajes que se envían desde un remitente desconocido y normalmente son de tipo publicitario, aunque también se pueden utilizar para propagar virus.

Recordemos que según la LSSI en su artículo 21.1:

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Spam en WhatsApp

Puesto que WhatsApp incorpora como contacto a todos los números que tengamos en la agenda del móvil donde se instala la aplicación, encontraremos al abrir ésta que todos ellos están a disposición de enviarles cualquier contenido. Sin embargo el hecho de que ambas partes hayan instalado el servicio no equivale bajo ningún concepto a un consentimiento en los términos de la LSSI y por tanto deberíamos revisar nuestra relación con ellos uno a uno para comprobar la legalidad de una posible comunicación comercial.

En este sentido el párrafo 2 del artículo citado indica:

Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

Spam en Google+

Respecto a Google Plus hay que señalar que esta red social incluye la posibilidad de que al publicar un contenido, éste sea enviado por correo electrónico a todos los usuarios que haya sido introducidos en un de los círculos mediante los cuales la plataforma permite organizar a quien se sigue. Pero el hecho de que se introduzcan en círculos a potenciales clientes no equivale bajo ningún concepto a un consentimiento como el que se alude en la ley (ni siquiera si ellos ponen a la empresa a vez en uno de sus círculos).

Por tanto hacer esa acción pone en riesgo de ser denunciado ante la AEPD y recibir una sanción por spam.

Como resumen, y en vista del continuo estado cambiante de las tecnologías de la información, hay que recordar que usar unas u otras no modifica la legislación vigente y que antes de lanzarse a utilizar estas novedades debemos revisar el tipo de relación que tenemos con los contactos generados para ver si entran dentro del margen de actuación que permite el artículo 21 de la LSSI.

Y finalmente no olvidar el cierre del artículo, donde se señala:

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Consejos para prevenir el spam

Por desgracia no existe una forma de evitar completamente el SPAM, salvo que nos desconectemos de Internet, pero sí se pueden seguir unas recomendaciones que ayudan a restringir notablemente la cantidad de mensajes basura que llegan a nuestras cuentas.

  • No envíes ni participes en mensajes en cadena. Estos mensajes son normalmente un tipo de engaño que tienen como objetivo recopilar el mayor número de direcciones de correo posibles.
  • Si quieres enviar mensajes a varios destinatarios, debes hacerlo siempre con copia oculta (CCO) para evitar que un destinatario vea y pueda hacerse con el correo electrónico de los demás destinatarios.
  • No divulgues una dirección privada en sitios webs, foros, conversaciones online o redes sociales. Con ello permites que los spammers (personas que envían spam) puedan acceder fácilmente a ella. Si es necesario publicar la dirección de correo electrónico en alguna web, es aconsejable, siempre y cuando el programa lo permita, que se usen las expresiones at o arroba en vez de @, para impedir que los programas autores de spam puedan hacerse con la dirección de correo electrónico.
  • Si vas a navegar o a registrarte en sitios de baja confianza, debes hacerlo con cuentas de mails específicas para ese fin. Algunos servicios de webmail establecen esta funcionalidad: aseguran la dirección de correo electrónico, mientras es posible publicar otra cuenta y gestionar las dos desde el mismo lugar.
  • Para ese mismo objetivo, también es recomendable usar cuentas de correo temporales y desechables para facilitarlas en los casos en los que no se conozca o no se confíe en la persona destinataria, guardando una dirección personal para uso personal únicamente (familiares, amigos) y otra de carácter laboral o profesional, que sólo se debe suministrar a aquellas personas u organizaciones que conozcamos o en las que tengamos suficiente confianza.
  • Escoge una dirección de correo electrónico que sea difícil de averiguar o de crear por los programas informáticos, ya que los spammer disponen de este tipo de programas que generan automáticamente posibles direcciones de correo electrónicos usando combinaciones con listas de palabras que suelen incluir campos como alias, apellidos, meses del año o días se la semana, nombre de lugares o de ciudades, signos del zodíaco, etc.
  • No contestes nunca a este tipo de mensajes ni pulses sobre los anuncios de correo basura, ya que con esto sólo se corrobora la dirección de correo electrónico y sólo se consigue recibir más correo basura. Por ello, es recomendable desactivar la opción de envío de acuse de recibo automático, ya que si un spammer recibe dicho acuse confirmará que esa dirección está activa. De esta forma, y al provenir la mayoría de dichos mensajes del extranjero, no tienen integrado el procedimiento sencillo y gratuito para solicitar no recibir más mensajes por parte de los destinatarios.
  • Lee detenidamente las Políticas de Privacidad de las empresas antes de facilitar cualquier tipo de dato personal como es la dirección de correo electrónico, ya que muchas veces se ceden los datos inconscientemente a las delegaciones de estas empresas o bien sin darnos cuenta estamos dando de alta una suscripción en boletines comerciales. Por ello es bueno recoger y almacenar las páginas en las que se ha realizado algún tipo de operación y conservar todos los datos identificadores. Igualmente, los mensajes sospechosos deben leerse en formato texto y no en formato html y es conveniente desactivar la previsualización de los correos.
  • Mantén al día el sistema informático, mediante un mantenimiento adecuado e incluyendo las actualizaciones y parches que subsanen los fallos detectados en los programas. Estas actualizaciones suelen encontrarse en las propias páginas web de los fabricantes y su descarga e instalación normalmente es rápida y gratuita. Asimismo, es conveniente instalar un programa antivirus fuerte así como un cortafuegos para impedir la instalación de software malicioso.
  • Algunos filtros de correo son muy efectivos evitando gran cantidad de spam, pero ninguno actúa tan bien como para poder olvidar e ignorar estos simples consejos que, si los utilizamos apropiadamente, nos ayudarán a recibir menos correo no deseado. Además, otra característica negativa de los filtros es que algunos funcionan de forma tan sensible que acaban filtrando correo normal. Algunos de ellos son de pago.
  • Por último, debemos mencionar también los derechos de acceso o cancelación que poseen todos los usuarios sobre sus datos personales ante estas empresas. Estos derechos se recogen en la LOPD, así como en el Reglamento de desarrollo de la misma.

Read more


LOPD y datos de profesionales autónomos

ley de proteccion de datos para autonomos

Nos consulta un lector que proyecta un sitio web directorio de empresas en qué puede afectarle la Ley Orgánica de Protección de Datos (LOPD). De hecho, si preguntamos a gran parte de los profesionales autónomos sobre el cumplimiento de esta normativa, la mayoría no sabe ni qué es esto.

Los autónomos, al igual que cualquier otra empresa, entidad u organismo, en cuanto recogen y tratan datos personales de sus clientes o proveedores, están sujetos a la normativa de Protección de Datos.

Cómo afecta la LOPD en el tratamiento de los datos personales de autónomos

Con carácter general sabemos que la LOPD se aplica exclusivamente a datos de personas físicas, quedando las jurídicas (y algunos datos concretos de las físicas) excluidas por el artículo 2 del Reglamento LOPD:

Artículo 2 del Reglamento LOPD
  1. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
  2. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.

Diferencias entre autónomo y empresario individual

Aquellos datos se refieren a profesionales que no ejercen su actividad bajo forma de empresa, no ostentando en consecuencia la condición de comerciantes a la que se refieren los artículos primero y siguientes del código de comercio. Sentencia de la Audiencia Nacional.

A primera vista puede parecer muy claro, pero debemos recordar que los términos autónomo y empresario individual no son exactamente sinónimos. Según la tesis de la Agencia de Protección de Datos (AEPD) los autónomos solo quedarían excluidos de la aplicación de la LOPD en caso de que organicen su actividad en forma de empresa.

Este criterio coincide con el de la Audiencia Nacional que en sentencia de 21 de noviembre de 2002 considera aplicable la normativa de protección de datos vigente en el momento a profesionales liberales.

Situaciones en que puede encontrarse un autónomo respecto a la LOPD

situacion-autonomo-lopd

A la hora de establecer la obligación de un profesional autónomo de cumplir la LOPD debemos diferencias varias situaciones:

  • Autónomo que sea socio-administrador de una Sociedad Anónima o Sociedad Limitada: en este caso, a nivel personal no tiene ninguna obligación de cumplir la Ley de Protección de Datos. Es su empresa la que debe cumplirla. Él tendrá en todo caso la responsabilidad como administrador de asegurar que su empresa cumpla la LOPD.
  • Autónomo que ejerce una actividad empresarial y tiene empleados: en ese caso está obligado a cumplir la Ley de Protección de Datos, ya que es el Responsable de los datos que posee de sus empleados que son datos de carácter personal. Además es probable que recoja en su negocio otros datos personales, por ejemplo, los de sus clientes, proveedores, etc. Pero sólo por el hecho de tener empleados ya está obligado a cumplir la LODP.
  • Autónomo que ejerce una actividad empresarial pero no tiene empleados: aquí, al no tener empleados, habría que examinar si, por la naturaleza de su negocio, trata datos personales de clientes o proveedores, qué tipo de datos trata y si esos datos que maneja están organizados en ficheros o no, ya que si no tiene ficheros no estaría sometido a la Ley de Protección de Datos. En caso de que sus clientes sean personas particulares y no empresas es muy probable que tenga la obligación de cumplir la LOPD.

Obligaciones del autónomo en materia de Protección de Datos

Las obligaciones que tienen los autónomos para adaptarse a la LOPD son las mismas que el resto de empresas y que son:

  • Inscribir debidamente los ficheros en la Agencia Española de Protección de Datos.
  • Regular los tratamientos de datos que se realicen por terceros, así como las posibles cesiones de datos.
  • Elaborar el documento de seguridad con sus anexos obligatorios.
  • Imponer las medidas técnicas y organizativas que aseguren la protección de los datos personales: deben observarse de las medidas de seguridad en función del tipo de ficheros y datos que maneje.
  • Implantar las medidas técnicas y organizativas que aseguren los derechos de los afectados: adaptarse a los principios de la LOPD; facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
  • Todos los datos de carácter personal recogidos por la empresa, deben contar con el consentimiento del afectado, además de cumplir una serie de principios básicos como son: principio del consentimiento del afectado, principio de información y principio de calidad de los datos.
ejemplos proteccion de datos

Autónomos y pymes suponen el 99% del tejido empresarial español. La Agencia Española de Protección de Datos (AEPD) ha publicado nuevos materiales y recursos con los que facilitarles la adaptación al Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2016 y comenzará a aplicarse el 25 de mayo de 2018.

Consentimiento para la recogida de datos personales de autónomos

De esta forma nos encontramos con que la recogida de datos personales de profesionales autónomos que no ejerzan su actividad en forma de empresa será una actividad sometida a la LOPD. Esto genera la obligación para el responsable del fichero de obtener el consentimiento del interesado, informar sobre los derechos que le asisten, así como sobre la identidad y dirección del responsable y sobre el uso que se va a dar a esos datos.

Cuándo no es necesario el consentimiento del autónomo

La única forma de evitar tener que recabar el consentimiento es que los datos provengan de una fuente accesible al público, entre las que se incluyen en el artículo 7 del Reglamento de Protección de Datos.

Artículo 7 del Reglamento LOPD
  1. Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.

Resumen sobre los datos de autónomos en relación a la LOPD

Incluir datos de profesionales autónomos que no estén organizados como empresa en un directorio de empresas requiere el previo consentimiento informado de los interesados, salvo que los datos procedan de una fuente accesible al público en el sentido del artículo 7 del Reglamento LOPD.

Fuente (PDF): Informe 0451/2009 del Gabinete Jurídico de la AEPD

¿Eres autónomo?, cumple la LOPD

Read more