Análisis de riesgos sobre Protección de Datos

¿Sigue siendo un dolor de cabeza para ti la necesidad de realizar un Análisis de riesgos en tu empresa? Si tienes un negocio, estoy segura de que uno de tus principales objetivos es tener una buena seguridad de la información que manejas. Debido a la próxima entrada en vigor del nuevo Reglamento Europeo de Protección de Datos Personales, los Análisis de riesgos  están comenzando a estandarizarse. Se trata de una herramienta fundamental para evitar problemas legales, entre otros inconvenientes técnicos u operativos.

¿Cómo hacer un análisis de riesgo?

De forma resumida, un Análisis de riesgos es una herramienta que va a permitir antes poner en marcha un servicio o producto, cumplir con la normativa de protección de datos y privacidad, así como identificar los problemas, reducir el coste de la implementación del cumplimiento de la normativa de protección de datos, y prevenir problemas futuros que puedan dañar la reputación de la empresa o Administración pública. Algunos ejemplos en los que es conveniente realizar un Análisis de riesgos serían:
  • Referentes a poner en funcionamiento una aplicación tecnológica que vaya a almacenar y tratar datos de carácter personal
  • Comunicación de datos personales entre dos o más organizaciones
  • Tratamiento de datos personales que suponga la identificación de un grupo en relación al resto de la sociedad
  • Sistemas de vigilancia (incluyendo la videovigilancia y monitorización de individuos)
Además, no debemos perder de vista que el Análisis de riesgos se ponga en práctica no sólo antes de poner en marcha alguno de los servicios o productos citados, sino también cuando se realice un revisión o mejora de los mismos.

¿Quién debe realizarlo?

Otro punto importante, es determinar quién va a ser la persona dentro de la organización encargado de coordinar el Análisis de riesgos. En aquellas organizaciones donde esté implantada la figura del Data Protection Officer, éste debe ser el encargado de llevar a cabo este rol. Donde no exista, lo deseable es que sea un persona con conocimientos en la materia. No sólo vamos a tener una participación del DPO –donde exista- en la coordinación, sino que también intervendrán, a lo largo de la realización del Análisis de riesgos el personal de la organización que esté involucrado en el producto y servicio, e incluso los potenciales usuarios.

Puntos importantes a identificar en un Análisis de riesgos

  Cuando vayamos a realizar un Análisis de riesgos debemos partir de identificar para su estudio siete fases o elementos determinantes, pero siempre tratando de utilizar un modelo flexible que se pueda adecuar al modelo y estructura de la organización. Estas siete fases o elementos son los siguientes:

¿Es necesario?

Saber las razones por la que debemos realizar un Análisis de riesgos sobre el proyecto, servicio o tratamiento de datos personales. Para ello, podemos utilizar las siguientes preguntas que nos ayudarán a saber si realmente es necesario, sobre todo en aquellos casos en los que no se cuente con un DPO:
  • ¿Se van a recabar datos de carácter personal?
  • ¿Se comunicarán datos personales a terceros o a quien no ha tenido acceso a la información?
  • ¿Va a utilizarse tecnología que puede ser considerada como invasiva para la privacidad?
  • ¿Estamos ante algún supuesto de “especial consideración” de privacidad como podrían ser los datos de salud?
  • ¿Se va a contactar con los titulares de los datos de alguna forma que podría ser invasiva?

Describir los flujos de información

Se trata de conocer cómo se van a recabar los datos de carácter personal, para qué se van a utilizar, con qué finalidad, y quién tiene acceso a la misma. En otras palabras, contestar al “¿Por qué?, ¿Para qué? y ¿Quién?”. No es más que el proceso que debe realizarse en toda auditoría de ficheros de medidas de seguridad media y alta, ya que si bien el Reglamento de desarrollo de la LOPD se refiere únicamente a auditar las citadas medidas, estimamos que como condición previa hay que conocer y describir los flujos de datos personales que forman parte del sistema que se quiere auditar.

Identificar los riesgos que afecten a la privacidad

Pueden ser de tres tipos:
  • Sobre los afectados (como la invasión en su vida privada, comunicar datos a terceros cuando no sea necesario, no haber realizado un procedimiento adecuado de anonimización, mantener los datos más tiempo que el estrictamente necesario para la finalidad que se recogieron).
  • Riesgos corporativos (como pérdida de reputación o una multa por brechas de seguridad).
  • Riesgos legales (como no cumplir con la legislación de protección de datos, o servicios de la sociedad de la información).
Además, también deben tenerse en cuenta una serie de preguntas que están relacionados con el cumplimiento de los principios de protección de datos que permitirán identificar estos riesgos, como pueden ser:
Finalidad
Los datos personales serán usados únicamente para la finalidad para la cual han sido recabados, y nunca para una finalidad que sea incompatible. Así, nos podríamos preguntar si ¿cubre el proyecto o servicio todas las finalidades para la cual han sido recabados los datos personales o existen otras que no han sido contempladas en la recogida de datos?
Calidad de los datos personales
¿Son los datos adecuados para las finalidades para las cuales van a ser utilizados? ¿Se van a recabar datos que no van a ser utilizados?
No mantener los datos personales más allá del tiempo necesario
¿Durante cuánto tiempo se van a almacenar los datos? Transcurrido el tiempo de almacenamiento, ¿Permite el software que use el producto o servicio el borrado de los datos?
Garantizar los derechos ARCO
¿El producto o servicio hace viable que se puedan ejercitar los derechos ARCO por los interesados dando respuesta a los mismos? Si el producto o servicio está destinado al marketing ¿Pueden negarse los afectados usando un sistema de opt-out?
Medidas de seguridad
¿Se han instalado las medidas adecuadas para prevenir los riesgos de seguridad? ¿Se ha formado al personal para que trate los datos personales adecuadamente y sin que existan accesos indebidos?
Transferencias internacionales
¿El producto o servicio requiere transferir datos a países que no forman parte del Espacio Económico Europeo? En caso afirmativo, ¿cómo se garantiza la protección de datos de los interesados en el país receptor?

Establecer soluciones para garantizar la privacidad

Una vez que hemos identificado los riesgos para la privacidad, tal y como hemos descrito en el punto anterior, lo más lógico es desarrollar las medidas correspondientes para eliminar o mitigar dichos riesgos. La realización de un Análisis de riesgos no tiene por qué eliminar completamente los riesgos sobre la privacidad de los afectados, sino reducirlos a un nivel aceptable que permita para la organización la implementación del producto, servicio o tratamiento de datos personales. En este sentido, y según el riesgo que se haya identificado podemos valorar la posibilidad de desarrollar alguna de las siguientes soluciones:
  • No recabar o almacenar determinados tipos de datos
  • Establecer el período máximo de almacenamiento así como un procedimiento de destrucción de los datos una vez que se haya cumplido el citado período
  • Implementar las medidas de seguridad y formar al personal
  • Desarrollar y poner en práctica un procedimiento de anonimización de los datos
  • Desarrollar el producto o servicio de forma que se garantice el ejercicio de los derechos ARCO
  • Establecer protocolos en caso de cesiones de datos personales
  • Adoptar las medidas necesarias para que los afectados sepan para qué se recaban los datos personales, y que en caso de duda, puedan contactar con la organización para, de esta forma, recibir las aclaraciones pertinentes
Asimismo, se debe valorar el coste y beneficio de implementar estas soluciones, teniendo en cuenta que en algunos casos, existirá un coste económico, por lo que habrá que realizar una comparativa entre costes y beneficios (por ejemplo, sobre las medidas de seguridad que pueden evitar una fuga de datos personales y consecuentemente, una pérdida de reputación para la empresa).

Realiza un Análisis de Riesgos

Implementación de las anteriores las soluciones

Una vez que hemos recogido cuales serían las formas o herramientas necesarias para garantizar la privacidad, hay que decidir cuáles de ellas implementamos, ya que como se ha comentado anteriormente, no necesariamente hay que poner en funcionamiento todas, ya que la empresa puede asumir determinados riesgos, cuando los mismos sean considerados como aceptables. No obstante, puede ocurrir que existan riesgos que no sólo sean inaceptables sino que, incluso, no se puedan eliminar, por lo que sería necesario estudiar la viabilidad del proyecto, servicio o tratamiento de datos, o no directamente, no llevarlo a cabo. Además de implementar las soluciones, es importante registrar cada uno de los riesgos y las soluciones adoptadas, así como quien es el responsable de ponerlas en funcionamiento. Todo ello, se incluirá en el informe final del Análisis de riesgos, el cual se recomienda como buena práctica que se publique para dar una mayor transparencia y que los afectados sepan cómo afecta el producto, servicio o tratamiento, a su privacidad. Además, esta publicación puede servir como estrategia de marketing de la empresa, organización, o Administración pública.

Participación de los agentes implicados

Conocemos que es práctica habitual que cuando se pone en marcha un producto o servicio que afecte a la protección de datos personales, el cumplimiento de esta norma se deja para el final al grito de “¡Nos falta la LOPD!”. Para evitarlo, al igual que ocurre con la Privacidad por Diseño y por Defecto, se recomienda que en cualquier fase de realización del Análisis de riesgos, que anteriormente hemos descrito, fluya la información tanto a nivel interno como externo de la organización. Respecto al interno, tenemos la tradicional relación entre los diseñadores del producto, servicio o tratamiento, y el departamento legal de la empresa, que puede ser completado en el caso de que exista un DPO, un departamento de Tecnologías de la Información que ofrecería su ayuda en materia de seguridad, o si se decide contratar a empresas que actúen como encargados del tratamiento, que éstos también participen. Respecto al externo, permitiría conocer la opinión de los afectados cuyos datos van a ser tratados, así como dar una mayor transparencia. Este tipo de consultas suele ser más frecuente en el sector público, sobre todo en supuestos en que existe una obligación legal al respecto. Otra opción es que exista una participación, por ejemplo, de organizaciones que representen a usuarios y consumidores.

Integración del Análisis de riesgos en la gestión

Otro elemento importante es que el Análisis de riesgos forme parte de la propia gestión de la empresa u organización, ya que es la forma más segura de garantizar la privacidad de productos y servicios.

Los Análisis de riesgos en el RGPD

Como ya hemos mencionado al principio de este “post”, una de las novedades que introduce el RGPD es someter determinados tratamientos, con carácter previo a su puesta en funcionamiento, a la realización del citado Privacy Impact Assessment. En concreto, y según el artículo 33:

Cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, el responsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales

Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas destinadas a impedir, bloquear o neutralizar los ataques. Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos. El análisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualización constante de las medidas de seguridad y al aumento de los delitos informáticos, la empresa debe establecer un sistema de vigilancia que haga revisiones periódicas y siempre que cambien circunstancias tecnológicas tanto en la empresa como en el sector informático.

Diferencias con la Evaluación de Impacto en Protección de Datos

El análisis de riesgos tiene que ver con la determinación de la pérdida potencial por causa de una amenaza y el costo de la medida de protección hacia los datos personales manejados en la organización. Es decir, cuánto gastar en prevención y protección. Para ello, se necesita saber primero cuáles son esos procesos y recursos críticos. En la evaluación de impacto se busca principalmente:
  • Determinar el impacto que tendría un evento disruptivo en los datos personales de la organización.
  • Identificar los recursos —personas, infraestructura física, tecnológica, información, y terceros— de los que dependen.
En el análisis de riesgos, se identifican las amenazas de interrupción más probables y se analizan las vulnerabilidades relacionadas con dichas amenazas —evaluando los controles de seguridad física, lógica y ambiental, revisando su efectividad para contener las amenazas identificadas.

¿Necesitas cumplir la LOPD?

Read more


El Registro de actividades de tratamiento en el RGPD

Como ya todos sabéis, a partir de mayo del próximo año será aplicable el nuevo Reglamento europeo de Protección de Datos y una nueva LOPD en nuestro país. Una de las novedades que esta normativa establece es que ya no será necesario inscribir los ficheros en el Registro General de Protección de Datos de la AEPD. Sin embargo, se establece una nueva obligación para el Responsable del fichero y es la de llevar un Registro de actividades de tratamiento.

Obligación de realizar un Registro de actividades del tratamiento

En la actual LOPD se establece como primera obligación del empresario la inscripción de ficheros en la que debe indicarse:
  • Datos que se recogen.
  • Con que fin.
  • Medidas de seguridad que se aplican.
  • Nivel de seguridad que corresponde.
  • Si el fichero es manual, mixto o automatizado.
  • Si estos datos van a ser cedidos o transferidos fuera del Espacio Económico Europeo.
El Registro General de Protección de Datos atiende al responsable del fichero en sus obligaciones, entre otras, de inscripción de ficheros y es el responsable de dar publicidad a los mismos a través de la página web de la Agencia. El objetivo es que el ciudadano pueda conocer de la forma más exacta posible qué se está realizando con sus datos de carácter personal cuando los aporta a una administración pública o a una entidad privada, y dónde puede ejercer sus derechos en protección de datos.

Qué dice el RGPD

En esta nueva normativa europea se considera que la obligación general de notificar el tratamiento de datos personales a las autoridades de control no contribuyó en todos los casos a mejorar la protección de los datos personales.

El Registro General de Protección de Datos atiende al responsable del fichero en sus obligaciones, entre otras, de inscripción de ficheros y es el responsable de dar publicidad a los mismos a través de la página web de la Agencia.

Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos.

¿Quién está obligado a realizar el registro de actividades de tratamiento?

Dicha obligación corresponde tanto al Responsable del fichero como al Encargado del tratamiento. Sin embargo, el RGPD no obliga a cualquier responsable o encargado a realizar ese Registro de actividades de tratamiento si no que establece unos requisitos:
  1. La empresa u organización tenga más de 250 empleados.
  2. Se realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, no sean ocasionales, o incluyan categorías especiales de datos personales.
  3. Se realice un tratamiento de datos personales relativos a condenas e infracciones penales.

Contenido del Registro de actividades de tratamiento

El RGPD diferencia el contenido dependiendo de si el Registro lo realiza el Responsable del fichero o el Encargado del tratamiento.

Registro del Responsable del fichero

registro-responsable-fichero-rgpd Si ese registro se realiza por el Responsable del fichero debe contener:
  • Identificación y datos de contacto de responsable, corresponsable, representante y delegado de protección de datos.
  • Fines del tratamiento.
  • Descripción de categorías de interesados y datos.
  • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales).
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
Cuando sea posible:
  • Plazos previstos para supresión de datos.
  • Descripción general de medidas de seguridad:
    1. Seudonimización y cifrado de datos personales.
    2. Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    3. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
    4. Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Registro del Encargado del tratamiento

El registro que debe llevar el encargado debe contener la siguiente información:
  • Identificación y datos de contacto del encargado, de cada responsable por cuenta del cual actúe, del representante del encargado o del responsable, y del delegado de protección de datos.
  • Las categorías de los tratamientos efectuados por cuenta del responsable.
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
  • Cuando sea posible, una descripción general de medidas de seguridad.

Preguntas frecuentes

¿Cómo debo elaborar el Registro de actividades de tratamiento?
Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento. Estos registro deben constar siempre por escrito aunque también se consideran válidos en formato electrónico.
¿Cómo debe organizarse el registro de operaciones de tratamiento?
Una posibilidad para organizar este registro de actividades de tratamiento es partir de los ficheros que actualmente han sido notificados por los responsables a la Agencia de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos. No obstante, el Registro también podría organizarse en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.
Una vez elaborado ese Registro, ¿qué hago con él?
El Registro de actividades de tratamiento debe guardarse en la empresa y tenerlo siempre actualizado y a disposición de la Autoridad de control si ésta nos lo solicita.
¿Qué me puede ocurrir si no tengo ese Registro de actividades de tratamiento?
Tanto el RGPD como el Anteproyecto de la nueva LOPD consideran como infracción grave el no disponer de un Registro de actividades de tratamiento en los casos en que sea necesario. Y como tal, podrá ser sancionada con multas de hasta  millones de euros o el 4% del volumen global de facturación anual de la empresa.

¿Necesitas cumplir el RGPD?

Read more


Advertencia de posible sanción por utilizar fotografías sin consentimiento

Lunes por la mañana, me toca publicar nuevo post y mi cabeza todavía sigue pensando en el fin de semana. Entro en la página de la Agencia para captar alguna idea y al ir leyendo resoluciones, hay una que me llama especialmente la atención, entonces se me ocurre una idea para ayudar lo máximo posible a los profesionales de la fotografía.

Denuncia ante la AEPD por uso de fotografías sin consentimiento

Os voy a poner en situación, el día 30 de diciembre de 2015 tiene entrada en la Agencia un escrito de D. C.C.C., el denunciante, comunicando que D. B.B.B., el denunciado, anunciaba sus servicios fotográficos en su perfil de Facebook, utilizando una foto en la que aparece la hija del denunciante y sus amigos, todos ellos menores de edad, y por supuesto, sin tener el consentimiento de los padres necesario para su publicación.
¿Para qué utilizó la fotografía?
El denunciado expuso sus alegaciones basándose en que estaba buscando imágenes de tablas gigantes de Paddle SUP mediante la búsqueda de Google con el fin de promocionarlas en el perfil de la red social. También alega el denunciado D. B.B.B. que en ningún momento su objetivo fue lesionar la imagen de ninguno de los menores que aparecen en la foto. Por lo tanto, el denunciado reconoce la utilización de esa fotografía para fines únicamente promocionales.
Comprobaciones de la AEPD
Hechas las pertinentes comprobaciones, la Agencia verificó que tal y como reconoció el denunciado, la citada fotografía se encontraba en su perfil de Facebook y al tener conocimiento de la iniciación de las actuaciones de la AEPD, D. B.B.B., procedió a eliminar la foto. Cuatro meses después de iniciado el procedimiento, la AEPD verificó la total eliminación de la foto.
¿Cuál es la infracción cometida?
Los hechos cometidos suponen por parte del denunciado una infracción del artículo 6.1 LOPD en base a que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
Disminución de la culpabilidad
La AEPD constató que hubo una considerable reducción de la culpabilidad del imputado, ya que no constaba vinculación relevante de la actividad del denunciado con la realización de tratamientos de datos de carácter personal. Tampoco constaban beneficios obtenidos como consecuencia de la comisión de la infracción. Asimismo, el denunciado adoptó las medidas correctoras pertinentes, porque dió de baja la imagen de la hija del denunciante de su perfil de Facebook. Además, cabe decir, que la fotografía no tiene una especial sensibilidad, ya que no muestra desnudez, patología u otra circunstancia agravante.

¿Cuáles son las cuantías de las sanciones?

sancion proteccion de datos

Las infracciones graves  son sancionadas con una multa que va desde los 40.001€ a los 300.000 , ¡un dineral!

Para establecer la cuantía exacta, la AEPD sigue unos criterios:
  • Carácter continuado de la infracción
  • Volumen de los tratamientos efectuados
  • Vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal
  • Volumen de negocio o actividad del infractor
  • Beneficios obtenidos como consecuencia de la comisión de la infracción
  • Grado de intencionalidad
  • Reincidencia por comisión de infracciones de la misma naturaleza
  • Naturaleza de los perjuicios causados a los interesados
  • Acreditación de que la entidad tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de datos

Resolución AEPD

La directora de la Agencia Española de Protección de Datos, resolvió:
  • Archivar el procedimiento a D. B.B.B.
  • Notificar la citada resolución a las partes interesadas, D. B.B.B. y a D. C.C.C.

Competencias de la AEPD

Se establece que dicha Agencia es la encargada de llevar a cabo el procedimiento sancionador en base al artículo 8.1 del Reglamento para otorgar la potestad sancionadora cuando iniciado un procedimiento, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda.

¿Necesitas cumplir la LOPD?

Consentimiento para los menores

En base al artículo 13 del Reglamento de la LOPD señala como debe ser el consentimiento para el tratamiento de datos de menores de edad.

Menores de 14 años

Necesitan obligatoriamente el consentimiento de los padres o tutores.

Mayores de 14 años

No necesitan el consentimiento paterno, podrá procederse al tratamiento de sus datos con su consentimiento expreso. ¡Nunca nunca se podrá obtener del menor, información sobre los demás miembros de su familia! Además esta información debe expresarse en un lenguaje que sea fácilmente comprensible para los menores.

Menores en el nuevo RGPD

El Reglamento General de Protección de Datos considera que el límite ha de situarse en los 16 años, edad que podrá ser modificada por la legislación interna, sin que se pueda permitir, en ningún caso, que los menores de 13 años consientan este tipo de servicios sin la autorización del tutor legal. Hasta ahora, la LOPD había permitido la recogida del consentimiento a mayores de 14, requiriendo el consentimiento de los padres o tutores cuando el menor no alcanzara dicha edad y siempre que la Ley no exigiera otra cosa.

Modelo de autorización para uso de fotografías en España

¿Necesito autorización para publicar fotos en Internet?

Esta pregunta me la ha realizado un amigo fotógrafo alegando que quería hacer publicidad de su trabajo para la campaña de navidad, utilizando fotos de bebés disfrazados de Papá Noel. Pues bien, mi respuesta fue tajante: ¡Claramente no puedes! Debido según la LOPD a que los menores de 14 años necesitan obligatoriamente el consentimiento de sus padres.

¿Cuáles son los derechos de autor sobre las fotos en redes sociales?

Para tratar este tema un tanto confuso, hay que aclarar en primer lugar quién tiene el derecho de autor: "toda persona creadora de una obra intelectual, sea pintura, escultura, danza, literaria". Por lo tanto, aunque seas un famosísimo fotográfo, siempre, debes haber obtenido previamente el consentimiento para la publicación de tus estupendas fotografías en cualquier red social o página de interntet, incluida la tuya propia.
ejemplos proteccion de datos

Te voy a poner un ejemplo, acude a tu estudio fotográfico una persona para realizarse un book para su uso personal, y tú para publicitar tus trabajos y ofertarte como profesional, decides subir a tu cuenta de Facebook la mayoría de fotos realizadas, hasta aquí todo parece normal. Pero tu cliente ha visto su sesión fotográfica en tu Facebook, y muy enfado te pregunta por qué has subido esas fotos personales.

Y aquí surge el problema, ya que como bien dice el cliente, esas fotografias eran personales, y necesitas su consentimiento obligatorio para tratar cualquier uso de ellas, a pesar de que tú eres un profesional de la fotografía y de que te ha dado su consentimiento para realizarlas. Tu alegación sería que posees los derechos de autor sobre la propiedad intelectual de las fotos, pero en base a la ley de protección de datos priman los derechos a la intimidad y a la propia imagen del cliente.

Consentimiento de los padres

Todas y cada una de las fotos tomadas a menores de 14 años deben tener firmado el modelo de consentimiento para su utilización por parte del propio dueño de la fotografía. La AEPD establece un modelo de consentimiento que para ser válido debe ser libre, inequívoco, específico e informado. Ya he cometado sobre este tema, en un post anterior, debido a la  extrema necesidad del consentimiento paternal.

Derechos del menor sobre el uso de su imagen

Con el mundo tecnológico tan sumamente avanzado que tenemos hoy en día, nuestros gustos han evolucioando también. Hoy en día, la gran mayoría de padres y madres suben constantemente (yo diría que algunos a diario) fotografías tomadas a tus retoños para publicar lo orgullosísimos que están de sus niños. Sin darse cuenta ni ser conscientes de las terribles consecuencias que esto puede conllevar. En primer lugar he de decir que los niños tienen sus derechos, a la intimidad, a la propia imagen y aunque las personas que tienen la obligación de garantizarlos, también pueden ser los culpables de que no se cumplan.

¿Qué pasa si papá o mamá no quiere?

Por desgracia últimamente me llegan consultas de padres divorciados que tienen este problema, y creen que quien tenga la guarda y custodia del menor pueda hacer lo que se le antoje con las fotos de su niño. He de decir que No, ya que en la mayoría de los casos la patria potestad siempre será compartida, por lo tanto, deben estar de acuerdo los dos progenitores.

¿Puedo denunciar al fotógrafo por utilizar las fotos de mi hijo?

¡Si no tiene un consentimiento expreso, claramente sí!
ejemplos proteccion de datos

Te voy a poner en situación: tu hijo de 5 añitos llega del colegio con un sobre lleno de fotografías suyas realizadas por un profesional que ha acudido al colegio y con la autorización de la profesora, les ha hecho una sesión fotográfica a cada niño para posteriormente venderlas.

La utilización de esas fotografías de menores sin consentimiento no es lícito, por un lado porque cualquier menos de 14 años necesita el consentimiento de sus progenitores para poder tratar sus datos personales.

¡Cumple esta reglas!

No pongas su nombre y apellidos
Sé que estás muy orgulloso de la función de teatro de navidad que hizo tu hijo en el cole, pero no publiques su nombre y apellidos en el pie de la foto.
Elimina la geolocalización
Comprueba que tienes la función de localización desactivada, así te asegurarás de que nadie pueda seguir tus pasos, y saber en todo momento donde se encuentras tus hijos.
¡Consejo! Recuerda que una vez subida una foto a internet, aunque solamente la hayas publicado en el perfil de tu Facebook o Instagram, hagas lo que hagas nunca se eliminará del todo. Y tú, ¿estás seguro de que cumples con la Ley Orgánica de Protección de Datos? Si te ha quedado alguna duda o tienes alguna curiosidad, ¡escríbeme un comentario!

¿Necesitas cumplir la LOPD?

Read more


Mega multa a Facebook por incumplir la LOPD

Analizamos los motivos de la sanción y, lo más importante, cómo evitar que tu empresa reciba una multa similar.
sancion proteccion de datos

La AEPD sanciona a Facebook con una multa de, nada más y nada menos, 1.2 mill. de € por incumplir la Ley de Protección de Datos al ceder información sin el consentimiento de los usuarios.

Todo empezó en la Universidad de Lovaina

Bélgica, abril del 2015. La entidad belga equivalente a la AEPD tenía sospechas de que Facebook estaba realizando un uso abusivo de los datos de los usuarios y, por ello, encargó un estudio a una de las universidades mejor valoradas de Europa, la Universidad de Lovaina. Tras diversos análisis, los investigadores concluyeron que Facebook, mediante supercookies, estaba recopilando sin consentimiento numerosos datos personales de incluso usuarios no registrados en la red social.

Infracciones que suman más de 1 millón de €

La AEPD comenzó una inspección de oficio, investigando a la red social para conocer si sus políticas de privacidad cumplían las exigencias que establece la normativa y también para verificar cómo se gestionan los datos personales que almacena la compañía estadounidense. La Agencia lo tenía muy claro, la empresa tecnológica incumplía gravemente la LOPD por varios motivos.

Los “me gusta” con fines publicitarios

Según la Agencia Española de Protección de Datos dicha red social almacena información personal catalogada como especialmente protegida sin informar al usuario de manera concreta el tipo de tratamiento que realizará de la información recabada, únicamente se limitaban a dar sencillos ejemplos. Esto me da ha entender que en Facebook no leyeron el artículo 7 de la LOPD:
Artículo 7 de la LOPD

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente“.

Por este motivo, le han impuesto una sanción de 300.000 € Y ahora, suma otros 300.000 € de multa por rastrear con supercookies a los usuarios que, sin estar registrados en Facebook, han hecho clic en un "Me gusta" o han interaccionado con alguna aplicación de la red social.

Supercookies

Hace tiempo expliqué qué son las cookies pero se me olvidó mencionar las supercookies. Las supercookies son archivos que guardan información del usuario durante años. Normalmente, una cookie tienen una duración de 1 mes.
Cookie DART
Si compruebas las cookies que se descargan al acceder a una web que tiene incrustada alguna opción de Facebook, como puede ser el botón "Me gusta", verás DART. La cookie DART podemos clasificarla en el la sección de supercookies porque almacena durante 2 años información de los usuarios sin incluso registrarse en Facebook y, precisamente por este motivo, la AEPD sanciona a Facebook con otros 300.000 eurazos.

¡Cuidado! No eliminan tu perfil después de borrar tu cuenta

Normalmente creemos que cuando nos damos de baja de cualquier servicio en un periodo breve nos eliminarán de sus archivos de clientes y ya no tendremos nada que ver con esa empresa. Pues bien, la empresa de Mark Zuckerberg no lo hacía así, ya que una vez has eliminado tu perfil, lo mantenía en sus servidores, llegando a retener nuestra información hasta 18 meses. Por este motivo, la AEDP, le ha impuesto una sanción muy grave con un importe de 600.000€ por imcumplir el derecho al olvido que se basa en poder modificar, cancelar o borrar tus datos personales que estén en posesión de terceros (entidades o personas).

No quiero asustarte pero a ti también pueden sancionarte

Este año ya he leído varias noticias informando de sanciones a empresas que no cumplían la normativa de protección de datos por lo mismo que Facebook:
  1. No solicitar el consentimiento
  2. No ejercer el derecho al olvido en tu empresa
Como no quiero un día leer en el Expansión o en El País que la AEPD ha sancionado a tu empresa, a continuación te resumo qué deberías verificar hoy mismo.
Solicitar el consentimiento de los usuarios de mi web
Cualquier sitio web con un formulario de contacto tiene que disponer de una política de privacidad que informe al usuario de las finalidades con las que tratará los datos personales obtenidos. Revisa hoy mismo si tu página web contiene, en un lugar visible y de manera clara, los siguientes contenidos:
  • Política de privacidad
  • Aviso legal
  • Aviso y política de cookies
  • Aceptación de las condiciones en los formularios
¿Cómo responder ante una solicitud del derecho al olvido?
Para asegurarte que un cliente, o un antiguo empleado pueda ejercer su derecho debes comprobar que toda la información personal de esa persona ha sido eliminada de manera permanente de tus archivos, y que se ha procedido a su destrucción definitva, tanto en papel como vía informática. Sólo así, evitarás que te sancionen por no poner en práctica este derecho que todos tenemos.

¿Cómo hacer tu cuenta más privada?

En primer lugar debemos decidir qué infomación de nuestra vida digital queremos compartir con nuestros amigos virtuales. Para ello, Facebook se ha cubierto las espaldas manteniendo una detallada configuración de privacidad, permitiendo al usuario mostrar sólo aquellos datos que le interesa mostrar. Así como limitando el acceso a las personas que el usuario considere inoportunas. De esta forma, tú mismo puedes reducir tu privacidad, con la opción de permitir ver las publicaciones de tu muro a tus amigos o incluso que sean privadas y solamente tú las puedes ver, dando clic en "sólo yo". Al igual pasaría con las fotogragrías que subes, también tienes las mismas alternativas para que únicamente las vea quien tú quieras. Si por desgracia te ha surgido este problema, no dudes en escribirme un comentario, ¡encontraremos una solución!

¿Necesitas cumplir la LOPD?

Read more


¡Ayuda, me han robado el móvil!

Seguro que te resulta familiar, bien porque por desgracia lo has experimentado en primera persona, o bien porque conoces a alguien a quien le ha ocurrido. Lo primero que se te pasa por la cabeza es: !Oh no, he perdido todas mis cosas personales! Aunque el disgusto que nos llevamos es enorme y nos da un mini infarto al comprobar que hemos sido víctimas de un robo, o que por un descuido casual hemos perdido nuestro teléfono. Hoy en día para nosotros nuestro móvil es nuestro tesoro más preciado porque se ha convertido en un complemento más que va con nosotros a todas partes y lo utilizamos en nuestro día a día un número elevado de veces.

¿Qué usos le damos al móvil?

Aunque parezca obvio te voy a nombrar algunas de las funciones más habituales que le damos a nuestro imprescindible:
  • Realizar y recibir llamadas
  • Cámara de fotos y de vídeo
  • Enviar y recibir correos electrónicos
  • Localizar direcciones y lugares
  • Acceder a las redes sociales como Facebook, Twitter, Instagram...
  • Agenda teléfonica de nuestros clientes y amigos
  • Enviar y recibir mensajería vía Whatsapp, sms...
A esto hay que añadir el quebradero de cabeza que nos traerá intentar recuperar nuestros datos personales (además del perjuicio económico que conlleva la pérdida).

Es posible que los amigos de lo ajeno sean aún más habilidosos que nosotros y nos sustraigan el teléfono a modo despiste o incluso peor, con intimidación.

Pues bien, te voy a dar una serie de pasos para ser precabidos y si tal problema ocurriera, minimizar el daño causado aumentando la probabilidad de recuperar nuestros datos y/o impidiendo el acceso a ellos. 

¿Cómo guardar nuestros datos?

Aunque muchos de vosotros habréis sido prevenidos y tendréis más de una medida de seguridad de las que a continuación voy a nombrar aquí, conviene seguir el manual para asegurarnos al 100% de que hemos hecho todo lo que está en nuestras manos. ¡Vamos a empezar!
Bloqueo de PIN
Activar el bloqueo de nuestra tarjeta SIM es básico y fundamental, de esta manera nos aseguramos de poner las cosas más díficiles a “los malos”, ya que sin el código PIN no podrán aceder a nuestro teléfono, o si se encuenta apagado no puedan encenderlo. Simplemente, se trata de un código de 4 dígitos.
Protección mediante huella dactilar, contraseña o patrón
La activación de esta medida de seguridad evita que nuestros datos estén expuestos a terceras personas, ya que es una medida automática y cuando el teléfono se encuentra en reposo se bloquea inmediatamente.
Huella dactilar
En el caso de la huella dactilar únicamente al mostrar tu dedo se desbloquea el móvil.
Contraseña y patrón
Por otro lado, la contraseña y el patrón aunque no son infranqueables, si que viene bien poner más trabas a esas personas non gratas.

Almacenar datos bancarios, ¿es recomendable?

Responder a esta pregunta, es un tanto complicado, porque no se deberían almacenar nuestros datos bancarios en el móvil. Solo en el caso de que dispogas de altas medidas de seguridad para poder combatir con los cibercriminales, ya que con un sencillo paso tienen acceso a toda nuestra información.

Cómo convertir mi móvil en un bunker

Para intentar poner las cosas más difíciles a "los malos" y así impedir que hagan un uso fraudulento de nuestros datos conviene:
  • No recordar las contraseñas automáticamente, si, ya sé que puede resultar muy engorroso pero de esta manera dificultaremos el acceso con total libertad.
  • Utilizar un explorador de archivos para colocar los archivos más importantes anidados en varias carpetas.
  • Poner nombres en clave a aquéllos archivos de suma importancia.

Copia de seguridad

Es sumamente importante realizar con frecuencia una copia de seguridad de nuestros datos más relavantes, como mínimo una vez a la semana, ya sea conectando nuestro móvil a un ordenador o mediante transferencia a la nube. Los contactos de la agenda telefónica conviene guardarlos previamente en el correo de Gmail.

Apps de localización

Configura en tu teléfono una aplicación de localización, para que en el caso de robo o pérdida permita rastrear donde se ecuentra el móvil.

iphone

Apple cuenta con una aplicación específica, "Busca mi iPhone" que nos permite activar el modo perdido para bloquearlo de forma remota o borrar todo el contenido del teléfono. Acuérdate de comprobar que ya lo tienes activado con estos pasos:
  1. Ajustes
  2. ID de Apple
  3. iCloud
  4. Buscar mi iPhone.

¿Demasiado complejo?

Android

El procedimiento sería dirigirnos a
  1.  Ajustes
  2. Seguridad
  3. Administradores de dispositivos. 
  4.  Ubicar el dispositivo de forma remota 
  5. Permitir borrado y bloqueo.

Código IMEI

Se trata de un número de 15 dígitos. Es como la huella digital de nuestro móvil,  siendo el identificador único que nuestro teléfono utiliza para registrarse en las antenas de telefonía móvil.

¿Dónde busco el IMEI?

Se encuentra en la factura de compra si lo hemos adquirido en una tienda de telefonía, en la caja original, pero ¿y qué hago si no encuentro ni la factura ni la caja? o lo que es peor, ¿y si las he tirado a la basura? Que no cunda el pánico, hay una solución a este contratiempo y es teclear en el móvil la secuencia *#06# y automáticamente aparece en la pantalla. Otra opción es a través de Google, desde tu correo electrónico de Gmail. Obviamente debe hacerse previamente a la pérdida o al robo, y por eso conviene apuntarlo en algún sitio que nos resulte útil y podamos recordar con facilidad dónde lo tenemos guardado, por ejemplo, en nuestra agenda de papel (en el bloc de notas del móvil lo perderíamos igualmente). Asimismo puedes apuntarlo en un documento y enviarlo al corrreo electrónico habitual.

Qué hacer cuando pierdes el móvil

que-hacer-cuando-pierdes-movil Una vez hemos compobado que nos han robado o hemos perdido nuestro móvil, y aún con el susto en el cuerpo, nos viene un bormadeo de preguntas a la cabeza; ¿Y ahora qué hago?, ¿cómo lo bloqueo?, ¿dónde tengo que ir? Pues bien, te voy a dar respuesta a todas estas preguntas que desgraciadamente esta terrible circunstancia es más habitual de lo que creemos. Aunque pongamos el máximo empeño y cuidado en vigilar nuestras pertenencias en todo momento y seamos muy cuidadosos de no dejar nuestro móvil a la vista de terceras personas. Es posible que los amigos de lo ajeno sean aún más habilidosos que nosotros y nos sustraigan el teléfono a modo despiste o incluso peor, con intimidación.

Bloquea la tarjeta SIM

 Para ello debes llamar a tu operador, aquí te muestro los números de atención al cliente de las compañías más habituales:
  • Vodafone: 123, Gratuito llamando desde un móvil Vodafone, o llamando al 607123 000 desde cualquier operador.
  • Movistar: 1004, Gratuito desde cualquier operador.
  • Orange: 1414, Gratuito llamando desde cualquier operador.
  • Yoigo: 622, Gratuito llamando desde un móvil Yoigo, o llamando al 622 622 622 desde cualquier operador.
Recuerda, si estás en el extranjero debes marcar +34 y luego el número de tu compañía.

Borra los datos del móvil

La mejor opción por encima de todo es proceder a borrar todos los datos personales a distancia. Ten en cuenta que según la LOPD está prohibido exponer y difundir al público datos personales e importantes, y de seguro no querrás que "el malo" tenga vía libre para cotillear toda la información que almacenas en tu móvil.

¿Cómo borro la información?

Para ello debes acceder a las herramientas de bloqueo de teléfono activando el modo "teléfono perdido" o desde la página web de tu compañía telefónica. Si no tienes ninguna herramienta de bloqueo, ¡no te preocupes! Puedes comprobar el administrador de dispositivos de Google, seguramente ya lo tengas activado, lo puedes hacer desde cualquier otro móvil prestado, usando una pestaña de navegación de incógnito o desde un ordenador.

Llama al teléfono perdido

En el caso de que hayas perdido el móvil, no está de más intentar ponerte en contacto con la persona que lo haya encontrado, puedes apelar a su buena fe y que te lo devuelva sin ningún problema (por intertarlo no pierdes nada).

Usa el localizador

Activa la apps para localizar tu móvil (explicado arriba) para saber dónde se encuentra tu móvil en el mapa. Aquí tenemos una única opción: Si te lo han robado, o lo has perdido lo que tienes que hacer es acudir a la Comisaría de Policía más cercana para interponer la correspondiente denuncia por robo o pérdida. Debes identificarte como el propietario aportando DNI, junto con el IMEI del teléfono.

Bloquea el IMEI

LLama a tu operadora y solicita que bloqueen el IMEI de tu télefono para inutilizarlo por completo, de esta manera cuando la persona intente conectarse a la red de telefonía, la operadora impedirá su acceso y no podrá realizar llamadas ni navegar.

¿Y si es el móvil de la empresa?

Puedes tener un serio problema, ya que dispones de datos especialmete protegidos, como son las cuentas bancarias, los presupuestos y las facturas de los clientes, las fotos de empleados y de clientes, las nóminas de los empleados y un largo etcétera. Esta información en manos de terceras personas te podría conllevar a la imposición de una multa por la Agencia Española de Protección de Datos, por incumplimiento de la LOPD.
sancion proteccion de datos

Como consecuencia puede llevar a tener varios tipos de sanciones (leves, graves y muy graves) con un importe desde los 600,01€ hasta los 601.012,1€

Recuerda que ante todo vale más prevenir que curar

Como te he recomendado anteriormente, ¡debes proteger a capa y espada la información de tu móvil! Una buena seguridad en nuestro teléfono podrá poner las cosas más difíciles a esas personas que toman como propio algo que no es suyo. Si has tenido la mala suerte de leer este artículo porque has perdido tu móvil y todavía no sabes cómo actuar, ¡coméntame!

¿Necesitas cumplir la LOPD?

Read more


¿Cómo saber si tu empresa necesita un DPO?

Ante la avalancha de preguntas recibidas sobre este tema voy a decir las cosas claras: no todas las empresas necesitarán un Delegado de Protección de Datos. Me da mucha lástima ver cómo empresas dedicadas a la Protección de Datos se aprovechan de la ignorancia de algunas personas vendiéndoles la necesidad de contratar un DPO cuando, por la actividad que realizan, no es necesario.

¿Qué dice el RGPD?

La normativa europea exige que se designe un Delegado de Protección de Datos en tres supuestos específicos:
  • cuando el tratamiento lo lleva a cabo una autoridad u organismo público;
  • cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala; o
  • cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales.
ejemplos proteccion de datos

Ofertas como “tu DPO por 50 euros al mes”, además de un riesgo de competencia desleal, pueden suponer un alto riesgo de incumplimiento por asesoramiento inadecuado que acarree sanciones muy serias.

Regulación en la nueva LOPD

Los supuestos indicados en el RGPD son bastante amplios y abstractos por lo que, en la nueva LOPD, se aclara mediante un listado aquellas empresa obligadas a contar con esta figura.

Empresas obligadas a contratar un Delegado de Protección de Datos

Las siguientes entidades necesitan nombrar un Delegado de Protección de Datos:
Colegios profesionales y sus consejos generales
Un colegio profesional o colegio oficial es una asociación de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado.
Centros docentes
Que ofrezcan enseñanzas regladas (infantil, educación primaria, educación secundaria, bachillerato, formación profesional, enseñanzas artísticas, enseñanzas de idiomas, enseñanzas deportivas, enseñanza de personas adultas y educación especial) y las Universidades públicas y privadas.
Entidades que exploten redes y presten servicios de comunicaciones electrónicas
Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet.
Prestadores de servicios de la sociedad de la información
Que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos. Se consideran como tales:
  • Operadores de telecomunicaciones
  • Proveedores de acceso a Internet
  • Portales
  • Motores de búsqueda
  • Cualquier sujeto que disponga de un sitio en Internet
Entidades de crédito
Se incluyen los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.
Establecimientos financieros de crédito
Son aquellas empresas que, sin tener la consideración de entidad de crédito y previa autorización del Ministro de Economía y Competitividad, se dediquen con carácter profesional a la concesión de préstamos y créditos, el arrendamiento financiero o la concesión de avales y garantías.
Entidades aseguradoras y reaseguradoras
Una compañía de seguros o aseguradora es la empresa especializada en el seguro, cuya actividad económica consiste en producir el servicio de seguridad, cubriendo determinados riesgos económicos (riesgos asegurables) a las unidades económicas de producción y consumo. El reaseguro es el método por el cual una aseguradora cede parte de los riesgos que asume con el fin de reducir el monto de su pérdida posible.
Empresas de servicios de inversión
Son empresas de servicios de inversión las siguientes:
  • Sociedades de valores.
  • Agencias de valores.
  • Sociedades gestoras de carteras.
  • Empresas de asesoramiento financiero.
Distribuidores y comercializadores de energía eléctrica y de gas natural
Por ejemplo, Iberdrola, Endesa, Gas natural, etc.
Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
Se incluyen los responsables de los ficheros regulados por la Ley de prevención del blanqueo de capitales y de la financiación del terrorismo.
Entidades que desarrollen actividades de publicidad y prospección comercial
Incluye las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
Centros sanitarios
Los centros obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
Empresas físicas u online que suministran información comercial y financiera referida a otras empresas o particulares.
Operadores que desarrollen la actividad de juego
Esa actividad debe realizarse a través de canales electrónicos, informáticos, telemáticos e interactivos.
Quienes desempeñen las actividades de Seguridad Privada
Los vigilantes de seguridad y su especialidad de vigilantes de explosivos, los escoltas privados, los guardas rurales y sus especialidades de guardas de caza y guardapescas marítimos, los jefes de seguridad, los directores de seguridad y los detectives privados.
 

Designación voluntaria

Los responsables o encargados del tratamiento no incluidos en el listado anterior podrán designar un Delegado de Protección de Datos de forma voluntaria, que quedará sometido al régimen establecido en la nueva normativa española de Protección de Datos.

Mi empresa necesita un DPO, ¿qué tengo que hacer?

pasos-asignar-dpo-empresa Si tu empresa debe tener un DPO, en primer lugar, debes decidir si este formará parte de la plantilla o será una persona externa. También debes asegurarte de que esa persona posee los conocimientos necesarios para ejercer sus funciones. El sistema de certificación creado por la AEPD es un medio adecuado para garantizar la profesionalidad y experiencia como DPO de quienes estén certificados. Una vez nombrada la persona que va a ejercer como Delegado de Protección de Datos en tu empresa, debes comunicar sus datos a la AEPD y publicar esos datos para que lo conozcan tanto empleados como clientes.

Comunicación a la AEPD

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los Delegados de Protección de Datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

Los responsables del tratamiento comunicarán en el plazo de diez días a la AEPD, las designaciones, nombramientos y ceses de los DPO.

La Agencia Española de Protección de Datos mantendrá una relación actualizada de Delegados de Protección de Datos que será accesible por medios electrónicos. Y tu empresa, ¿está dentro de este listado? Pues entonces recuerda designar un DPO. Y si todavía tienes dudas sobre la necesidad de contratarlo, ¡escríbeme un comentario para ayudarte!

¿Necesitas contratar un DPO?

Read more


Certificación Delegado Protección de Datos de APEP

La Asociación Profesional Española de Privacidad ofrece en su completo programa de formación diferentes enseñanzas que integran en sus temarios conocimientos y competencias adecuados para la preparación de la Certificación necesaria para convertirse en un experto Delegado de Protección de Datos.

Certificación APEP

El Delegado de Protección de Datos será un profesional de gran relevancia y responsabilidad en las organizaciones y que deberá ser incorporado de obligatoriamente en las Administraciones Públicas y gran parte de las empresas. De ahí que esa certificación sea un aval para garantizar la profesionalidad de estos.

Esta Certificación otorga a los profesionales una acreditación fiable y precisa de su especialización en la normativa española y europea sobre Protección de Datos y privacidad.

La APEP pretende realizar un Curso de Especialización para Delegado de Protección de Datos que otorgará las competencias necesarias y previstas por el Reglamento europeo de Protección de Datos para ejercer esta profesión. Este curso tendrá una duración entre 150 y 200 horas y se exige la superación de una prueba final.

Beneficios para profesionales y empresas

El contar con profesionales cualificados supone importantes beneficios para las empresas como:
  1. Gestión eficiente en el ámbito de la Protección de Datos
  2. Plena satisfacción de clientes
  3. Mejora de la comunicación con los proveedores.
  4. Mejora de la imagen corporativa frente a clientes, proveedores y público en general.
  5. Aumento de cuota de mercado.
  6. Reconocimiento externo

Descripción del curso

Esta Certificación otorga a los profesionales una acreditación fiable y precisa de su especialización en la normativa española y europea sobre Protección de Datos y privacidad.

¿Cómo obtengo la Certificación APEP?

Lo cierto es que la APEP está creciendo cada día más, tanto en la ofertas formativas disponibles como en la atención a sus asociados e interesados en esta materia, por lo que no dudes en llamarles al 914 547 067. Te informarán en función de los años de experiencia y conocimientos previos porque la asociación establece diferentes opciones para obtener esta certificación. Consulta aquí el itinerario formativo para obtención de Certificación ACP-DPO.

Guía del DPO

Como son numerosas las consultas recibidas sobre esta nueva profesión he escrito una completa guía sobre el Delegado de Protección de Datos.

¿Necesitas contratar un DPO?

Read more


Sanción de 1500 euros por grabar sin consentimiento

sanción LOPD grabación cámaras
La Agencia Española de Protección de Datos ha sancionado por grabar sin consentimiento, a la empresa Leistung S.L.N.E., tras la denuncia presentada por una mujer cuya identidad queda salvaguardada, con las iniciales A.A.A.

Denuncia por el sistema de videovigilancia

El procedimiento sancionador se puso en marcha tras la denuncia, que aseguraba que la empresa Leistung había instalado un sistema de cámaras de vigilancia en su negocio de Pontevedra, las cuales emitían imágenes en directo en su página web, de acceso público (es decir, abierta a cualquier usuario de Internet). La denunciante aseguraba, además, que en dichas emisiones podían identificarse a los peatones y coches que pasaban junto al comercio, en sus calles adyacentes. Para demostrar el hecho denunciado, A.A.A. suministró pantallazos de los vídeos denunciados e incluso un vídeo demostrativo.

¿Qué clase de sanciones puede imponer la AEPD?

Hay que explicar que la AEPD no es un tribunal, es decir, no es una instancia judicial como tal, sino que es un organismo de control que se define como "independiente", y cuya misión es velar por la observancia de la normativa en materia de protección de datos. En especial, se encarga de que se cumpla el derecho fundamental a la protección de los datos personales. La AEPD, por tanto, puede, además de multas pecuniarias, imponer otras sanciones, pero no puede llevar a la cárcel a una empresa o persona por incumplir la LOPD, sino que informa al ciudadano, le protege para que defienda sus derechos, y actúa como un supervisor que tutela al ciudadano para que pueda ejercer esos derechos. En el caso que nos compete, la AEPD investiga y sanciona a aquellas entidades que puedan realizar alguna actividad contra la protección de datos personales.

Claves para la videovigilancia en mi negocio

Después de este análisis sobre una de las sanciones impuesta por la AEPD respecto a una infracción cometida en materia de videovigilancia, os dejo un artículo con las medidas que hay que tener en cuenta a la hora de poner cámaras en un negocio.

La AEPD informa al ciudadano, le protege para que defienda sus derechos, y actúa como un supervisor que tutela al ciudadano para que pueda ejercer esos derechos.

¿Necesitas cumplir la LOPD?

Read more


Tratamiento de datos de personas fallecidas

fallecimiento redes sociales
Muchos nos hemos preguntado que ocurre con todos nuestros datos una vez que por desgracia hemos fallecido o que pasaría con los datos que hay en la redes sociales de familiares y personas fallecidas, ¿se eliminan?, ¿quién puede acceder a ellos y eliminarlos?

Regulación del tratamiento de datos de personas fallecidas

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. Este derecho asegura a la persona el control sobre sus datos personales, y sobre su uso y destino, con el fin de evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquél que justificó su obtención. Sobre estas bases se adopta la nueva LOPD que pretende adaptar la legislación europea a nuestro ordenamiento jurídico.

La nueva LOPD indica que los herederos, siempre que acrediten adecuadamente su condición, pueden dirigirse al responsable del tratamiento para solicitar el acceso, rectificación o supresión de los datos personales del fallecido.

Y, dentro de esta nueva regulación, se incluye la modificación respecto a los datos de personas fallecidas en el art. 3 de la nueva ley. Así, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro.

¿Quién puede ejercer los derechos en nombre del fallecido?

La nueva LOPD indica que los herederos, siempre que acrediten adecuadamente su condición, pueden dirigirse al responsable del tratamiento para solicitar el acceso, rectificación o supresión de los datos personales del fallecido. También se posibilita el ejercicio de estos derechos al albacea testamentario o a la persona o institución a la que el fallecido hubiera concedido expresamente esta facultad. Los requisitos y condiciones para la validez de este mandato se establecerán por real decreto. En caso de que el fallecido sea un menor o incapaz sujeto a medidas de apoyo, los derechos de acceso, rectificación o supresión pueden ejercerse también por el Ministerio Fiscal.

Fallecimiento y redes sociales

Otra de las cuestiones relevantes es qué ocurre con los perfiles y los datos personales de las personas fallecidas en las redes sociales.

Facebook

En el caso de esta gran plataforma social, se permite establecer un contacto de legado, el cual será la persona elegida por el propio usuario para administrar su cuenta en el caso de que se produzca el fallecimiento de su titular. La cuenta pasará a ser conmemorativa y "el contacto de legado" podrá elegir entre las siguientes opciones:
  • Establecer una publicación para el perfil, como por ejemplo, compartir un último mensaje en nombre del usuario o facilitar información acerca del funeral.
  • Contestar a "peticiones de amistad".
  • Sustituir y actualizar la foto de perfil y de portada.
El "contacto de legado" puede descargar también, una copia de todas las cosas compartidas por el usuario. Así mismo, Facebook específica aquello que el contacto de legado puede y no puede hacer
  • No puede entrar en la cuenta antes de que se produzca el fallecimiento.
  • Borrar o modificar publicaciones o cosas compartidas por el usuario en su biografía.
  • Borrar personas del listado de amigos.
Para preservar el derecho al olvido de los usuarios, también permite que el usuario indique para el caso de su fallecimiento si prefiere que su cuenta pase a ser conmemorativa o se elimine de manera permanente.

Twitter

En esta red social, para la eliminación de una cuenta de una persona fallecida, se exige que se pongan en contacto con la misma, una persona autorizada o un familiar cercano a la persona fallecida. El procedimiento a seguir sería enviar un correo electrónico con ciertos datos, como el certificado de defunción para evitar denuncias falsas o no autorizas. También se permite que los familiares más cercanos puedan solicitar el borrado de contenidos como imágenes o vídeos donde el usuario fallecido aparezca. Si bien, el borrado de este contenido solamente se llevaría a cabo en el caso de que no fuera de interés para el resto de usuarios. Como ejemplo de contenido de interés, sería que el usuario apareciese en una noticia, en este caso, Twitter no procedería a su eliminación.

Excepciones

Como excepción, los herederos no podrán ejercer el derecho de acceso, rectificación o supresión cuando el fallecido lo hubiera prohibido expresamente o así se indique en una ley.

¿Necesitas cumplir la LOPD?

Read more


¿Es necesario el Reglamento sobre Privacidad y Comunicaciones Electrónicas?

e-privacy certificado
¿Sabíais que se va a aprobar un Reglamento relativo a la privacidad en las comunicaciones electrónicas? En este artículo te desvelo las claves de e-Privacy y lo que el Supervisor Europeo de Protección de Datos (SEPD) ha dicho del mismo.

Motivación por la que surge el e-Privacy

Este Reglamento surge, para sustituir a la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas y también como complemento del RGPD. La Comisión Europea, solicitó un Dictamen preliminar al SEPD, sobre la propuesta de este Reglamento y llegó a conclusiones tanto positivas como negativas del mismo.

Aspectos positivos

Regulación en un marco normativo diferente

Lo cual, es muy positivo, para proteger el derecho a la intimidad, regulado en el art. 7 de la Carta Europea de Derechos Fundamentales, ya que, complementa el RGPD y ambos dotan de una mayor protección a este derecho a la privacidad en las comunicaciones electrónicas.

Mayores garantías

Respecto tanto al contenido como a los metadatos. Así como, apoya que se establezca una mayor protección respecto de los servicios over-the-top (OTT).

Aspectos negativos

Redacción del texto

Está redactado de una forma muy generalista, lo cual, no garantiza de manera adecuada la seguridad en las comunicaciones electrónicas.

Las definiciones

Están enfocadas al mercado y a la competencia, de acuerdo al Código Europeo de Comunicaciones Electrónicas (CECE) y deberían de haberse establecido en base a la privacidad de acuerdo al RGPD. Esto provoca contradicción ya que deja al libre albedrío un abanico muy amplio de interpretaciones de la norma.

El consentimiento

Debe ser reforzado, solicitando el consentimiento, tanto de los usuarios que están utilizando el servicio (independientemente de si se han suscrito o no), como de todas las partes implicadas y de aquellas personas titulares de los datos que se comunican.

Coherencia

Los datos recogidos no deben ser utilizados para otros fines distintos de aquellos para los que fueron recabados, alegando una excepción prevista en el RGPD. Lo que en definitiva quiere el SEPD es que ambos textos sean congruentes.

Las Cookies

El SEPD manifiesta su desacuerdo respecto a que el acceso a una página web este condicionado a que el usuario acepte “las cookies“. El consentimiento tiene que ser dado sin condicionantes.

Seguimiento de usuarios

No asegura la configuración por defecto de los navegadores para evitar el seguimiento digital del rastro de los usuarios.

Ubicación

Tampoco se garantizan las excepciones relativas a la ubicación de los equipos ya que son muy amplias y carecen de los medios de seguridad adecuados.

Inseguridad Jurídica

Se deja a los Estados miembros una gran libertad para establecer las restricciones que consideren pertinentes.

Mi opinión sobre el e-Privacy

Este Reglamento supondrá un gran avance para poder garantizar un nivel elevado de protección de las comunicaciones de los ciudadanos, así como, para establecer unas condiciones de igualdad para todos los usuarios de la UE. Sin embargo, a pesar de que supone una novedad muy positiva, el legislador deberá modificar y mejorar el texto legislativo para que se complemente a la perfección con el RGPD. Del mismo modo, deberá delimitar y simplificar las disposiciones del mismo.

¿Necesitas cumplir la LOPD?

Read more