junio 7, 2012

Los peligros de la Web: LOPD y LSSI

Es la historia del turista que va de safari a África y pregunta al guía:

¿Qué animales deberían darme más miedo?; ¿De cuales debería alejarme?; ¿Cuáles son peligrosos?

A lo que el guía responde:

Todos

Pues si tenemos o nos planteamos tener un negocio de Comercio Electrónico o una Web que preste servicios –aunque estos sean gratuitos–, la pregunta a hacer es

¿Qué ley debo cumplir?. ¿Con cuál corro más riesgos?

A lo que el guía responde:

Todas

Las Leyes de los peligros

Obviamente la normativa dependerá de la actividad y los servicios, y aparte de la normativa ‘analógica’, en el sector del Comercio Electrónico hay dos normas a las que hay que prestar especial atención:

  • LSSI (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico) -> en adelante ‘el hipopótamo’
  • LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) -> en adelante ‘el leon’

Si le preguntamos al turista nos dirá que el león es mucho más peligroso que el pesado hipopótamo. Pero si le preguntamos al guía –o a cualquiera aficionado a los documentales de La 2– nos contará que el hipopótamo es el animal que más muertes causa en África.

Pues con las leyes pasa más o menos lo mismo: la mala fama –merecida en parte– de la LOPD y de su brazo armado, la AEPD, no quiere en absoluto decir que el turista deba despreocuparse de esos otros aparentemente pacíficos vecinos para con los que poner los datos del titular de la web y poco más, se cree que ya habremos cumplido.

Los peligros

Pero vayamos por partes: ¿Cuál es el importe de las sanciones previstas en cada una de la normas?

LOPD:

Artículo 45. Tipo de sanciones.

  1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros
  3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

LSS:

Artículo 39. Sanciones.

a. Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros.

b. Por la comisión de infracciones graves, multa de 30.001 hasta 1 50.000 euros.

c. Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Como se ve, el importe de las sanciones no varía tanto en una u otra ley, entonces ¿cual nos debería dar más miedo?

Bajarse del coche para la foto

El problema del la LSSI (el hipopótamo que decíamos) es la fama. Y es que al no estar tan claro quién puede imponer la sanción como en el caso de la LOPD, las repercusiones mediáticas de estas no son tan espectaculares como las de la AEPD.

Atendiendo a quien puede imponer la sanción, las sanciones por incumplimiento de la LSSI podrán ser impuestas:

  • por la autoridad que dictó la resolución incumplida,
  • o por el órgano al que estén adscritos los inspectores,
  • o por el órgano correspondiente de consumo de las Comunidades Autónomas,
  • o por el ministro de industria caso de infracciones graves,
  • o por el Secretario de Estado en infracciones y leves,
  • o por la autoridad competente en función de la materia de que se trate,
  • o por la AEPD,
  • ¡… o por varios de ellos!

Ello genera una inseguridad que ya se trató en este blog recientemente y de forma más detallada en un post sobre las infracciones y sanciones en las web.

Evidentemente, el león (LOPD) tiene una reputada fama, rapidez y poderosos colmillos (AEPD), pero el hipopótamo (LSSI) protege con fiereza su territorio y puede salir en cualquier momento de debajo del agua.

Las fotos, tras el cristal

Tal como empezábamos este post

¿Qué ley debo cumplir?. ¿Con cuál corro más riesgos?

Todas

Y no conviene ponerse a juguetear ni con el león ni con el hipopótamo, porque el E-commerce sin asesoramiento legal es como ir de safari con un tirachinas. La broma, sin duda, saldrá cara.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 12, 2019

Partidos políticos, uso de ficheros ideológicos y privacidad

Filed under: Actualidad,Protección de Datos,RGPD — Etiquetas: — legisconsulting @ 13:24

Cualquiera (¡sí, cualquiera!) podrá estudiar, almacenar, y usar como le parezca opiniones políticas. Incluso para cambiarlas como ya hizo Cambridge Analytica.

Evidentemente a los partidos (todos) están encantados de poder almacenar las preferencias y opiniones políticas de sus votantes y de los que no los son. Y si las opiniones son personalizadas y no meras tendencias de opinión, pues mejor que mejor. Para tratar esos datos persona por persona solo necesitan un programa de ordenador. Y si son datos de millones de personas, pues sólo un ordenador algo más potente.

A pesar de que el RGPD lo prohíbe expresamente (Art 9. 1.Quedan prohibidos el tratamiento de datos personales que revelen (…) las opiniones políticas), se ha venido a crear una estructura que permitirá a cualquiera tener un archivo con las opiniones políticas de sus vecinos.

Permiso para recabar opiniones políticas

Abre la puerta a ello el RGPD bajo el argumento de que sí que está prohibido pero poquito. Se permite recabar opiniones políticas de personas físicas, primero porque quienes las recaban son partidos políticos (apartado ‘d’), porque son datos que el interesado podría haber hecho públicos (apartado ‘e’) y, según un Dictamen Jurídico de la AGPD, por un supuesto ‘interés público esencial’ (apartado ‘g’). (Considerando nº 56 y Art 92.2, letras d), e) y g)).

Y en base a la normativa Europea se crea un Artículo a medida de la Ley Electoral General (Art. 58 bis):

2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

De donde sacar esa información

Como andar preguntando puerta a puerta por opiniones políticas sería carísimo para los partidos, estaría mal visto y además está prohibido por la Constitución, se abre la puerta también a que esa información se pueda recoger simplemente de la Red  cambiando fuentes de acceso público.

Así cualquier comentario publicado en Facebook o Twitter, cualquier foto en Instagram o cualquier comentario que haya hecho en un blog será una fuente legítima para que por partidos políticos puedan recabar datos sobre pautas (o monitorizar la actividad de individuos concretos) y utilizarlos para enviar publicidad personalizada ..o directamente manipular las opiniones como ya hizo Cambridge Analytica.

Un Gran Hermano en toda regla, pero el del 1984 de Orwel, no el de la TV.

La postura de la AGPD

Los partidos, en periodo electoral, podrán bombardearnos con publicidad personalizada, adaptada a las necesidades, opiniones y comportamiento de cada persona. Y eso generó un escándalo que hizo a la AGPD emitir un Dictamen Jurídico justificando la legalidad del Art 58. Bis

Basa la AGPD su argumentación en:

  • –        El «Interés Púbico Esencial» que traduce como que el tratamiento de opiniones políticas se enmarca dentro las actividades legítimas de los partidos y con el límite de informar al electorado, pero en ningún caso de influir o condicionar su voto.
  • –        El Sujeto que puede recabar los datos: sólo partidos políticos o agrupaciones electorales.
  • –        El Marco del tratamiento: La circunscripción exclusiva a ‘actividades electorales’.
  • –        La Finalidad: siempre en relación (que no directa ni exclusivamente) con su actividad electoral
  • –        Los Datos Personales Objeto del tratamiento: “opiniones políticas de las personas” obtenidas “en páginas web y otras fuentes de acceso público
  • –        El Tipo de Tratamiento: En resumen, cualquier tipo de operación realizado con los datos o con ‘conjuntos de datos’, pero siempre ‘proporcional al objetivo perseguido’
  • –        Con Garantías Adecuadas: Estableciendo básicamente las exigencias propias de datos sujetos al máximo nivel de protección.

Fija como límite temporal para el tratamiento de los datos la presentación de candidaturas.

Excluye la Propaganda Electoral del requisito previo indispensable de pedir autorización para su envío de la LSSI al no considerarla como ‘comunicaciones comerciales‘.

E insiste reiteradamente en la prohibición de utilizar técnicas como el ‘micro-targeting’ y en dar la posibilidad a los damnificados de oponerse de forma fácil e inmediata al envío de propaganda.

Los Derechos de los Ciudadanos

Como se ha insistido en numerosas ocasiones en este Blog, los Datos Personales constituyen un Derecho Fundamental consagrado tanto por la Constitución, como por la Carta  De  Los  Derechos  Fundamentales de  La  Unión  Europea, y es por ello que cabe preguntase si están en este campo suficientemente protegidos.

En primer lugar cabe destacar el fundamento del «Interés Público» como justificación suficiente para este tratamiento.

Es sabido que el  interés público es un concepto jurídico indeterminado con una doble función según la doctrina legal: por una parte dar cobertura legitimadora por una parte a la actuación de la Administración; y por otra como una de las formas de limitar las potestades administrativas.

En este campo, la utilización del término «Interés Público» tal vez no haya sido el más adecuando atendiendo por un lado al bien general que parece perseguir que es el derecho de los ciudadanos a acceder a toda la información necesaria para poder emitir su voto de forma fundada; y por otro a que la otra parte afectada por la normativa son los partidos políticos, que evidentemente no son Administración Pública.

En segundo lugar se establece la exclusión del consentimiento previa. Los partidos no necesitarán del consentimiento de ningún ciudadano para catalogarle como de una determinada opinión política y utilizar esos datos con los fines electorales que estimen convenientes, pero parece dudoso que algo así encaje con el espíritu del RGPD o incluso con la doctrina del Tribunal Constitucional.

Así, el Tribunal Constitucional, en su Sentencia 94/1998, de 4 de mayo establece que el Art. 18.4 de la CEno sólo entraña un específico instrumento de protección de los derechos del ciudadano frente al uso torticero de la tecnología informática, sino que consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona«. Y la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.

Un paraguas legal en que el ciudadano solo tiene conocimiento de que se están tratando sus datos cuando recibe propaganda electoral, sin que pueda conocer como se han obtenido dichos datos o con qué fines se están usando, no parece ser muy acorde con la doctrina del tribunal constitucional en esta materia.

Y en tercer lugar, parece más que cuestionable un sistema por el que cualquier persona física mayor de edad no incapacitada (Art 2 Ley Orgánica 6/2002, de 27 de junio, de Partidos Políticos.) pueda recabar y tratar datos sobre opiniones políticas de sus vecinos.

A nivel personal, a un ciudadano tal vez le pueda dar igual manifestar públicamente su apoyo al Partido Independentista de los Pueblos del Fuero de Baylio, pero ese ciudadano tiene el derecho fundamental a que nadie use esa información en su beneficio, porque es una información que vale millones… o si no que se lo pregunten a Facebook, Google, PSOE, PP, Ciudadanos, Podemos, Vox o los pacenses.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 22, 2018

Partidos políticos y barra libre de consentimientos LOPD

Filed under: Comercio Electrónico,Protección de Datos,RGPD — legisconsulting @ 13:24

Daños colaterales de la Ley Electoral: ¿Podrá cualquiera tratar datos personales de cuaualquiera sin consentimiento por el mero hecho de haberlos encontrado en Internet?

Ante las noticias aparecidas en medios de comunicación sobre la modificación de la Ley Orgánica del Régimen Electoral General (LOREG) en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, la Agencia Española de Protección de Datos (AEPD) quiere manifestar lo siguiente(*):

«El texto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas.

Tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos.

Sólo permite, conforme al Considerando 56 del Reglamento Europeo de Protección de Datos, la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales. Esta interpretación se fundamenta en la supresión del término “tratamiento” recogido en la enmienda 331 inicialmente presentada en el Congreso.

Este criterio se basa, asimismo, en la supresión del apartado 2 de dicha enmienda, que permitía la difusión de propaganda electoral basada en perfiles ideológicos con determinadas garantías.

El texto permite el envío de propaganda electoral sin que su contenido pueda basarse en los perfiles antes citados, identificando en cualquier caso su naturaleza electoral y garantizando el ejercicio sencillo y gratuito del derecho de oposición.

En todo caso, las previsiones del artículo recogido deben cumplir todas las garantías establecidas en el Reglamento Europeo de Protección de Datos.»

(*)Texto extraido de la web Noticias Jurídicas

Pero al margen de comunicado, veamos las normas:

1.-) REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD)

Considerando (56):  Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

2.-) Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (en tramitación)

Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2.
Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.

5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.

Y  según el RGPD, tienen la consideración de fuentes de acceso público:

  • el censo promocional,
  • las guías telefónicas
  • las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
  • los diarios y boletines oficiales
  • los medios de comunicación… (Internet y las Redes Sociales no lo son, al menos hasta ahora)

Entonces, eso de «páginas Web y otras fuentes de acceso público«: ¿cambia el concepto de fuente de acceso público?; ¿podremos -cualquiera, no solo los partidos- tratar datos de cualquiera que cumpla la LSSI en su Web?; ¿o de cualquiera con un perfil de Linkedin o Facebook?; ¿¡…sin consentimiento expreso!?

Personalmente pienso que no puede ser, pero aquello de la seguridad jurídica parece ser un bien cada vez más escaso…

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 17, 2018

Como adaptar la Web al Reglamento de Protección de Datos — RGPD IX

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 11:26

El próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) que traerá la obligación de adaptarse al mismo a todas las Webs. Porque aunque para entonces no habrá Ley nacional, este será plenamente aplicable y la AGPD ya avisa que empezará a imponer sanciones por su incumplimiento.

Webs obligadas a adaptarse

Básicamente viene obligado quien viene obligado por la ya veterana en este mundo LSSI. Como ya hemos señalado en numerosas ocasiones en este Blog, cualquiera que mantenga una actividad económica relacionada de alguna forma con la Web. (Obligados).

El aviso de Privacidad

Todas las Webs deberán disponer de un texto de aviso de privacidad en que se informe a los usuarios de que se están captando datos personales. Qué datos de se están captando; con qué finalidad; quien los está captando;  cómo y por quien van a ser tratados esos datos; y durante qué plazo se van a conservar. (Tratamiento de los datos)

Además se debería proporcionar al usuario la nueva información obligatoria derivada del RGPD y de los nuevos derechos que le otorga el RGPD.

Pero es que además, de forma previa a la captación de los datos, el usuario debe prestar su consentimiento.

Las Cookies

El nuevo RGPD mantiene en su considerando 30 que en el momento en que la web instale algo en el ordenador (cookies) que permita identificar a una persona entramos en el ámbito de actuación del Reglamento, por ello cabe entender como válida en su práctica totalidad guía de Cookies que en su día publicó la AGPD en aplicación del Art. 22.2 LSSI que nos permite instalar tales cookies.

Por tanto, el  modelo de cookies sigue siendo válido, pero se acabó la mecánica habitual de «si sigue navegando acepta«. El consentimiento ya siempre debe ser expreso siempre y el texto (y la consiguiente consecuencia técnica) debería transformarse de algo del «si quiere seguir navegando con cookies, acepta«.

Las Condiciones de Servicio

Las Condiciones de Servicio integran en muchas ocasiones el mismo «Aviso de Privacidad» porque en muchas ocasiones resulta más práctico y facilita la usabilidad del sitio Web. Pero incluso en los casos en que no se integra, las propias condiciones del servicio y la forma en que se presta este pueden afectar al los datos personales; a como se captan y al uso que se hace de ellos. En este caso sería necesario adaptar también estas Condiciones de Servicio al RGPD.

El consentimiento

El consentimiento es la primera pieza angular del nuevo RGPD  y el que más cambios nos obligará a adoptar en las páginas Web y en la operativa de cualquier presencia online.

Como ya se ha señalado anteriormente, el consentimiento de verá ser siempre expreso y se deberán establecer mecanismos que demuestren que se ha prestado ese consentimiento de forma expresa y una forma segura de almacenar tales consentimientos.

Y la «Actitud»

Los datos no se podrán almacenar, tratar o usar como hasta ahora. Y sobre todo, la actitud no podrá ser la misma que hasta ahora.

Aunque parezca un concepto algo abstracto, el RGPD exige, como segunda piedra angular,  una actitud proactiva en el tratamiento y la protección de los datos personales. Actitud que debe reflejarse en acciones materiales concretas y demostrables que demuestren tal actitud. Algo nada abstracto pero mucho más flexible para los titulares de webs que deberán plantearse en cada caso concreto qué acciones deberían tomar. Y si no las encuentran, consultar a un especialista.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 2, 2018

Obligados a la protección de datos — RDPD VIII

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 13:07

El 25 de mayo entra plenamente en vigor en nuevo Reglamento Europeo de Protección de Datos que afecta a PYMES, autónomos y muchas personas que ni se les pasa por la imaginación que pudiesen estar obligados y por lo tanto expuestos a cuantiosas sanciones.

Obligados

En resumen, todo el mundo, ya sean personas físicas o jurídicas, con datos en ficheros personalmente total o parcialmente automatizados, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero de personas físicas, en actividades que no sean  exclusivamente personales o domésticas.

Es decir, cualquier dato personal en cualquier actividad que no esté exclusiva y únicamente relacionado con nuestra vida privada personal.

Artículo 2 Ámbito de aplicación material

2.El presente Reglamento NO se aplica al tratamiento de datos personales:

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

Es casi textualmente lo mismo que señala la vigente LOPD y, como normativa complementaria en el campo que le es propio, la LSSI. Por ello disponemos de un amplio y detallado desarrollo de lo que esto significa. Así, quedarán dentro de las actividades sujetas a la ley todas las actividades económicas, incluidos «los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios«.

Pero esto es sólo el resumen y conviene analizar cada elemento  para ver si realmente se está sujeto a las obligaciones del Reglamento (RGPD).

Que son ‘Datos Personales’

Toda información sobre una persona física identificada o identificable cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Es decir, casi cualquier dato referido a una persona, desde su nombre o número de DNI hasta la dirección IP de su ordenador.

Que es un ‘Fichero’

Fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Es decir, desde las bases de datos en la nube, la agenda del teléfono, hasta la agenda de teléfonos en papel que dejó el abuelo en el cajón del despacho o hasta los Post-it con los teléfonos que pegamos a la pantalla son ‘ficheros‘ a efectos de la Ley .

Que es el ‘Tratamiento de datos’

Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Es decir, desde un punto de vista legal, desde guardas las IP de las personas que visitan nuestra Web hasta tirar el Post-it que decíamos antes a la papelera es ‘tratamiento‘ de datos.

En qué ‘Actividad’

La obligación se extiende a todo tratamiento datos personales independientemente de la actividad u objetivo que se persiga con los datos personales. Sólo existe una excepción general a esa norma si se ‘tratan‘  en un ámbito exclusivamente personal o doméstico.

Soy consciente de que el concepto puede ser lo suficientemente abstracto para que genere dificultad aplicarlo a un caso concreto, por lo que tal vez trasladarlo ejemplos concretos puede facilitar su comprensión.

Ejemplos

  • La agenda que los abuelos guardan en la mesita del teléfono: obviamente no hay nada tan doméstico ni personal como eso y por tanto estaría excluido de las obligaciones del RGPD.
  • El frutero de la abuela (o cualquier tienda física)  que le lleva a la compra a casa porque pesa.  Es igual de obvio que la dirección de la abuela no es una dato personal ni doméstico del frutero y debería cumplir todas las exigencias de la normativa de protección de datos aún cuando tenga la dirección en un papel en la caja.
  • Una Web en la que se venden productos, se ofrecen servicios o funciona como mero ‘escaparate’. En este casi Sí estará obligada a cumplir las disposiciones en materia de protección de datos aún cuando no se venda o contrate nada online. Aunque si a través de la Web no se recaba ningún tipo de dato personal ni se recaban datos ya sea de forma consciente o inconsciente (por uso de cookies por ejemplo). En ese caso NO estaría obligada por el simple hecho de que no hay datos que tratar.
  • Un blog en el que se enseña a diseñar y montar centros de mesa y en el que, como en la mayoría de los blogs, se permite dejar comentarios o hacer consultas con la dirección de Email, que es un dato personal:
  • Si el blog se mantiene -o desde la asociación de vecinos o la biblioteca municipal- y quien lo hace no tiene ninguna actividad profesional relacionada, esta persona NO estaría obligada.
  • Pero si el titular del blog tiene o es socio o trabajador con según qué responsabilidad en algún tipo de negocio relacionado con las flores en el sentido más amplio -desde una floristería; a un salón de banquetes; o a una funeraria, se me ocurre-, en este caso estaría fuera de su esfera estrictamente personal o doméstica y  SÍ estaría obligado a cumplir con todas las obligaciones aunque el único dato personal al que tenga acceso sea el Email de los usuarios con sus comentarios.
  • Un canal de Youtube en que se enseñan a fabricar anzuelos para la pesca. Al igual que en el caso anterior, en tanto se haga por diversión y se realice a titulo estrictamente personal, NO estaría obligado.  Al menos durante el tiempo en que las visitas no se cuenten por miles, porque cuando sea así y se empiece a cobrar, por poco que sea, entonces SÍ se pasará a estar obligado.
  • Médicos, dentistas, fisioterapeutas, etc. Los datos que tratan y a los que acceden están especialmente protegidos y sus obligaciones son mayores que las de resto de interesados y las sanciones por incumplimiento de dichas obligaciones, sustancialmente mayores. SÍ, SIEMPRE están obligados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

diciembre 2, 2014

Guía ultrabreve de Comercio Electrónico

El Comercio Electrónico o ECommerce está teniendo un crecimiento exponencial en los últimos tiempos y se prevé que siga así. Por ello es fácil encontrar a quien cree que basta con ‘estar‘ en Internet para aprovechar la ola, o a los que piensan que hay que estar «porque todo el mundo está‘. Pero estar por estar sin más es absurdo y peligroso. Es como salir de Safari con tirachinas.

A continuación, una lista del equipo con el que cargar para hacer seguro el ‘Safari‘.

Incluye el «Aviso legal«: Es obligatorio aunque la Web o el Blog aunque sólo sean el ‘escaparate’ de una actividad Económica (contenido obligatorio)

Redacta e incluye unas «Condiciones de Servicio«:  Los contratos son ley entre las partes. Y si no estableces la ley para las transacciones con tus clientes se aplicará la ley supletoria (LSSI, Ley de Consumo, Código Civil, etc). Es posible entonces que esas disposiciones ‘supletorias’ no encajen en la idea que tienes de las responsabilidades que estás dispuesto a asumir. Porque lo que pongas en ellos -con límites- es ‘la Ley de la Web‘.

Establece cuál es la «Política de Privacidad«: Debes manifestar qué datos se guardan, como se hace, con qué finalidad, que se cumple con las exigencias legales y que se manifiesta su aceptación.  (Política de Privacidad en las web)

Cuida las «Cookies»: Son la estrella mediática de la protección de de datos personales y las que peor reputación tienen. Puede no instalarse ninguna y el problema estará resuelto, pero es difícil que un informático no incluya por defecto alguna como Analytics. Pero cumpliendo con las normas establecidas e incluyendo en fondo y forma el modelo propuesto por la AGPD, no deberían suponer un problema.

Cuida el tratamiento de los datos: Además de los puntos anteriores, la ley obliga a una determinada forma de tratar, almacenar (en servidores propios o en Cloud) y acceder a los datos recabados de los Usuarios de la Web. Todos unos mecanismos que deben estar contenidos en un «Documento de Seguridad» exigido por la AGPD.

Registra los ficheros: Si se tienen datos personales de usuarios (y casi todos lo es, hasta direcciones IP), los ficheros deberán estar registrados ante la AGPD.

Cumple las obligaciones ‘Societarias’: Si se está actuando a través de una Sociedad, la Ley establece unas obligaciones y requisitos concretos para tener u operar una Web.

Cuida los Medios de Pago:

  • Elige la pasarela de pago que mejor se adapte al modelo de negocio concreto:  Aunque no lo parezca, hay vida más allá de Paypal (Que pasarela de pago es la mas fiable)
  • Muestra con quien gestionas los cobros: Es incluso buena idea y aporta seguridad mostrar que la pasarela está en el  Listado de Entidades del Banco de España
  • Nunca guardes datos de tarjetas de clientes. Es Ilegal y la lista de entidades y empresas dispuestas a arruinar el negocio con sanciones es extensa (AGPD, Autoridades de Consumo, Banco de España, Visa, etc)

Declara los ingresos de Paypal (o similar): Paypal no es una cuenta opaca en un paraíso fiscal, es un mero medio de pago en el que los ingresos a través de él percibidos deben ser declarados a Hacienda igual que los de cualquier otro medio de pago. (cuestiones y dudas sobre Paypal)

Cumple la Ley de Consumo (aunque cueste): Cumplir la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI) no es suficiente. La Nueva Ley de Consumo también es aplicable al ECommerce y la muy diversa  muy diversa normativa supone un gran escollo y un gran riesgo.

Incluye toda la documentación: Se exige en Comercio Electrónico proporcionar cliente documentación tal como una copia del ‘contrato en soporte duradero’ o un Formulario Desistimiento.

Cuida la Publicidad: Además de cumplir todas disposiciones y límites de la Ley General de Publicidad existen prohibiciones y límites específicos propios del Ecommerce como el Spam o comunicaciones electrónicas no solicitadas. El Spam es igual de ilegal ya se haga a través de correo electrónico desde cualquier cuenta de correo (personal o no) o a través de los servicios de mensajería internos entre usuarios conectados de Linkedin o Facebook.

Asegúrate de que lo que vendes es lo que crees vender: O dicho de otro modo, sé consciente de la obligaciones que asumes y con qué límites. Si vendes algo serás corresponsable con el fabricante ante el comprador de eso que vendes. Si prestas un servicio serás responsables de su buen fin. Si simplemente ‘intermedias‘ (plataformas de intercambio, de venta o incluso de ‘encuentro’ entre particulares por ejemplo) serás responsable de probar que no eres parte en modo alguno de una operación entre terceros si no quieres.

Sé consciente de los derechos de tus clientes: Aparte de los derechos legales atribuidos por otras normas o por los propios Términos y Condiciones de Servicio de la web, los clientes de Ecommerce son Consumidores o Usuarios en los términos de la Ley y ello les proporciona una serie de derechos que la propia Ley considera como irrenunciables ni tan siquiera aceptando  las Condiciones de Servicio de la Web.

Evita los peligros del ECommerce: Que como se ha puesto de manifiesto, van más allá de temida LOPD

Evita las sanciones: Que van mucho más allá de la temida AGPD (Inseguridad jurídica en sanciones a las web)

Asegura tu actividad: Con un asesoramiento profesional especializado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

agosto 27, 2014

Nueva ‘Ley de Cookies’ y navegadores

La nueva Ley de Telecomunicaciones aprovechó sus Disposiciones Derogatorias para meterse en jardines que no le son propios y modificar, entre otras, la ‘Ley de Cookies’

El cambio en la ‘Ley’

Como ya sabe todo el mundo, la ‘Ley de Cookies’ no es una Ley, sino el artículo 22.2 de la LSSI

Antes se permitía prestar en consentimiento del usuario a las Cookies mediante la configuración de su navegador para que de forma automática las admitiera siempre que ello proviniera de una acción expresa por parte del usuario en esta sentido.

Ahora se elimina el requerimiento de tal acción expresa por parte del usuario.

Pero como es más fácil mostrarlo que explicarlo, a continuación la ‘Ley’ en su redacción antigua y en color azul la parte eliminada en la reforma (el resto queda igual):

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

¿Supone algún cambio?

Desde mi punto de vista vaya por delante que entiendo que no.

Parece que se está eliminando la exigencia de una acción ‘expresa‘ del usuario modificando la configuración de su navegador, pero no es realmente así.

En primer lugar porque se mantiene el texto del párrafo primero que exige el consentimiento del usuario, lo que junto a la referencia a la LOPD determina que tal consentimiento sea expreso y previo para algunos tipos de cookies que no corresponde aquí analizar.

En segundo lugar por lo que hay detrás de la ‘Ley’ y que utilizará la AGPD para establecer la interpretación de la norma y cuando se estará vulnerando y proceda imponer una sanción.

Y en este sentido, la AGPD tendrá que acudir a Grupo de Trabajo de la Comisión Europea creado por la Directiva 95/46/CE de protección de datos como órgano consultivo para armonizar la interpretación de la normativa en toda Europa. Y este órgano ya ha interpretado que el consentimiento del usuario sólo se entenderá prestado a través de la configuración de los buscadores u otras aplicaciones cuando por defecto estos rechacen cookies de terceros y requieran que el usuario realice una acción expresa para hacer que la configuración acepte las cookies.

Es decir, que si el navegador no debe ser configurado expresamente por el usuario para aceptar cookies, o simplemente el dispositivo no permite tal configuración, el consentimiento no se tendrá por prestado de forma expresa y es probable que la AGPD entienda que se ha cometido una infracción si no se busca un consentimiento expreso previo a su instalación.

Habrá que esperar como siempre a la interpretación que haga la AGPD, pero da la impresión de que esto no supondrá cambio alguno y que servirá para poco más que para obligarnos a hacer nuevas elucubraciones de lo que pretendía el legislador en lugar de simplificarnos la vida como debería.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 9, 2014

Formas rápidas e indoloras de suicidarse

Hay muchas formas de ‘suicidar‘ un negocio, pero una lenta y dolorosa es ofrecer o contratar servicios sin cumplir todas las normas o garantías legales.

Un negocio trabajado

La semana pasada recibí una solicitud de contacto en Linkedin que resultó ser alguien que sólo un día después me envió un correo ‘presentando’ sus servicios. Lo que se llama en términos legales publicidad.

Se presentaban los servicios a través de una Web muy buena, con servicios ofertados claros y las tarifas increíbles. Sin duda, de los suyo sabían lo que hacían y habían hecho un grandísimo trabajo y una importante inversión. Pero no sabían de leyes:

· El art. 10 de la LSSI no es toda la LSSI o sobrarían 44 artículos y varias disposiciones adicionales.

· Las exigencias de Protección de Datos no se limitan a registrarse ante la AGPD (estaría muy bien).

· Decían que habían conseguido los ‘certificados de seguridad‘ exigidos para su actividad,

· pero no decían cual era su actividad, porque evidentemente la que parecían ofertar no era tal.

· Y no era tal porque tras una rápida búsqueda en Internet para saber si tenían la preceptiva autorización resultó negativa.

Hasta aquí una bonita lista de infracciones y sanciones derivada de una bonita lista de leyes distintas.

Pero es que aún cumpliendo la LSSI, la LOPD y con los certificados de seguridad, hay cosas que no puedo hacer; no puedo ofrecer un servicio de correo sin licencia; no puedo ofrecer servicios de pago si no soy una entidad de pago o un agente de una de ellas; no puedo ejercer de médico o abogado sin el título correspondiente; ni puedo ser carnicero sin el de manipulador de alimentos.

¿Actividad Ilegal?.. y sanciones por error

Pues no necesariamente. Y este es el caso que inspira este Post.

En Internet es bien sabido que es fácil el «no soy pero lo parezco«. Un proxy a una entidad con todos los permisos es legal y hasta habitual: presento a la apariencia de ser y prestar sin ser ni prestar. Pero no decir quién presta realmente el servicio y en qué condiciones sí es ilegal y también es motivo de jugosa sanción para quien lo presta y genera una enorme inseguridad en quien lo contrata.

Varias leyes prohíben esta falta de transparencia y establecen múltiples y graves sanciones (acumulativas) que serán impuestas por muy diversas autoridades. Algunas legítimas como las del apartado anterior, pero incluso algunas sanciones por error. Imagine por ejemplo que la autoridad reguladora piensa que -tal como parece en la Web- ofrecemos unos servicios que no ofrecemos (la falta de trasparencia que decíamos antes)sin licencia, pues es probable que directamente envíe una sanción y la orden automática de suspender actividades antes incluso de preguntar.

El riesgo del usuario

Quien está contratando este servicio en concreto no sabe realmente quien se lo va a prestar, ni en qué condiciones, ni con qué garantías. Pero tampoco sabe quién va a acceder a sus datos en muchos casos como el de las Entidades de Pago, muy sensibles ni quién los va tratar, ni dónde, ni con qué fin, ni en qué forma.

Es legal y no acarrea en principio responsabilidad para el usuario contratar con este tipo de servicio, pero supone un enorme riesgo para él la renuncia a las garantías legales que de hecho supone. Las leyes están hechas con mayor o menor fortuna, pero la intención de todas las exigencias, registros y autorizaciones es siempre la misma: la seguridad del usuario.

De safari por la jungla

En este caso, como en muchos otros, además de las normas generales de actividades por Internet hay que cumplir

· las normas y autorizaciones específicas de la actividad en Internet;

· otras normas generales no específicas de Internet;

· además de normas ‘generales

· y normas específicas de la actividad con su especialidad para negocios online.

Una maraña normativa que afecta a cualquier negocio y que se incrementa más incluso si el negocio es Online o se contrata Online.

Internarse en esta jungla sin guía (legal) es como ir a cazar leones con tirachinas. Tanto para quien ofrece como para quien contrata servicios observar la ley y asegurarse de que se observa es esencial. No todo lo que contratamos es lo que parece ni todos los peligros de la jungla son leones o hipopótamos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

enero 24, 2014

Cookies: Información y consentimiento (actualizado)

Filed under: Actualidad,Comercio Electrónico,Informática,Protección de Datos — Etiquetas: , , — legisconsulting @ 10:29

La AGPD aclara finalmente, a través de una resolución, la forma correcta de plantear las cookies a los usuarios.

Hasta ahora teníamos claro cuál era la información que se debía proporcionar al usuario en cada momento porque así lo había manifestado la propia AGPD a través de un modelo que debía ser adaptado a cada circunstancia concreta. Y quedaba claro que debía plantearse  a través de lo que la propia AGPD llama ‘información por capas.

El problema era -proporcionando esa información y sabiendo el momento en que debía prestarse al usuario- saber si también era necesaria la previa autorización expresa del usuario para la instalación de cookies. Es decir, si era necesario plantear una pantalla en blanco pidiendo de forma previa la autorización expresa para la instalación de cookies o no.

La AGPD viene ahora, a través de la Resolución de 14 de enero de 2014, a decirnos que

  • la falta de información previa  la instalación de cookies SÍ es sancionable
  • que la falta de autorización previa a la instalación de cookies NO es sancionable

Así, la forma correcta de plantear el aviso de cookies queda como sigue

Información por capas

La AGPD se reitera en la presentación por capas de la Guía sobre el uso de las cookies publicado por la propia entidad hace ya un tiempo.

Así, se plantea la información en dos capas:

Primera capa: debe contener la siguiente  información mínima

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
    • Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
    • Un enlace a la segunda capa informativa en la que se indica una información más detallada.

Esta información –manifiesta la propia AGPD– es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.

Segunda capa: debe contener la siguiente información

  • Definición y función de las cookies
  • Tipo de cookies que utiliza la página web y su finalidad.
    • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
    • Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
    • Definición y función de las Cookies

Insiste la AGPD en la necesidad de que la información proporcionada en esta segunda capa sea ‘completa y clara’  e incluya en particular la ‘tipología de las cookies realmente utilizadas’, ‘finalidad de las mismas’ e ‘identidad de quienes instalan y utilizan las cookies

(Falta de) autorización no sancionable

De cumplirse estos requisitos de información, manifiesta la AGPD que se está cumpliendo la exigencia del Art. 22.2 de la LSSI del ‘consentimiento informado’. Y lo más importante, que la vulneración de ese requisito previo del ‘consentimiento informado’ no es sancionable de acuerdo con el Art 38.4.g) LSSI:

“Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g)”

Por el contrario, sí afirma en otro apartado de la misma resolución que la falta la información íntegra según el apartado anterior de este post, anula el consentimiento que se hubiera prestado y sería objeto de sanción

En conclusión, que la información completa por capas según se ha mostrado anteriormente en este Blog en la forma y con el  modelo de aviso de cookies de acuerdo con las directrices de la AGPD sugeridas en su momento no es sancionable según la AGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

julio 18, 2013

¿Suscripción tácita a Newsletters?

Filed under: Comercio Electrónico,Marketing — Etiquetas: , , — legisconsulting @ 11:59

¿Basta para añadir un suscriptor a nuestra Newsletter que este no se oponga?. Un consentimiento tácito para la recepción de la Nesletter.

Antecedentes

Como en otros Posts anteriores encuadrados en temas de marketing, como los referidos a la publicidad usando redes sociales o al camuflaje de Emails para que no parezcan publicidad, este surge como los demás de un Email real recibido por mí en el correo del despacho.

En este caso se trata de una primera Newsletter –por cierto muy interesante– en que en el Asunto se me “solicita permiso” para remitirme sucesivos Emails de contenido similar. Mientras que en el cuerpo del mensaje un link permite rechazar la invitación a recibir nuevos correos.

En una primera idea me pareció ingenioso aunque dudosamente legal, pero el hecho es que al proceder el correo del entorno Legal como procedía, me surgió también la duda de si mi primera impresión sería cierta y, ¿sería legal captar el consentimiento del suscriptor de esta forma? .

Requisitos para la suscripción

Tratándose la del remitente de una actividad económica, la comunicación se puede entender como ‘promocional’ sin lugar a dudas, por lo que sería plenamente aplicable la LSSI.

Y para ello los requisitos son

  1. Autorización Previa por parte del suscriptor
  2. El consentimiento expreso del mismo
  3. Cumplimiento de todas las exigencias y requisitos de la normativa relativa a protección de datos de carácter personal (LOPD)

Ingenioso, ¿pero legal?

  • Autorización Previa: La ley exige que las comunicaciones comerciales cuenten con una solicitud o autorización previa.

En este caso he recibido un primer correo sin que al momento de su recepción el remitente contara con autorización para su envío, con lo cual este primer envío ya constituiría una infracción que conllevaría su correspondiente sanción.

  • Consentimiento Expreso: La ley exige que además de ‘previo’ el consentimiento sea ‘expreso.

En este caso se plantea que salvo que rechace expresamente la ‘invitación’a recibir la Newsletter seguiré recibiéndolas. Lo que quiere decir en términos legales que en la mejor de las interpretaciones sería una manifestación de voluntad tácita e ilegal en los términos de la LSSI. Y en la peor de las interpretaciones se trataría, no ya de una manifestación de voluntad tácita, sino de un Derecho de Oposición a una manifestación de voluntad inexistente del Suscriptor.

En cualquier caso la autorización del suscriptor no existiría y todas y cada una de las sucesivas Newsletters supondrían una infracción de la LSSI y la correspondiente sanción

  • LOPD: Además, tratándose de una actividad que no es estrictamente personal o doméstica, habría que haber cumplido todas las exigencias para la captación de datos de carácter personal. Algo que en mi caso concreto estoy bastante seguro de que no se ha cumplido.

En definitiva, que la ley (LSSI) establece una prohibición taxativa y abierta a pocas interpretaciones que es vulnerada por este original mecanismo:

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

Marketing de alto riesgo

Entiendo que la normativa limita enormemente el trabajo de las empresas de Marketing y convierten su actividad de alto riesgo, pero al ley es la que es y la creatividad debe ser también legalmente ‘auditada’.

Y así estoy seguro de que la suma de la creatividad de las agencias de marketing y la de los abogados daría grandes, eficientes (y seguros) resultados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »