Noviembre 22, 2017

Los Reyes Magos y el (nuevo) Reglamento de Protección de Datos (RGPD)

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , , — legisconsulting @ 11:07

Post recomendado exclusivamente para mayores o menores informados.

Magia e ilusión en estado puro, pero antes que los Reyes Magos (ciudadanos extracomunitarios) le toca otro personaje del mismo gremio, vecino nuestro y residente comunitario suponemos que en alguna urbanización de la costa: San Nicolás (Sinterklaas en los Países Bajos), que no sabemos si cobra el PER el resto del año, pero que sólo trabaja el 6 de diciembre (poco que ver con el Papa Noel  o Santa Claus que llega la noche del 24 de diciembre).

Sinterklaas es como nuestros Reyes Magos, sólo que en lugar de venir de Oriente en camello dice la tradición que es un obispo mayor de barba larga, vestido de fiesta mayor, al que nadie debería extrañarse de ver en la planta de juguetes de El Corte Inglés o similar y que va desde España en barco a Holanda y Bélgica a llevar regalos y dulces naranjas… aunque en este año pudiera pensarse que no deben haber sido muy buenos los niños por esos lares cuando Zwartemont(1),, por la cara que se les ha quedado, parece haberles llevado más limones que dulces naranjas a los belgas.

Sinterklaas y el RGPD

Pero, como este es un blog jurídico y como tal vamos a tratarlo, pasamos a plantear de forma concisa los elementos claves de la situación jurídica de Sinterklaas a la luz del RGPD :

  • Como hemos visto, Sinterklaas es residente en España (residente comunitario)
  • Sinterklaas es mágico y dispone de datos para saber qué niños se han portado bien y cuáles no… un fichero organizado de datos en toda regla.
  • Los datos de que dispone son de niños comunitarios (Holanda y Bélgica entre otros), por lo que las exigencias no serían mayores que si los fueran españoles.
  • Evidentemente  es una cantidad masiva de datos, con lo cual entendemos que dispondrá de un Delegado de Protección de Datos.
  • Como  la actividad de Sinterklaas se inicia con una acción activa del interesado pidiendo regalos por carta, eso supone obviamente una autorización expresa.
  • Pero -salvo algún despistado- los firmantes son menores de 13 años, así que sus padres deberán firmar su autorización a la tenencia de los datos(2).
  • En el fichero figura cómo se han portado cada niño (son datos de comportamiento íntimo y de lo más personal) y sabe lo que quieren de regalo (hábitos de consumo)
  • Pero es que además esos menores están en otro país de la UE.
  • Podemos suponer que aunque sea muy estacional, dado el volumen de trabajo dispondrá de más de 250 ayudantes, así que deberá mantener un “Registro de Actividades”.
  • Normalmente las comunicaciones con Sinterklaas o los Reyes se realizan por correo postal, así que como no hay otra forma, con los regalos deberíamos encontrar por la mañana un documento en que figure toda la información que ya contamos antes en otro post.

Y al margen de esto también cabe preguntarse,  ¿tendrá Sinterklaas, como residente y con los servidores en España, el fichero inscrito ante la AGPD?… al menos hasta el 25 de mayo que en principio dejará de ser obligatorio, debería.

¿¡Y qué pasa con los Reyes Magos!?

Los Reyes Magos disponen de los mismos datos y hacen el mismo uso de los mismos planteado para Sinterklaas, pero como resulta evidente, lo tienen más difícil y el uso y ‘manejo’ de esos datos tendrá muchas más exigencias.

Los Reyes Magos lo son de Oriente y, por lo tanto, son ciudadanos extracomunitarios.  No sabemos a día de hoy si como jefes de Estado tendrán pasaporte diplomático, si FRONTEX les permitirá llegar este año, si habrán conseguido ya el preceptivo visado o si habrán hecho la los trámites aduaneros necesarios para los regalos. Pero como este post va de protección de datos y no de extranjería o fiscalidad, dejaremos de lado este complicado tema y pasemos a lo que nos ocupa.

Los datos sobre los niños y su bondad o maldad a lo largo del año se recaban aquí por un -o tres en este caso- no residente/s. Y, como hemos visto,  posteriormente son trasladado a su domicilio social en territorio extracomunitario. Ello implica una transferencia internacional de datos que exigiría:

  • Normas corporativas vinculantes para responsables y Encargados del tratamiento
  • Aceptación expresa para la transferencia por parte del mayor de 13 años(2) o sus tutores legales .
  • Autorización expresa por parte de la AGPD.
  • Cláusulas contractuales para el tratamiento de datos y los correspondientes garantías en Oriente que deberán ofrecer los Reyes magos debidamente firmadas.

Los Reyes magos sólo podrían transmitir los datos sin autorización previa al lugar de su domicilio social sin nivel adecuado de protección cuando esa transferencia sea necesaria para satisfacer intereses legítimos, imperiosos del responsable y la transferencia no es repetitiva y afecta sólo a un número limitado de interesados…. Algo para lo que no parece que se adapte a la norma por mucho que forcemos la interpretación alegando los únicos interesados son los niños (muy limitado) y que es temporal hasta que cuando crezcan descubran “LA VERDAD” de los Reyes Magos y Sinterklaas.

Magos Intenational Network

Me preguntaba hace ya un tiempo una persona profundamente preocupada por el tema: “¿¡Sinterklaas se ‘chiva’ a los Reyes magos!?”. Y yo pienso: si Sinterklaas se ‘chiva‘, es una transferencia extracomunitaria de datos.

Si los datos son comunicados por Sinterklaas porque es un chivato, entonces estamos ante una transferencia extracomunitaria de datos a un tercero fuera de la UE en un lugar que suponemos -viendo en las noticias  como está por el ‘Oriente’-  que no es un “lugar que ofrezca un nivel de protección adecuado” de acuerdo con la Comisión Europea y que por lo tanto exigirá a Sinterklaas obtener los mismos datos que hemos visto en el punto anterior que se exigirían a los Reyes magos y, además la notificación expresa a los niños mayores de 13 años(2) o a sus tutores legales, el detalle de los términos concretos de su acuerdo con los Reyes Magos (medidas de seguridad a adoptar en Oriente, plazo de cesión, uso de los datos, etc. etc., etc )

Mantener la ilusión: nota para interesados

Para caso de que lleguen a leer esto a pesar de la elevada carga de trabajo que deben tener en estas fechas, queremos aprovechar este post para instar encarecidamente tanto a Sinterklaas como a los Reyes Magos  que cumplan todas las obligaciones legales expuestas anteriormente. Con el nuevo RGPD y la nueva LOPD la Agencia de Protección de Datos mantiene sus facultades para aplicar unas sanciones para las que, a la espera del desarrollo reglamentario, ve reforzadas su discrecionalidad, su capacidad para graduarlas…. y su cuantía:

  • Para algunas infracciones, el importe de mayor cuantía entre: hasta 10.000.000,00€ o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior
  • Para otras infracciones consideradas más graves, el importe de mayor cuantía entre: hasta 20.000.000,00€ o hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior
  • Y esta última sanción de igual importe por no atender las resoluciones de la  AGPD

Para mantener la ilusión de niños y mayores, les rogamos desde aquí que cumplan ustedes con las obligaciones, no vaya a ser que el presupuesto se resienta por el paso de la AGPD y la magia los Reyes la tengan que usar de verdad para que los regalos tras la publicación del RGPD no se limiten a los excedentes de carbón del cierre de las térmicas o como mucho a juguetes de los chinos.

Deseamos desde aquí que tengamos todos un año lleno de ilusión y magia -a ser posible no financiera-.

.

.

(1) ‘Zwarte Pieten’ son los pajes ayudantes de Sinterklaas(San Nicolás, nada que ver con Papa Noel  o Santa Claus que llega en 24 de diciembre)

(2) La edad mínima fijada por el RGPD  para dar validez para prestar consentimiento menores es de 16 años, aunque autoriza a los estados a fijar una edad menor que en ningún caso se a inferior a 13 años. La edad actual en la LOPD es de 14 años, pero el proyecto de ley parece que lo adelanta hasta los 13 años que fija el RGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 8, 2017

Fin de la comunicación de ficheros a la AGPD

Archivado en: Comercio Electrónico, Protección de Datos — legisconsulting @ 10:40

El 25 de mayo acaba la obligación de notificar a la AGPD la existencia de ficheros que contengan datos personales… salvo que la nueva Ley no llegue a tiempo para derogar la que existe o que el proyecto cambie

El nuevo Reglamento de Protección de Datos incorpora importantes novedades, pero tal vez una a las que se les ha dado menos publicidad es a la cuestión de inscripción de ficheros que hasta ahora se realizaba mediante el famoso formulario NOTA.

Nueva obligación de mantener un “Registro de Actividades”

Para adaptarse a ese Reglamento, se está tramitando una nueva Ley de Protección de Datos que derogará a la  actualmente vigente y que no establece la obligación de inscribir ficheros pero establece la obligación de mantener un Registro de las actividades de Tratamiento de datos personales:

“Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.”

Ese Registro, que deberá conservarse por escrito inclusive en formato electrónico, deberá contener en todo caso:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identi­ficación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

Obligatorio, pero no para la mayoría

No tendrá obligación de mantener este registro quien emplee a menos de 250 personas, a menos que el tratamiento o que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales enumerados en lista tasada:

  • el origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos,
  • datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud o
  • datos relativos a la vida sexual o las orientación sexuales de una persona física.

En resumen, si tiene menos de 250 empleados y el fichero no contiene datos especialmente protegidos, se elimina la obligación formal de notificar la tenencia de los ficheros y no se sustituye por ninguna… salvo que la ley finalmente no se apruebe tal como figura en el anteproyecto o -más probable- que la nueva ley no se llegue a aprobar a tiempo.

En caso de que la ley no se publique antes del 25 de mayo de 2018, no se habrá derogado la ley hoy vigente y se mantendrá la obligación de pasar por NOTA. Obligación a la que se sumará a quien corresponda la obligación de mantener el Registro de Actividades que establece el Reglamento UE que sí estará vigente.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Junio 21, 2016

Pedir/Tener datos personales con el nuevo Reglamento UE

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , — legisconsulting @ 13:00

El nuevo Reglamento de protección de datos viene a introducir importantes novedades y entre ellas la base de todos los datos: el consentimiento del Usuario

El consentimiento hasta ahora

En Protección de datos el punto de partida y eje central de todo es el Consentimiento del usuario para el tratamiento y utilización de sus datos personales. Cuestiones como la utilización, el tratamiento o la seguridad de los mismos quedan supeditados a ese consentimiento previo.

La Ley Orgánica 15/1999, define Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. Debiendo los interesados a los que se soliciten datos personales “ser previamente informados de modo expreso, preciso e inequívoco” (Art 5.1 LOPD).

Hasta ahora se prestaba la información en largos y tediosos textos que casi nadie leía y se recababa el consentimiento no sólo de forma expresa -forma reservada a determinados datos especialmente protegidos-, sino también de forma Tácita -no me opongo, luego presto consentimiento- o incluso Presunta -sigo navegando, luego presto mi consentimiento-.

Ahora, el nuevo reglamento nos obligará a replantear como recabamos el consentimiento y la forma y la información que proporcionamos al Usuario

El Consentimiento en el nuevo Reglamento UE

Al contrario que hacía y hace aún la LOPD, el nuevo reglamento viene a exigir que para que la prestación del consentimiento para el tratamiento de datos personales sea válida el usuario realice una acción activa ya sea mediante una declaración expresa ya sea mediante acción afirmativa de algún tipo.

Además se exige  al responsable del tratamiento que sea capaz de demostrar  el consentimiento del usuario para el tratamiento de sus datos personales (”Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”).

Consentimiento de menores

Distingue la LOPD actual entre menores o mayores de 14 años En el caso de menores de 14 años deberán prestar el consentimiento sus representantes legales

El Reglamento UE también introduce modificaciones en esta materia al establecer una edad mínima para prestar consentimiento de 16 años, si bien abre la puerta a que los Estados miembros en sus legislaciones nacionales establezcan una edad inferior a estos efectos que en ningún caso podrá ser de menos de 13 años. Pero esa normativa evidentemente aún no existe y tenemos que quedarnos con el límite general de los 16 años

Además exige que “El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible”. Una disposición obviamente muy vaga esta de los ‘esfuerzos razonables’ pero que seguro veremos desarrollada en su día por la práctica e informes de la AGPD

Consentimiento Informado

El consentimiento debe ser también y sobre todo “informado“. Así el nuevo Reglamento UE establece algunas nuevas obligaciones en este deber de información entre las que cabe destacar:

  • La información proporcionada al usuario debe ser “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño” .
  • La información será proporcionada “por escrito o por otros medios, inclusive, si procede, por medios electrónico”.
  • La información podrá ser facilitada verbalmente pero sólo ante petición del interesado y se demuestre la identidad del usuario por otros medios.
  • El derecho del usuario llegado el caso a acudir a una autoridad de control y a ejercitar acciones judiciales.
  • Se informará al usuario de los datos de contacto de la nueva figura creada por el reglamento del Delegado de Protección de Datos.
  • El plazo durante el cual se conservarán los datos o al menos los criterios utilizados para calcular tales plazos.
  • El derecho a la portabilidad de los datos
  • Y en su caso “la existencia de decisiones automatizas, incluida la elaboración de perfiles  …….) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.”

Todas estos cambios y muchos otros que trataremos en próximos posts no entrarán en vigor hasta el 25 de mayo de 2018, pero en algunos casos no son fáciles de implementar ni hay impedimento alguno para ir adaptándose a lo inexorable.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 19, 2016

Fin del ‘ultimátum’ AGPD: qué hacer

Archivado en: Comercio Electrónico, Protección de Datos — legisconsulting @ 12:20

La AGPD anunció que el 29 de enrero empezará a poner sanciones a empresas por utilización de servicios muy habituales de Internet. Vea a continuación si le afecta y qué hacer con su Dropbox, su Google o su Facebook antes de la ofensiva de la AGPD en 10 días

De donde viene el ‘Ultimátum’

La culpa de todo la tiene un señor austriaco que denunció a Facebook ante la autoridad de protección de datos de Irlanda -donde Facebook tiene su sede en Europa- por el tratamiento que Facebook daba a sus datos personales. En concreto por ceder tales datos a la NSA estadounidense.

Para tratar datos fuera de la UE -y los servidores de Facebook están en EEUU- es necesaria de forma previa la firma de un contrato específico con el prestador del servicio fuera y  la autorización expresa del director de la AGPD. Pero para simplificar tan engorrosos trámites, la Comisión Europea adoptó la Decisión de la Comisión 2000/520 que establecía la peculiar presunción de que servicios autorizados por la Comisión Federal de Comercio de EEUU disponían del mismo nivel de protección de que disfrutamos en Europa. Lo que simplificando la idea se conocía como Safe Harbor y era en lo que se amparaban servicios de Internet para evitar engorrosos trámites.

Pero el asunto llegó al Tribunal Europeo (TJUE) que decidió que la Comisión se había excedido en sus competencias y, montando una revolución en el Cloud, decide de forma expresa que Facebook no cumple con los estándares mínimos de seguridad y acaba con el Safe Harbor declarando que las distintas Agencias de protección de Datos de Europa tienen que empezar a valorar si todos esos prestadores de servicios de fuera de Europa cumplen como los de aquí.

Y con esta Sentencia, la AGPD emitió el 29 de octubre una comunicación en que fijaba como plazo máximo el 29 de Enero de 2016 para regularizar la situación de empresas y entidades con servicios online con servidores fuera de la UE y que reitera en una  segunda comunicación posterior en que reitera que adoptará medidas pasada esa fecha.

A quién afecta

El ultimátum de la AGPD va dirigido a empresas o entidades que utilicen servicios que trasladen o traten datos fuera de la UE, lo que quiere decir que quien quiera compartir las fotos de las vacaciones de los niños con los abuelos en Dropbox o colgarlas en Facebook podrá seguir haciéndolo siempre que cuente con la autorización del otro progenitor, pero claro, ese es otro tema.

Por el contrario, quien utilice servicios y desarrolle cualquier actividad fuera de su esfera estricta y exclusivamente personal deberá cumplir con las exigencias que para la transferencia internacional de datos fija la LOPD.

Si almaceno datos de mis clientes en la nube, o las facturas, u ofrezco un servicio de vía chat, o incluso si tengo algo tan poco Online como un bar con página en Facebook y fotos de mis clientes en la barra, la AGPD quiere que regularice.

Qué hacer

Si utiliza servicios de Intenet con servidores fuera de la UE está haciendo pues una transferencia internacional de datos y ello incluye servicios que van desde el almacenamiento en la nube, el uso de redes sociales, servicios de correo, servicios de chat, etc. Por ello, para seguir usando tales servicios será necesario:

  • Cumplir con el deber de información a los usuarios
  • Incluirlo en el Documento de Seguridad
  • Disponer de un contrato firmado: la Comisión también ha aprobado Decisiones con Cláusulas contractuales tipo para estos casos
  • Solicitar autorización al Director de la Agencia de Protección de Datos

En unos días se acaba el plazo que dio la AGPD, habrá que cambiar los documentos de protección de datos, buscar un contrato -algunos servicios ya disponen de ellos- y ponerse en la cola de las autorizaciones de la AGPD y de no hacerlo, enfrentarse a las sanciones.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Octubre 14, 2015

Revolución legal en el “Cloud”

Archivado en: Protección de Datos — Etiquetas: , , , — legisconsulting @ 10:47

El Tribunal de la UE ha dinamitado la figura del “Puerto Seguro” en Protección de Datos y revoluciona el Cloud: la AGPD podrá entrar a valorar si los datos transferidos fuera de la UE-desde Facebook a Dropbox o empresas de cloud- cumplen la normativa nacional… ¡Y no la cumplen!

Se empieza con una declaración contundente: “El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos” (sentencia en el asunto C-362/14)

Y sigue con el fondo del asunto: “ las autoridades nacionales de control a las que se haya presentado una solicitud pueden, aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos así como acudir ante los tribunales nacionales”

¿Qué significa?

En primero lugar, que se le pasan a exigir a todas las empresas y personas que almacenen Datos Personales fuera de la UE el cumplimiento de la legislación europea.

Hasta esta resolución se permitía que la Comisión Europea publicara un listado de países a los que la transferencia internacional de datos estaba permitida porque se consideraba que prestaban un nivel de protección equiparable a la LOPD. Entre ellos estaban  los del Espacio Económico Europeo y, entre otros EEUU sólo para entidades adscritas a los “principios de Puerto Seguro”. Para la transmisión al resto de países o entidades hacía falta un complicado procedimiento que necesitaba de la autorización previa expresa del director de la AGPD.

Tras esta resolución, al haber sido excluido EEUU del concepto de Puerto Seguro, para transmitir datos a servidores en EEUU habrá que demostrar que el destinatario de los datos cumple con los mismos estándares de seguridad y exigencia de la LOPD. Y ello es aplicable a Facebook -involucrada en la sentencia-, pero también a servicios de uso común como Dropbox o cualquier otro servicio cloud.

¿Es automático?

La normativa nacional obliga a solicitar autorización previa para la transferencia de datos fuera de la UE, pero entiendo que los datos ya transferidos lo fueron bajo el paraguas de una decisión de la Comisión Europea y bajo las directrices de la AGPD, por lo tanto la transferencia se hizo de forma legal.

El problema surge por un lado de que cualquier nueva transferencia de datos a EEUU requerirá del largo proceso y de la autorización previa para ser considerada como legal. Y por otra parte de que la AGPD podrá entrar la a examinar y exigir el cumplimiento de la ley nacional a cualquiera de los otros destinos de “puerto Seguro” para cualquiera que utilice servidores fuera de la UE. Y para ello bastará una sola denuncia de alguien descontento.

O dicho de otro modo, las autoridades Europeas podrán analizar a partir de ahora el tratamiento de los datos depositados en “puertos seguros”.

Entonces los servidores fuera cumplirán la norma

Pero,  ¿pasarán las empresas norteamericanas el filtro de las distintas agencias de protección de datos de Europa?

El Parlamento Europeo ha publicado un Informe comparativo de protección de Datos EEUU- UE que hace un estudio detallado del nivel del marco de uno y otro lado del océano y a la vista de los resultados parece difícil que un marco como el norteamericano pueda ser modificado de forma fácil y rápida para conseguir un nivel de protección y tratamiento de los datos Personales análogo al que se hace en Europa.

El informe es largo y detallado, pero incluye un interesante y clarificador resumen que  se transcribe al final de este post.

Consecuencias

Para el usuario de Internet: evidentemente mayor grado de protección.

Para quien maneje datos: la necesidad de una auditoría urgente del tratamiento de hace de esos datos.

(más…)

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 9, 2014

Formas rápidas e indoloras de suicidarse

Hay muchas formas de ‘suicidar‘ un negocio, pero una lenta y dolorosa es ofrecer o contratar servicios sin cumplir todas las normas o garantías legales.

Un negocio trabajado

La semana pasada recibí una solicitud de contacto en Linkedin que resultó ser alguien que sólo un día después me envió un correo ‘presentando’ sus servicios. Lo que se llama en términos legales publicidad.

Se presentaban los servicios a través de una Web muy buena, con servicios ofertados claros y las tarifas increíbles. Sin duda, de los suyo sabían lo que hacían y habían hecho un grandísimo trabajo y una importante inversión. Pero no sabían de leyes:

· El art. 10 de la LSSI no es toda la LSSI o sobrarían 44 artículos y varias disposiciones adicionales.

· Las exigencias de Protección de Datos no se limitan a registrarse ante la AGPD (estaría muy bien).

· Decían que habían conseguido los ‘certificados de seguridad‘ exigidos para su actividad,

· pero no decían cual era su actividad, porque evidentemente la que parecían ofertar no era tal.

· Y no era tal porque tras una rápida búsqueda en Internet para saber si tenían la preceptiva autorización resultó negativa.

Hasta aquí una bonita lista de infracciones y sanciones derivada de una bonita lista de leyes distintas.

Pero es que aún cumpliendo la LSSI, la LOPD y con los certificados de seguridad, hay cosas que no puedo hacer; no puedo ofrecer un servicio de correo sin licencia; no puedo ofrecer servicios de pago si no soy una entidad de pago o un agente de una de ellas; no puedo ejercer de médico o abogado sin el título correspondiente; ni puedo ser carnicero sin el de manipulador de alimentos.

¿Actividad Ilegal?.. y sanciones por error

Pues no necesariamente. Y este es el caso que inspira este Post.

En Internet es bien sabido que es fácil el no soy pero lo parezco“. Un proxy a una entidad con todos los permisos es legal y hasta habitual: presento a la apariencia de ser y prestar sin ser ni prestar. Pero no decir quién presta realmente el servicio y en qué condiciones sí es ilegal y también es motivo de jugosa sanción para quien lo presta y genera una enorme inseguridad en quien lo contrata.

Varias leyes prohíben esta falta de transparencia y establecen múltiples y graves sanciones (acumulativas) que serán impuestas por muy diversas autoridades. Algunas legítimas como las del apartado anterior, pero incluso algunas sanciones por error. Imagine por ejemplo que la autoridad reguladora piensa que -tal como parece en la Web- ofrecemos unos servicios que no ofrecemos (la falta de trasparencia que decíamos antes)sin licencia, pues es probable que directamente envíe una sanción y la orden automática de suspender actividades antes incluso de preguntar.

El riesgo del usuario

Quien está contratando este servicio en concreto no sabe realmente quien se lo va a prestar, ni en qué condiciones, ni con qué garantías. Pero tampoco sabe quién va a acceder a sus datos -en muchos casos como el de las Entidades de Pago, muy sensibles- ni quién los va tratar, ni dónde, ni con qué fin, ni en qué forma.

Es legal y no acarrea en principio responsabilidad para el usuario contratar con este tipo de servicio, pero supone un enorme riesgo para él la renuncia a las garantías legales que de hecho supone. Las leyes están hechas con mayor o menor fortuna, pero la intención de todas las exigencias, registros y autorizaciones es siempre la misma: la seguridad del usuario.

De safari por la jungla

En este caso, como en muchos otros, además de las normas generales de actividades por Internet hay que cumplir

· las normas y autorizaciones específicas de la actividad en Internet;

· otras normas generales no específicas de Internet;

· además de normas ‘generales

· y normas específicas de la actividad con su especialidad para negocios online.

Una maraña normativa que afecta a cualquier negocio y que se incrementa más incluso si el negocio es Online o se contrata Online.

Internarse en esta jungla sin guía (legal) es como ir a cazar leones con tirachinas. Tanto para quien ofrece como para quien contrata servicios observar la ley y asegurarse de que se observa es esencial. No todo lo que contratamos es lo que parece ni todos los peligros de la jungla son leones o hipopótamos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 24, 2014

Cookies: Información y consentimiento (actualizado)

Archivado en: Actualidad, Comercio Electrónico, Informática, Protección de Datos — Etiquetas: , , — legisconsulting @ 10:29

La AGPD aclara finalmente, a través de una resolución, la forma correcta de plantear las cookies a los usuarios.

Hasta ahora teníamos claro cuál era la información que se debía proporcionar al usuario en cada momento porque así lo había manifestado la propia AGPD a través de un modelo que debía ser adaptado a cada circunstancia concreta. Y quedaba claro que debía plantearse  a través de lo que la propia AGPD llama ‘información por capas.

El problema era -proporcionando esa información y sabiendo el momento en que debía prestarse al usuario- saber si también era necesaria la previa autorización expresa del usuario para la instalación de cookies. Es decir, si era necesario plantear una pantalla en blanco pidiendo de forma previa la autorización expresa para la instalación de cookies o no.

La AGPD viene ahora, a través de la Resolución de 14 de enero de 2014, a decirnos que

  • la falta de información previa  la instalación de cookies SÍ es sancionable
  • que la falta de autorización previa a la instalación de cookies NO es sancionable

Así, la forma correcta de plantear el aviso de cookies queda como sigue

Información por capas

La AGPD se reitera en la presentación por capas de la Guía sobre el uso de las cookies publicado por la propia entidad hace ya un tiempo.

Así, se plantea la información en dos capas:

Primera capa: debe contener la siguiente  información mínima

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
    • Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
    • Un enlace a la segunda capa informativa en la que se indica una información más detallada.

Esta información –manifiesta la propia AGPD– es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.

Segunda capa: debe contener la siguiente información

  • Definición y función de las cookies
  • Tipo de cookies que utiliza la página web y su finalidad.
    • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
    • Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
    • Definición y función de las Cookies

Insiste la AGPD en la necesidad de que la información proporcionada en esta segunda capa sea ‘completa y clara’  e incluya en particular la ‘tipología de las cookies realmente utilizadas’, ‘finalidad de las mismas’ e ‘identidad de quienes instalan y utilizan las cookies

(Falta de) autorización no sancionable

De cumplirse estos requisitos de información, manifiesta la AGPD que se está cumpliendo la exigencia del Art. 22.2 de la LSSI del ‘consentimiento informado’. Y lo más importante, que la vulneración de ese requisito previo del ‘consentimiento informado’ no es sancionable de acuerdo con el Art 38.4.g) LSSI:

“Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g)”

Por el contrario, sí afirma en otro apartado de la misma resolución que la falta la información íntegra según el apartado anterior de este post, anula el consentimiento que se hubiera prestado y sería objeto de sanción

En conclusión, que la información completa por capas según se ha mostrado anteriormente en este Blog en la forma y con el  modelo de aviso de cookies de acuerdo con las directrices de la AGPD sugeridas en su momento no es sancionable según la AGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Octubre 3, 2013

¿Cumplir la Ley de Cookies y no morir en el intento?

Pretende este poste aclarar, dentro de lo posible, las opciones para el uso ‘legal’ de Cookies en las web y el porqué de la inseguridad legal que las rodea y genera tantas opiniones y soluciones creativas en torno a las mismas.

Aún  a riesgo de ser un poco simplista, el punto de partida es saber de qué va la ley para saber cuando debe preocuparnos y cuando no.

1.- Un Ladrillo

La idea de este Post me surge al leer que alguien decía que la Ley de Cookies  es un ‘ladrillo’ . Un ‘ladrillo’ que es sólo el punto 2 del Art. 22 de la Ley 24/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico . Casi más corto el texto que el título si pensamos que TODA la ‘ley’ de cookies tiene 3 párrafos y 180 palabras:

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Un ladrillo que obviamente no lo es en la extensión, pero sí en el contenido que vamos a tratar desentrañar párrafo por párrafo para mostrar las dudas que aún debe resolver la AEPD para saber cuando cumplimos y cuando no.

2.- Si no uso Cookies, pues cumplo la ley de Cookies

La ley no menciona en ningún momento las Cookies, sino ‘dispositivos de almacenamiento o recuperación de datos’, con lo que si usamos cualquier dispositivo  que cumpla con esa descripción general entraremos dentro del marco de exigencias de la ley por imaginativa o creativa que sea la solución de turno.

3.- ¿Qué pinta en esto la AEPD?

Aparte de la evidente mención que se hace a la LOPD,  puesto que con esos dispositivos se accede a Datos de Carácter Personal, será de aplicación la LOPD y todas sus consecuencias.

Así, son Datos Personales “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Es decir, prácticamente todo, desde la IP del usuario a su historial de navegación, son datos personales.

4.- Requisitos para usar Cookies

Dice la ley que podemos usar las estrictamente necesarias para que aparezca algo en la pantalla. Y para las demás,

  • cuando se cuente con el consentimiento previo del usuario
  • tras haberle informado previamente de las cookies que se le van a instaler
  • y de la finalidad de las mismas

Pero el problema viene de si es posible un consentimiento tácito mediante la mera navegación; o si es necesaria la aceptación expresa; o si es imprescindible hacerle al usuario un test de idoneidad (como con las preferentes de los bancos); o darle el correspondiente cursillo personalizado de desactivación de Cookies en función de las Webs que visite y del navegador que utilice antes de instalar cualquier Cookie.

5.- Cuando se pueden usar Cookies legalmente

La AEPD tiene abierto un expediente sancionador por denuncia de un usuario a una Web que le instaló Cookies antes de que este hubiera prestado su consentimiento previo y expreso a las mismas. Y ello aún cuando la Web denunciada contaba con un aviso sobre su política de Cookies con toda la información.

A día de hoy el expediente no está resuelto y no sabemos si a la Web le será impuesta una sanción o no, pero al margen de lo que suceda en el caso concreto –que espero a título personal que la AEPD exonere completamente a la Web–, es de esperar que la AEPD nos de unas directrices más exactas sobre como actuar en este campo. Hasta entonces, podemos tener teorías diversas de cuando y como usar Cookies legalmente. Pero sólo serán eso, teorías.

6.- Entonces: ¿que hacemos con las Cookies?

Opción 1.- Renunciar a ellas

Opción 2.- Se puede colocar como pantalla previa a la entrada a la web exclusivamente el texto de la política de cookies y el preceptivo consentimiento previo sobre un fondo blanco de tal forma que si no se aceptan las cookies no se pueda acceder.

Opción 3.- O bien, y ante la imposibilidad de saber exactamente como hacerlo legalmente (punto 5), y caso de usar en nuestra Web cualquier tipo de dispositivo (punto 2), deberemos cumplir las exigencias legales para la instalación de cookies (punto 4) y seguir en todo caso las recomendaciones de la AEPD para el uso de cookies.

Como decía, a día de hoy no sabemos si así esteremos cumpliendo la ley, pero cumplir las recomendaciones y tener un texto de información y aceptación de la Política de Cookies acorde con las mismas, al menos probará la buena fe y la intención de cumplir la Ley. Algo que al menos está bien visto (y ayuda) ante la AEPD

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Septiembre 25, 2013

Modelo de Aviso y Política de Cookies según la AGPD

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , , , , — legisconsulting @ 11:49

El modelo de texto que se reproduce a continuación ha sido creado a partir de las directrices mostradas por la propia AGPD con copia literal de algunos de los párrafos directamente de la guía.

Ha vuelto a la actualidad el necesario aviso sobre la Política de Cookies algún tiempo después de que la AGPD publicara una guía y aún cuando no existe una clara idea de cómo se debe materializar en la práctica para cumplir la LOPD.

La solución a sobre como implementar la política de cookies esperamos que nos sea aportada próximamente por la propia AGPD en un proceso sancionador que tiene abierto en este sentido. Pero hasta que llegue se momento no podemos sino partir de la guía mencionada para crear un texto lo más ajustado posible a esta.

Cookies (mensaje de alerta)

(Sugiere la AGPD en primer lugar situar en la home un mensaje de alerta avisando al usuario de la utilización de cookies con el siguiente texto -literal de la AGPD-)

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.

(El ‘aquí’ del mensaje de alerta debe ser un link que lleva al texto íntegro sobre la política de cookies)

POLITICA DE COOKIES

Cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario.. El navegador del usuario memoriza cookies en el disco duro solamente durante la sesión actual ocupando un espacio de memoria mínimo y no perjudicando al ordenador. Las cookies no contienen ninguna clase de información personal específica, y la mayoría de las mismas se borran del disco duro al finalizar la sesión de navegador (las denominadas cookies de sesión).

La mayoría de los navegadores aceptan como estándar a las cookies y, con independencia de las mismas, permiten o impiden en los ajustes de seguridad las cookies temporales o memorizadas.

Sin su expreso consentimiento –mediante la activación de las cookies en su navegador–XXXXX no enlazará en las cookies los datos memorizados con sus datos personales proporcionados en el momento del registro o la compra..

¿Qué tipos de cookies utiliza esta página web?

- Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.

- Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.

- Cookies de análisis: Son aquéllas que bien tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.

- Cookies publicitarias: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten gestionar de la forma más eficaz posible la oferta de los espacios publicitarios que hay en la página web, adecuando el contenido del anuncio al contenido del servicio solicitado o al uso que realice de nuestra página web. Para ello podemos analizar sus hábitos de navegación en Internet y podemos mostrarle publicidad relacionada con su perfil de navegación.

- Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

Cookies de terceros: La Web de XXXXX puede utilizar servicios de terceros que, por cuenta de XXXXX, recopilaran información con fines estadísticos, de uso del Site por parte del usuario y para la prestacion de otros servicios relacionados con la actividad del Website y otros servicios de Internet.

En particular, este sitio Web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc. con domicilio en los Estados Unidos con sede central en 1600 Amphitheatre Parkway, Mountain View, California 94043.  Para la prestación de estos servicios, estos utilizan cookies que recopilan la información, incluida la dirección IP del usuario, que será transmitida, tratada y almacenada por Google en los términos fijados en la Web Google.com. Incluyendo la posible transmisión de dicha información a terceros por razones de exigencia legal o cuando dichos terceros procesen la información por cuenta de Google.

(En este punto la AGPD sugiere incluir cada una de las cookies de terceros utilizadas y los datos de dichos terceros. Por evidentes razones en este modelo sólo se ha incluido la Google en el uso de Analytics por ser la más extendida y común.)

El Usuario acepta expresamente, por la utilización de este Site, el tratamiento de la información recabada en la forma y con los fines anteriormente mencionados. Y asimismo reconoce conocer la posibilidad de rechazar el tratamiento de tales datos o información rechazando el uso de Cookies mediante la selección de la configuración apropiada a tal fin en su navegador. Si bien esta opción de bloqueo de Cookies en su navegador puede no permitirle el uso pleno de todas las funcionalidades del Website.

Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador:

Si tiene dudas sobre esta política de cookies, puede contactar con XXXXX en info@XXXXX(punto)com

Garantía de cumplimiento de la ley

El modelo de texto mostrado ha intentado seguir todas las directrices de la AGPD, pero como he manifestado anteriormente en este post, el hacerlo así o con este texto a día de hoy no puede garantizar en modo alguno que se esté cumpliendo la ley de cookies de acuerdo con la interpretación de la AGPD (aunque entiendo que es lo más aproximado). Para ello habrá que esperar a las aclaraciones que sin duda nos proporcionará próximamente la AGPD.

Ante la imposibilidad de quedar con cada usuario ante un notario para que preste su consentimiento con todos los datos y explicaciones antes de poder navegar por la Web, hay quien defiende que lo más seguro sería que todo el texto de la política de cookies estuviera antes de la entrada en la Web, antes de cargar cualquier cookie y antes de poder iniciar cualquier la navegación, pero ¿es ello posible?.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Agosto 30, 2013

¿Obliga la LOPD a formatear el ordenador?: PP vs Bárcenas

Archivado en: Protección de Datos — legisconsulting @ 10:45

La noticia del los ordenadores de Bárcenas entregados al juez nos da pie a analizar a qué obliga la ley caso de baja de un trabajador.

Antecedentes

Legalmente Bárcenas era un ‘empleado’ que usaba los medios de la empresa entre los que parece que se encontraban dos ordenadores.

El PP, una vez producida la baja del Sr. Bárcenas en el partido, ha procedido a formatear o destruir los discos duros de dichos dispositivos.

¿Es obligatorio el formateo?

La respuesta simple es que NO, aunque SÍ lo es el borrado de datos personales.

El Art 92 del RD obliga a la ‘destrucción o borrado’ del ordenador (de hecho cualquier soporte) caso de ‘desecharse’ el dispositivo, pero en este caso el dispositivo parece que no ha sido desechado (tirado a la basura), sino que el ordenador se la ha asignado a otro trabajador. Y todos los datos personales que no vaya a utilizar el nuevo trabajador dentro de sus funciones deberán ser borrados para que no tenga acceso a los mismos (Art. 91, 1 RD).

El PP borró todos los datos personales mediante el formateo del ordenador o la destrucción del disco duro. Un mecanismo de borrado tan legal y casi tan efectivo como la trituradora o el mechero.

Sin entrar a valorar si el ordenador formaba parte de un procedimiento judicial abierto o sobre las pruebas del mismo porque es mucho más complejo, cabe concluir que el PP cumplió la LOPD en este punto.

Copia de seguridad

Aunque los ordenadores fueran borrados, debe existir una copia de seguridad de esos mismos datos, ya que hay una obligación legal de realizar copias de seguridad de los ficheros que contengan datos personales con una actualización como mínimo semanal (Art. 94.1 RD).

Es decir, el PP debe tener una copia de seguridad de todos los archivos que, en contra de lo oído ayer en algún medio, estará en cualquier sitio menos en la sede del PP (Art. 102 RD)

Pero el problema que surge en este punto son los datos sobre los que se habrá hecho el ‘backup’.

Todo el mundo tiene en el ordenador de la empresa también documentos personales y que van desde la factura del teléfono, las direcciones de los amigos o las fotos de las vacaciones. En este caso la empresa no es titular ni ha obtenido autorización para el almacenamiento ni tratamiento de esos datos, por lo que tales datos, caso de haberse trasladado a la copia de seguridad, deberían también ser borrados.

En definitiva, caso de encontrarse documentos personales del Sr. Bárcenas en la copia de seguridad, el PP debería, para cumplir la ley, borrarlos sin que pudieran ser recuperados. Otra cuestión es que tales documentos no sean personales, sino referidos al partido o no contener ‘datos personales’. Pero una vez borrados sin posibilidad de recuperación, ¿quién podrá demostrar que no eran personales o estaban en el ordenador?.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Entradas más antiguas »