Octubre 3, 2013

¿Cumplir la Ley de Cookies y no morir en el intento?

Pretende este poste aclarar, dentro de lo posible, las opciones para el uso ‘legal’ de Cookies en las web y el porqué de la inseguridad legal que las rodea y genera tantas opiniones y soluciones creativas en torno a las mismas.

Aún  a riesgo de ser un poco simplista, el punto de partida es saber de qué va la ley para saber cuando debe preocuparnos y cuando no.

1.- Un Ladrillo

La idea de este Post me surge al leer que alguien decía que la Ley de Cookies  es un ‘ladrillo’ . Un ‘ladrillo’ que es sólo el punto 2 del Art. 22 de la Ley 24/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico . Casi más corto el texto que el título si pensamos que TODA la ‘ley’ de cookies tiene 3 párrafos y 180 palabras:

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Un ladrillo que obviamente no lo es en la extensión, pero sí en el contenido que vamos a tratar desentrañar párrafo por párrafo para mostrar las dudas que aún debe resolver la AEPD para saber cuando cumplimos y cuando no.

2.- Si no uso Cookies, pues cumplo la ley de Cookies

La ley no menciona en ningún momento las Cookies, sino ‘dispositivos de almacenamiento o recuperación de datos’, con lo que si usamos cualquier dispositivo  que cumpla con esa descripción general entraremos dentro del marco de exigencias de la ley por imaginativa o creativa que sea la solución de turno.

3.- ¿Qué pinta en esto la AEPD?

Aparte de la evidente mención que se hace a la LOPD,  puesto que con esos dispositivos se accede a Datos de Carácter Personal, será de aplicación la LOPD y todas sus consecuencias.

Así, son Datos Personales “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Es decir, prácticamente todo, desde la IP del usuario a su historial de navegación, son datos personales.

4.- Requisitos para usar Cookies

Dice la ley que podemos usar las estrictamente necesarias para que aparezca algo en la pantalla. Y para las demás,

  • cuando se cuente con el consentimiento previo del usuario
  • tras haberle informado previamente de las cookies que se le van a instaler
  • y de la finalidad de las mismas

Pero el problema viene de si es posible un consentimiento tácito mediante la mera navegación; o si es necesaria la aceptación expresa; o si es imprescindible hacerle al usuario un test de idoneidad (como con las preferentes de los bancos); o darle el correspondiente cursillo personalizado de desactivación de Cookies en función de las Webs que visite y del navegador que utilice antes de instalar cualquier Cookie.

5.- Cuando se pueden usar Cookies legalmente

La AEPD tiene abierto un expediente sancionador por denuncia de un usuario a una Web que le instaló Cookies antes de que este hubiera prestado su consentimiento previo y expreso a las mismas. Y ello aún cuando la Web denunciada contaba con un aviso sobre su política de Cookies con toda la información.

A día de hoy el expediente no está resuelto y no sabemos si a la Web le será impuesta una sanción o no, pero al margen de lo que suceda en el caso concreto –que espero a título personal que la AEPD exonere completamente a la Web–, es de esperar que la AEPD nos de unas directrices más exactas sobre como actuar en este campo. Hasta entonces, podemos tener teorías diversas de cuando y como usar Cookies legalmente. Pero sólo serán eso, teorías.

6.- Entonces: ¿que hacemos con las Cookies?

Opción 1.- Renunciar a ellas

Opción 2.- Se puede colocar como pantalla previa a la entrada a la web exclusivamente el texto de la política de cookies y el preceptivo consentimiento previo sobre un fondo blanco de tal forma que si no se aceptan las cookies no se pueda acceder.

Opción 3.- O bien, y ante la imposibilidad de saber exactamente como hacerlo legalmente (punto 5), y caso de usar en nuestra Web cualquier tipo de dispositivo (punto 2), deberemos cumplir las exigencias legales para la instalación de cookies (punto 4) y seguir en todo caso las recomendaciones de la AEPD para el uso de cookies.

Como decía, a día de hoy no sabemos si así esteremos cumpliendo la ley, pero cumplir las recomendaciones y tener un texto de información y aceptación de la Política de Cookies acorde con las mismas, al menos probará la buena fe y la intención de cumplir la Ley. Algo que al menos está bien visto (y ayuda) ante la AEPD

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Septiembre 25, 2013

Modelo de Aviso y Política de Cookies según la AGPD

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , , , , — legisconsulting @ 11:49

El modelo de texto que se reproduce a continuación ha sido creado a partir de las directrices mostradas por la propia AGPD con copia literal de algunos de los párrafos directamente de la guía.

Ha vuelto a la actualidad el necesario aviso sobre la Política de Cookies algún tiempo después de que la AGPD publicara una guía y aún cuando no existe una clara idea de cómo se debe materializar en la práctica para cumplir la LOPD.

La solución a sobre como implementar la política de cookies esperamos que nos sea aportada próximamente por la propia AGPD en un proceso sancionador que tiene abierto en este sentido. Pero hasta que llegue se momento no podemos sino partir de la guía mencionada para crear un texto lo más ajustado posible a esta.

Cookies (mensaje de alerta)

(Sugiere la AGPD en primer lugar situar en la home un mensaje de alerta avisando al usuario de la utilización de cookies con el siguiente texto -literal de la AGPD-)

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.

(El ‘aquí’ del mensaje de alerta debe ser un link que lleva al texto íntegro sobre la política de cookies)

POLITICA DE COOKIES

Cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario.. El navegador del usuario memoriza cookies en el disco duro solamente durante la sesión actual ocupando un espacio de memoria mínimo y no perjudicando al ordenador. Las cookies no contienen ninguna clase de información personal específica, y la mayoría de las mismas se borran del disco duro al finalizar la sesión de navegador (las denominadas cookies de sesión).

La mayoría de los navegadores aceptan como estándar a las cookies y, con independencia de las mismas, permiten o impiden en los ajustes de seguridad las cookies temporales o memorizadas.

Sin su expreso consentimiento –mediante la activación de las cookies en su navegador–XXXXX no enlazará en las cookies los datos memorizados con sus datos personales proporcionados en el momento del registro o la compra..

¿Qué tipos de cookies utiliza esta página web?

- Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.

- Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.

- Cookies de análisis: Son aquéllas que bien tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.

- Cookies publicitarias: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten gestionar de la forma más eficaz posible la oferta de los espacios publicitarios que hay en la página web, adecuando el contenido del anuncio al contenido del servicio solicitado o al uso que realice de nuestra página web. Para ello podemos analizar sus hábitos de navegación en Internet y podemos mostrarle publicidad relacionada con su perfil de navegación.

- Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

Cookies de terceros: La Web de XXXXX puede utilizar servicios de terceros que, por cuenta de XXXXX, recopilaran información con fines estadísticos, de uso del Site por parte del usuario y para la prestacion de otros servicios relacionados con la actividad del Website y otros servicios de Internet.

En particular, este sitio Web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc. con domicilio en los Estados Unidos con sede central en 1600 Amphitheatre Parkway, Mountain View, California 94043.  Para la prestación de estos servicios, estos utilizan cookies que recopilan la información, incluida la dirección IP del usuario, que será transmitida, tratada y almacenada por Google en los términos fijados en la Web Google.com. Incluyendo la posible transmisión de dicha información a terceros por razones de exigencia legal o cuando dichos terceros procesen la información por cuenta de Google.

(En este punto la AGPD sugiere incluir cada una de las cookies de terceros utilizadas y los datos de dichos terceros. Por evidentes razones en este modelo sólo se ha incluido la Google en el uso de Analytics por ser la más extendida y común.)

El Usuario acepta expresamente, por la utilización de este Site, el tratamiento de la información recabada en la forma y con los fines anteriormente mencionados. Y asimismo reconoce conocer la posibilidad de rechazar el tratamiento de tales datos o información rechazando el uso de Cookies mediante la selección de la configuración apropiada a tal fin en su navegador. Si bien esta opción de bloqueo de Cookies en su navegador puede no permitirle el uso pleno de todas las funcionalidades del Website.

Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador:

Si tiene dudas sobre esta política de cookies, puede contactar con XXXXX en info@XXXXX(punto)com

Garantía de cumplimiento de la ley

El modelo de texto mostrado ha intentado seguir todas las directrices de la AGPD, pero como he manifestado anteriormente en este post, el hacerlo así o con este texto a día de hoy no puede garantizar en modo alguno que se esté cumpliendo la ley de cookies de acuerdo con la interpretación de la AGPD (aunque entiendo que es lo más aproximado). Para ello habrá que esperar a las aclaraciones que sin duda nos proporcionará próximamente la AGPD.

Ante la imposibilidad de quedar con cada usuario ante un notario para que preste su consentimiento con todos los datos y explicaciones antes de poder navegar por la Web, hay quien defiende que lo más seguro sería que todo el texto de la política de cookies estuviera antes de la entrada en la Web, antes de cargar cualquier cookie y antes de poder iniciar cualquier la navegación, pero ¿es ello posible?.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Agosto 30, 2013

¿Obliga la LOPD a formatear el ordenador?: PP vs Bárcenas

Archivado en: Protección de Datos — legisconsulting @ 10:45

La noticia del los ordenadores de Bárcenas entregados al juez nos da pie a analizar a qué obliga la ley caso de baja de un trabajador.

Antecedentes

Legalmente Bárcenas era un ‘empleado’ que usaba los medios de la empresa entre los que parece que se encontraban dos ordenadores.

El PP, una vez producida la baja del Sr. Bárcenas en el partido, ha procedido a formatear o destruir los discos duros de dichos dispositivos.

¿Es obligatorio el formateo?

La respuesta simple es que NO, aunque SÍ lo es el borrado de datos personales.

El Art 92 del RD obliga a la ‘destrucción o borrado’ del ordenador (de hecho cualquier soporte) caso de ‘desecharse’ el dispositivo, pero en este caso el dispositivo parece que no ha sido desechado (tirado a la basura), sino que el ordenador se la ha asignado a otro trabajador. Y todos los datos personales que no vaya a utilizar el nuevo trabajador dentro de sus funciones deberán ser borrados para que no tenga acceso a los mismos (Art. 91, 1 RD).

El PP borró todos los datos personales mediante el formateo del ordenador o la destrucción del disco duro. Un mecanismo de borrado tan legal y casi tan efectivo como la trituradora o el mechero.

Sin entrar a valorar si el ordenador formaba parte de un procedimiento judicial abierto o sobre las pruebas del mismo porque es mucho más complejo, cabe concluir que el PP cumplió la LOPD en este punto.

Copia de seguridad

Aunque los ordenadores fueran borrados, debe existir una copia de seguridad de esos mismos datos, ya que hay una obligación legal de realizar copias de seguridad de los ficheros que contengan datos personales con una actualización como mínimo semanal (Art. 94.1 RD).

Es decir, el PP debe tener una copia de seguridad de todos los archivos que, en contra de lo oído ayer en algún medio, estará en cualquier sitio menos en la sede del PP (Art. 102 RD)

Pero el problema que surge en este punto son los datos sobre los que se habrá hecho el ‘backup’.

Todo el mundo tiene en el ordenador de la empresa también documentos personales y que van desde la factura del teléfono, las direcciones de los amigos o las fotos de las vacaciones. En este caso la empresa no es titular ni ha obtenido autorización para el almacenamiento ni tratamiento de esos datos, por lo que tales datos, caso de haberse trasladado a la copia de seguridad, deberían también ser borrados.

En definitiva, caso de encontrarse documentos personales del Sr. Bárcenas en la copia de seguridad, el PP debería, para cumplir la ley, borrarlos sin que pudieran ser recuperados. Otra cuestión es que tales documentos no sean personales, sino referidos al partido o no contener ‘datos personales’. Pero una vez borrados sin posibilidad de recuperación, ¿quién podrá demostrar que no eran personales o estaban en el ordenador?.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Junio 18, 2013

Cámaras y LOPD: cazador cazado

Archivado en: Protección de Datos, Uncategorized — Etiquetas: , , — legisconsulting @ 12:14

La AGPD establece que la grabación de vídeos para ser utilizadas como base de una denuncia es contraria a la ley y susceptible de ser castigada con una sanción.

Partiendo de una consulta sobre si es posible grabar a empleados públicos en su puesto de trabajo con el fin de denunciarles por el incumplimiento de sus obligaciones, la AGPD dicta un informe que, a pesar de no ser novedoso, sí resulta muy clarificador sobre los límites a las grabaciones en un sentido que va mucho más allá que el que plantea tal consulta.

Límites a la grabación

En caso de grabar a una persona física, existe una limitación que parte de la propia Constitución que busca proteger el derecho a la propia imagen de las personas. Limitación a la que el Tribunal Constitucional atribuye mayor relevancia si la grabación se realiza en el lugar de trabajo.

Así, las grabaciones realizadas de personas físicas identificadas o identificables entran dentro del marco de protección de la LOPD. Y ello con la única excepción recogida en la Directiva europea de las grabaciones realizadas “por una persona física en el ejercicio de actividades exclusivamente personales o domésticas” afectando a la “esfera más íntima de la persona”. Entendiendo como tales sólo las correspondientes a la vida privada o familiar de los particulares.

Y considerando que ni un lugar de trabajo, ni una oficina o establecimiento público puede formar parte de la esfera personal o doméstica más estricta, para cualquier grabación serán de aplicación todas las exigencias de información y autorización expresa previas de la LOPD.

En definitiva, que una grabación sólo podrá efectuarse –o casi– sin las exigencias que para ella exige la LOPD si se realiza por un sujeto en el salón de su propia casa y de sus niños.

Uso de la grabación

La LOPD dedica buena parte de su contenido al tratamiento de los datos –las grabaciones en este caso– y a su almacenamiento. Situaciones para las que la ley establece una serie de exigencias y requisitos. Pero también excluye de tales exigencias a las grabaciones realizadas exclusivamente en el ámbito privado.

Así, quedaran excluidas de tales exigencias sólo si la utilización de la grabación se realiza exclusivamente dentro del ámbito “de las relaciones familiares o de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos”

Podemos grabar el cumpleaños de las niñas, pero sólo para verlo en casa con los amigos­–o casi–. Nada de exhibirlo en el cine del barrio por guapas que estuvieran las niñas.

Cazador cazado

O lo que es lo mismo, denunciante denunciado.

Lo que viene a decir la AEPD es que las grabaciones sólo se pueden realizar en el ámbito estrictamente doméstico y ser utilizadas en el mismo ámbito. Y ni un puesto de trabajo, ni una oficina, ni un tan siquiera un juzgado en que presentáramos una denuncia pertenecen a tal ámbito.

Quien realice una grabación de alguien para denunciarle por incompetente, ya avisa la AGPD que se puede encontrar con una denuncia por incumplimiento de las numerosísimas exigencias de la Ley de Protección de datos. Y con una importante sanción.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 4, 2012

Guía de uso seguro del Cloud: LOPD

Archivado en: Comercio Electrónico, Informática, Protección de Datos — Etiquetas: , , — legisconsulting @ 11:34

El almacenamiento en la nube (en adelante Cloud) es una solución fácil, eficiente y práctica. Pero es una herramienta con unos requisitos y condicionantes –exigidos por la LOPD y controlados por la AEPD– que hay necesariamente que conocer y seguir para un uso seguro de la misma.

Las condiciones y requisitos exigidos por la Ley no deben entenderse como para ser negociados punto por punto, sino para elegir de entre los proveedores de servicios de almacenamiento Cloud, al que los ofrezca directamente sin –prácticamente– más trámites.

¿Como se cumplen todas las exigencias?

Se mostrarán más adelante la gran cantidad de requisitos exigidos por la Ley par este tipo de contratos, ¿pero como se cumplen?: pues, en resumen, eligiendo un proveedor de Servicios Cloud que incluya en sus condiciones todas las exigencias legales en lugar de exigir cada punto.

Obviamente, si nos planteamos negociar con el prestador de los servicios punto por punto y requisito por requisito cada uno de los extremos legalmente exigidos, la contratación de estos servicios sería imposible. Pero eso no es así.

Se ha manifestado reiteradamente en este blog que las condiciones que ponemos en las Web son contratos por los que las partes vienen obligados (el contrato obligatorio para este servicio). Y si el proveedor nos muestra el resto de condiciones exigidas, pues cumplimos con la ley.

Sirva como ejemplo un conocido proveedor de estos servicios que ni tan siquiera está radicado en España ni en la UE, sino que es simplemente una de las entidades adheridas al mencionado acuerdo Safeharbour. Y como para cumplir la práctica totalidad de las exigencias sólo hay que ver su Web.

No se trata de elegir el contrato de almacenamiento y todas sus exigencias, sino elegir al proveedor que las ofrezca sin prácticamente más trámites.

Involucrados en el Cloud

En términos de la LOPD, en un contrato de almacenamiento de datos en la nube, además de los titulares de los datos, hay una actividad que es el Tratamiento de dichos datos y dos personas involucradas:

  • Tratamiento de los datos: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.
  • El contratante de servicios Cloud: es lo que la LOPD llama el ‘Responsable del Fichero’. Es decir, quien decide sobre la finalidad, contenido y uso del tratamiento. Y a quien corresponde exigir a su proveedor de servicios Cloud que articule las medidas de seguridad que correspondan
  • El prestador de servicios Cloud: o lo que la LOPD llama el ‘Encargado del Tratamiento’, que es la persona que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Es su obligación articular las medidas necesarias para dotar a los datos del nivel de seguridad que proceda.

En este marco, es el contratante de los servicios Cloud –el usuario de los servicios– el responsable de que el prestador de los servicios cumpla la normativa española. Y para ello es esencial la formalización del Contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros cuyo contenido se detalla más adelante en este artículo.

En ningún caso cabe legalmente el pacto de que la normativa a aplicar sea la de otro país.

Almacenamiento de datos (localización)

Resulta esencial para la seguridad del contratante saber en qué condiciones y en que país se almacenarán físicamente los datos. Y como lo más normal es que los datos no se almacenen en España, cabe señalar que la transferencia internacional de datos sólo se podrá dar a países que tengan lo que la ley llama un nivel de protección adecuado (lista).

Para el almacenamiento de datos en países que no se incluyan en esa lista de países con un nivel de protección adecuado será necesaria, previa aportación de las garantías adecuadas, la autorización del Director de la AEPD.

Por el contrario, no será necesaria esa autorización del director de la AEPD:

  • Si la transmisión se realiza dentro del Espacio Económico Europeo, porque ello no se considera una transferencia internacional de datos
  • En Países a los que la Comisión Europea considera con un nivel de protección de los datos equiparable al Europeo
  • Servicios prestados por Entidades radicadas en los EEUU que se hayan adherido voluntariamente para la prestación de estos servicios al acuerdo Safeharbor (entidades adheridas). Si bien, si estas entidades van a transferir los datos personales a un tercer país, deberá aportar garantías por escrito para ofrecer al menos el mismo nivel de protección que se le haya requerido.

También será posible contratar con un proveedor de servicios Cloud de un tercer país –de los de un nivel de protección no adecuado– cuando este proveedor haya obtenido previamente del Director de la AEPD la autorización para realizar transferencias internacionales de datos.

De cualquier forma, en todos los casos –sea o no necesaria autorización– será necesaria la formalización de un contrato. Y en este sentido cabe señalar que los contratos que se celebren de acuerdo con “Las Cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países” (Decisión CE 2010/87/UE), se considera que ofrecen las garantías adecuadas.

Contenido mínimo del (obligatorio) Contrato

En todo caso, y sean cuales sean las circunstancias, la LOPD exige la formalización de un contrato entre proveedor de servicios de Cloud y el usuario de los mismos.

Art. 12.2 LOPD. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar

Al margen de lo exigido por el artículo trascrito, en el preceptivo contrato que debe existir entre Prestador del servicio de almacenamiento y el Usuarios, hay una serie de cláusulas que considero esenciales

  • Cumplimiento de la legislación en materia de Protección de datos: El prestador del servicio debe asumir de forma expresa su condición de Encargado del Tratamiento en los términos y con todas las obligaciones establecidas por la Ley española y europea. Incluidas las autorizaciones y requisitos citados anteriormente si los datos se almacenaran en países con un nivel de protección NO adecuado en los términos expuestos en el apartado anterior.
  • Datos: Es imprescindible la mención expresa de que el uso de los datos que haga el prestador del servicio será única y exclusivamente el autorizado por el contratante, y de que en ningún caso podrá disponer de los datos que le hayan sido proporcionados
  • Acceso a los datos: El prestador del servicio debe garantizar en el contrato que la información aportada sólo será accesible para el contratante del servicio.
  • Caso de que alguno de los datos aportados sea de los calificados por la ley como de especial protección, se exigirá que consten las medidas de seguridad exigibles en función de los mismos.
  • Integridad y conservación. El prestador del servicio deberá disponer y hacer constar en el contrato los mecanismos disponibles para recuperación de la información y copias de seguridad que garanticen la conservación íntegra de la información y datos aportados.
  • Disponibilidad: Se deberá hacer constar un elevado porcentaje de tiempo en que el servicio estará disponible, así como la obligación de notificar las paradas programadas del mismo.
  • Resolución y Portabilidad: Plazo y forma en que se podrá rescindir el contrato por alguna de las partes, así como el plazo y la forma en que se hará entrega al contratante de los datos almacenados, su formato y la debida integridad de los mismos.
  • Mecanismo de borrado: para datos una vez hayan sido migrados o transferidos al Usuario de los servicios Cloud
  • Penalizaciones para el prestador del servicio caso de incumplimiento de las obligaciones tanto legales como de los términos del contrato.
  • Exclusión de responsabilidad: Que el cumplimiento diligente de las obligaciones por parte del contratante del servicio de Cloud le eximirá de sus responsabilidades.
  • Cláusulas contractuales tipo elaboradas por la AEPD que permiten la subcontratación de los servicios (Art. 21 RLOPD) de Cloud con un proveedor de dichos servicios que, de acuerdo con dichas cláusulas, tenga autorizada la transferencia internacional de datos
  • Sometimiento a la jurisdicción del estado del Usuario: caso de conflicto en que estén envueltos tanto prestador del servicio como usuario, como ambos o cualquiera de los dos con un tercero titular de datos, cabe establecer este sometimiento.
  • Medidas de seguridad: Si bien deben ser parte del contrato, entiendo que es una materia que necesita de un apartado propio dada su extensión e importancia.

Seguridad de los Datos

Artículo 9.1 LOPD. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Condiciones mínimas de seguridad a incluir en el contrato:

  • Mención a la diligencia debida, tanto del prestador del servicio como del usuario en cuanto a la custodia de los datos. Y en este sentido, también mención de las medidas concretas que vayan a implementar para su seguridad. Y dado que no todos los datos necesitan del mismo nivel de protección,  información expresa sobre la naturaleza de los datos a fin de poder establecer el nivel de seguridad que en función de los mismos, proceda.
  • Mención a los mecanismos de seguridad, tanto físicos como lógicos, establecidos para preservar los datos. Así como a las copias de seguridad, la periodicidad en su realización y su mecanismo.
  • Los mecanismos de autenticación para el acceso a la información en los términos y en la forma que el usuario determine.
  • Cifrado de los datos y nivel de seguridad ofrecido por las técnicas de cifrado de la información que se aplique en los sistemas del proveedor.
  • Procedimiento de recuperación y migración de los datos y mecanismos de borrado.
  • Caso de tratarse de datos especialmente protegidos de acuerdo con la legislación española, será necesario que el proveedor de los servicios establezca un registro de los accesos realizados a los datos.
  • Caso de que sea materialmente imposible verificar en persona las medidas de seguridad del prestador del servicio –imposible en este tipo de contrato ir a ver si el servidor está cerrado con llave– se podrá designar a un tercero independiente que las audite. Y es este un extremo que también debería ser incluido en el contrato dado que la ley exige el control del Encargado del tratamiento por parte del Encargado del Fichero.
  • La obligación de poner en conocimiento del Usuario del servicio cualquier incidencia que se produzca en el mismo y las medidas adoptadas para su subsanación.

Además, para todo ello y en cumplimiento del deber de diligencia exigido al Usuario de los servicios Cloud en el control del Encargado del tratamiento (el proveedor de los servicios), el Responsable del Fichero deberá exigir y tener acceso a toda la documentación técnica o auditorías externas que garanticen que se cumplen las todas las exigencias legales para el almacenamiento de datos de carácter personal.

Un contrato complejo

Es efectivamente un contrato complejo con gran cantidad de variables y exigencias cuyo incumplimiento puede traer graves consecuencias de acuerdo con la Ley. Y es que en tanto no se apruebe un método más ágil y acorde con el medio en que se desenvuelven este tipo de contratos, la normativa que hay es esta y lo más seguro es cumplirla.

Hay en proyecto un nuevo Reglamento de Protección de Datos que sin duda cambiará las condiciones y los intervinientes en este tipo de contratos, pero de momento no lo tenemos, y lo expuesto en este artículo a grandes rasgos, es sólo una breve guía a tener en cuenta para contratar este tipo de servicios para el almacenamiento de datos personales.

Como ha visto, si va a almacenar son datos personales, lo más razonable es contar con un asesoramiento profesional. A ello invita un régimen sancionador de la LOPD que hace que, sin duda, el coste-beneficio compense.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Julio 10, 2012

Restricciones legales al Marketing Online

Archivado en: Comercio Electrónico, Marketing, Protección de Datos — Etiquetas: , , , — legisconsulting @ 10:51

Las acciones de Marketing online pueden ser una actividad de riesgo. Las leyes vigentes limitan estrictamente las posibilidades de acción y fijan gravosas consecuencias para su incumplimiento.

Contratar empresas que en nuestro nombre ejecuten estas acciones puede facilitar este trabajo, pero la estricta legislación existente en esta materia hace imprescindible un asesoramiento legal especializado para cada acción. La razón: hasta 150.000€ de sanción por cada ‘autoridad’. Y ello sólo en aplicación de la LSSI.

Catálogos de muebles y licencias de caza

La idea de este post surge de un correo recibido –a disposición de cualquier persona o entidad con interés en su lectura que lo solicite– en el que,

  • Una persona se identifica como miembro del departamento de comunicación de una conocida tienda de muebles:  “Mi nombre es María AAA  y trabajo en el departamento de comunicación de Avanthaus
  • Se incluye un enlace al catálogo virtual de la tienda
  • Se me ofrece un texto procedente del blog de esa misma cadena de tiendas para ser publicado.
  • Y se me informa de la evolución de las licencias de caza con la crisis: “Acabamos de publicar una noticia sobre la situación actual de la caza y sobre cómo la crisis y la coyuntura económica de ahora está afectando al número de licencias de caza” (una parte que no entiendo, lo reconozco).

El correo se ha enviado desde una dirección plenamente identificable de una empresa de marketing online.

Serán las implicaciones legales mostradas en el correo de las que trate este post. En ningún caso pretende mostrar cualquier restricción legal al marketing online en cualquier caso porque ello sería obviamente  imposible.

¿Publicidad  camuflada o cortés invitación?

Obviando el interesante dato de las licencias de caza y a la vista del resto de elementos, mi apreciación personal es que lo que he recibido es publicidad de una tienda de muebles.

Aunque también es bien cierto que se puede entender que no es publicidad, sino una cortés  invitación para publicar un texto en este blog.

En definitiva, la licitud o ilicitud del correo dependerá de la interpretación que se haga del mismo. Y la Inseguridad jurídica existente en esta materia hará que la sanción dependa del humor del funcionario o de la necesidad recaudatoria de la administración (o administraciones) de turno.

Qué se debería/podría haber hecho

Si se entendiera que se trata de publicidad, en primer lugar se debería haber pedido autorización expresa para enviarla.

En segundo lugar se debería haber incluido en el ‘asunto’ del correo los términos “PUBLICIDAD” o “PUBLI”.

Parece que lo que se ha intentado es buscar una estrategia para tratar de sortear la ley. Y de entre esas posibles estratagias, talvez alguna otra habría podido ser algo menos ‘obvias’, como: enviarme un correo aparentemente personal, individualizado, sin referencias publicitarias tan directas; o, si hubiera sido posible, como respuesta a algún correo mío; o incluso haber sido enviados a través de alguna red social o de algunos de los grupos específicos sobre la materia (comercio electrónico) dentro de la misma.

De cualquier forma, entendamos que estamos intentando ‘sortear’ la ley para dar a conocer nuestros productos a quien no lo ha pedido. Y ello, fuera cual fuera la opción elegida, también tendrían sus condicionantes y estaría abierto a posibles interpretaciones.

¿Se ha incurrido en un error?

El correo ha sido remitido a la dirección del despacho (info arroba legisconsulting.com) además de a un número de destinatarios en copia oculta –un indicio por otra parte no demasiado favorable a efectos sancionadores–.

Y es posible que el remitente haya considerado que al haber sido remitido a un despacho de abogados no entra dentro de las prescripciones de la LOPD. Pero ello no es del todo exacto ni libera de responsabilidad.

En primer lugar, ya se ha comentado en este blog anteriormente que como regla general se tiende a tomar prevenciones en torno a la LOPD dejando casi de lado la LSSI. Algo que no es razonable considerando los preceptos y sanciones de ambas. Las restricciones a la publicidad online o la mera captación de información con este o cualquier otro fin se encuentran en la LSSI, por lo que las acciones prohibidas no serán sólo las que afecten a personas físicas en los términos de la LOPD, sino a cualquier persona, profesional o empresa.

En segundo lugar, es cierto que las empresas no se encuentran bajo la protección de la LOPD, pero al estar enviándose un correo, la cuestión es si tal dirección de correo electrónico puede ser directamente vinculada con una persona física independientemente de lo que textualmente diga en el correo (info). Y en caso de respuesta afirmativa, sí que podría ser de aplicación la LOPD.

De cualquier forma, ya se ha planteado anteriormente este blog (Link) qué debería dar más miedo, si la LSSI o la LOPD. Y la conclusión era clara: las dos.

Responsabilidad y sanciones

Cabe discernir llegado a este punto, si se ha cometido una infracción, a quien correspondería la sanción.

Al igual que en caso de la determinación de la existencia de la infracción, de la interpretación que haga el funcionario correspondiente dependerá a quien le será ‘adjudicada’ la correspondiente sanción: la tienda de muebles por ser publicidad de esta; o a la empresa de marketing online por ser quien envía el correo.

De cualquier forma es seguro que caso de ser denunciada, la empresa de muebles reclamaría a la empresa de marketing online por los daños ocasionados. Aunque también es posible que esta pudiera llegar a reclamar al empleado persona física que envió el correo caso de que entendiera que le puede imputar responsabilidad directa en el daño causado.

En un caso como este, la sanción la acabaría soportando el último eslabón de la cadena.

Y en cuanto a las sanciones que corresponderían, pues ya se han tratado anteriormente en este Blog las sanciones por infracciones de la LOPD y LSSI y que pueden ser consultadas en el siguiente Link

Estrategias de marketing

La empresa que me ha enviado el correo objeto de este post es evidente que, como conocedora del medio en que habitualmente se desenvuelve, ha entendido que su estrategia es plenamente legal y que no traerá consecuencias. Y lo más probable es que sea cierto, pero a la vista de las normas mencionadas, también es posible que no sea así.

Lo estricto de la normativa en esta materia hace del marketing online esta una actividad de riesgo. Conviene, antes de emprender (casi) cualquier acción, obtener un asesoramiento legal especializado para poder valorar de forma objetiva opciones de actuación y riesgos asumidos. Si el riesgo compensa el coste o como minimizar tal riesgo.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Junio 7, 2012

Los peligros de la Web: LOPD y LSSI

Es la historia del turista que va de safari a África y pregunta al guía:

- ¿Qué animales deberían darme más miedo?; ¿De cuales debería alejarme?; ¿Cuáles son peligrosos?

A lo que el guía responde:

- Todos

Pues si tenemos o nos planteamos tener un negocio de Comercio Electrónico o una Web que preste servicios –aunque estos sean gratuitos–, la pregunta a hacer es

- ¿Qué ley debo cumplir?. ¿Con cuál corro más riesgos?

A lo que el guía responde:

- Todas

Las Leyes de los peligros

Obviamente la normativa dependerá de la actividad y los servicios, y aparte de la normativa ‘analógica’, en el sector del Comercio Electrónico hay dos normas a las que hay que prestar especial atención:

  • LSSI (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico) -> en adelante ‘el hipopótamo’
  • LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) -> en adelante ‘el leon’

Si le preguntamos al turista nos dirá que el león es mucho más peligroso que el pesado hipopótamo. Pero si le preguntamos al guía –o a cualquiera aficionado a los documentales de La 2– nos contará que el hipopótamo es el animal que más muertes causa en África.

Pues con las leyes pasa más o menos lo mismo: la mala fama –merecida en parte– de la LOPD y de su brazo armado, la AEPD, no quiere en absoluto decir que el turista deba despreocuparse de esos otros aparentemente pacíficos vecinos para con los que poner los datos del titular de la web y poco más, se cree que ya habremos cumplido.

Los peligros

Pero vayamos por partes: ¿Cuál es el importe de las sanciones previstas en cada una de la normas?

LOPD:

Artículo 45. Tipo de sanciones.

  1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros
  3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

LSS:

Artículo 39. Sanciones.

a. Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros.

b. Por la comisión de infracciones graves, multa de 30.001 hasta 1 50.000 euros.

c. Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Como se ve, el importe de las sanciones no varía tanto en una u otra ley, entonces ¿cual nos debería dar más miedo?

Bajarse del coche para la foto

El problema del la LSSI (el hipopótamo que decíamos) es la fama. Y es que al no estar tan claro quién puede imponer la sanción como en el caso de la LOPD, las repercusiones mediáticas de estas no son tan espectaculares como las de la AEPD.

Atendiendo a quien puede imponer la sanción, las sanciones por incumplimiento de la LSSI podrán ser impuestas:

  • por la autoridad que dictó la resolución incumplida,
  • o por el órgano al que estén adscritos los inspectores,
  • o por el órgano correspondiente de consumo de las Comunidades Autónomas,
  • o por el ministro de industria caso de infracciones graves,
  • o por el Secretario de Estado en infracciones y leves,
  • o por la autoridad competente en función de la materia de que se trate,
  • o por la AEPD,
  • ¡… o por varios de ellos!

Ello genera una inseguridad que ya se trató en este blog recientemente y de forma más detallada en un post sobre las infracciones y sanciones en las web.

Evidentemente, el león (LOPD) tiene una reputada fama, rapidez y poderosos colmillos (AEPD), pero el hipopótamo (LSSI) protege con fiereza su territorio y puede salir en cualquier momento de debajo del agua.

Las fotos, tras el cristal

Tal como empezábamos este post

- ¿Qué ley debo cumplir?. ¿Con cuál corro más riesgos?

- Todas

Y no conviene ponerse a juguetear ni con el león ni con el hipopótamo, porque el E-commerce sin asesoramiento legal es como ir de safari con un tirachinas. La broma, sin duda, saldrá cara.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

« Entradas más recientes