Febrero 21, 2018

Derechos ARCO vs Derechos ARSULIPO—RGPD V

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 13:07

Los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de la LOPD se reinventan, se amplían y nos fastidian el acrónimo.

  • Derecho de Acceso
  • Derecho de Rectificación
  • Derecho de SUpresión (”el derecho al olvido” lo denomina el propio RGPD)
  • Derecho a la LImitación del tratamiento
  • Derecho de Portabilidad
  • Derecho de Oposición

Los nuevos derechos de Supresión y Portabilidad que incorpora el RGPD (Reglamento Europeo de Protección de Datos) nos dejarían el acrónimo en algo así como “Derechos ARSULIPO”. Obviamente nada que ver con la sonoridad y la fuerza semántica de los antiguos “ARCO“, aunque confiamos en que la AGPD no elija esta opción que suena más bien a algún tipo de roedor en peligro de extinción.

Entrando en la cuestión y como planteamiento general previo hay que señalar que el ejercicio de los derechos debe ser para el interesado fácil, accesible y no podrán ser denegados por el hecho de que el interesado opte por un medio distinto al sugerido por el responsable del tratamiento.

Derecho de Acceso

El interesado tendrá derecho a acceder, no ya a los meros datos, sino a toda la  información sobre los mismos.

El nuevo proyecto de LOPD establece que este derecho de acceso se considerará otorgado si el responsable del tratamiento, sin hacer entrega de los datos o la información, facilita una vía de “acceso remoto, directo y seguro” a los mismos.

Asimismo, al amparo del RGPD, establece que el responsable del tratamiento se podrá negar el derecho de Acceso o cobrar por el ejercicio del mismo si, salvo causa legítima para ello que deberá hacerse constar por el interesado,  este se solicita el ejercicio del derecho en más de una ocasión durante el plazo de 6 meses.

Las novedades sobre la antigua LOPD de 1999 es que la nueva LOPD no fija un plazo para la respuesta (hasta ahora 30 días) por parte del Responsable del Tratamiento a la solicitud de acceso.

Derecho de Rectificación

Es el proyecto de LOPD el que desarrolla y limita más este derecho al establecer que el interesado deberá detallar los datos que desea rectificar y, si es necesario, aportar la documentación justificativa del error o el carácter incompleto de los mismos.

Al igual que en el caso del derecho de acceso, el Proyecto de Ley no fija un plazo de respuesta a diferencia de los 10 días que establece la LOPD.

Derecho de SUpresión (derecho al olvido)

El interesado tendrá derecho a obtener “sin dilación indebida” —pero sin plazo concreto ni en el proyecto de LOPD ni en el RGPD— del responsable del tratamiento la supresión de los datos si:

  • los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos
  • el interesado retire el consentimiento
  • el interesado se oponga al tratamiento (derecho de oposición que veremos más adelante)
  • los datos personales hayan sido tratados ilícitamente;

Se podrá denegar el ejercicio de este derecho cuando l tratamiento sea necesario:

  • para ejercer el derecho a la libertad de expresión e información;
  • para el cumplimiento de una obligación legal ;
  • para la formulación, el ejercicio o la defensa de reclamaciones.

Asimismo el Responsable del tratamiento podrá conservar los datos cuando la supresión derive del ejercicio del derecho de Oposición, este podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.

Derecho a la LImitación del tratamiento

La LImitación en el tratamiento cosiste en que los datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento expreso del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando:

a)      el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;

b)      el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c)       el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d)      el interesado se haya Opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

En responsable del tratamiento deberá hacer costar de forma expresa en su Sistema qué datos concretos se encuentran limitados.

Derecho de Portabilidad

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a)      el tratamiento esté basado en el consentimiento ó

b)      el tratamiento se efectúe por medios automatizados.

El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Caso de haber procedido a la Rectificación, a la Supresión de los datos o a la Limitación de los mismos, el Responsable del tratamiento vendrá obligado  a notificar tal hecho al interesado salvo que sea imposible o exija un esfuerzo desproporcionado.

Derecho de Oposición

Se otorga un derecho de oposición al interesado casi absoluto, con contadísimas excepciones y de forma fácil y gratuita. Así, cabe el ejercicio del derecho de Oposición al tratamiento de datos personales:

  • Incluso cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • incluso cuando el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
  • En caso de el tratamiento tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento. En este caso, los datos personales dejarán de ser tratados para dichos fines.
  • En el contexto de la utilización de servicios de la sociedad de la información, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
  • Salvo interés público, cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos.

El ejercicio de todos estos derechos deberá ser atendidos por el Responsable del Tratamiento. Más trabajo para una figura que ha perdido mucha publicidad con la aparición de la figura del Delegado de Protección de Datos que trataremos próximamente en este blog.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 15, 2018

Información y acceso a los datos: RGPD IV

Archivado en: Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 10:41

Una parte esencial en tratamiento de datos es la información que se debe notificar al interesado cuando recabamos los datos o cuando este los solicita.

Tanto la nueva LOPD como el Reglamento (RGPD) hacen una división sobre la información que se debe facilitar en función de la fuente de dichos datos.

Si los datos se obtienen el propio interesado -por ejemplo mediante el registro en una Web- , el responsable del tratamiento le facilitará  en el mismo momento:

a)      la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b)      caso de que exista, los datos de contacto del delegado de protección de datos;

c)       los fines para los que se van a utilizar los datos personales y el modo en que se van a utilizar. Debiéndose solicitar una nueva autorización si se cambia la finalidad a que destinarán los datos.

En particular, si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, se deberá informar de ello.

d)      los intereses legítimos concretos  del responsable del tratamiento o de un tercero para recabar esos datos;

e)      los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f)       en su caso, si se va a producir una transferencia internacional de datos -por ejemplo si se usa un servicio en la nube cuyos servidores se encuentran en el extranjero-.

Si los datos NO se obtienen el propio interesado, el Responsable del Tratamiento le facilitará, además de toda la información precedente:

a)      Las categorías de datos objeto de tratamiento y

b)      las fuentes de la que procedieran los datos  y, en su caso, si proceden de fuentes de acceso público;

c)       el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

d)      la existencia de los derechos de acceso, rectificación o supresión y oposición, así como el derecho a la portabilidad de los datos;

e)      el derecho a retirar el consentimiento en cualquier momento;

f)       el derecho a presentar una reclamación ante la AGPD;

g)      la existencia de decisiones automatizadas, información significativa sobre la lógica aplicada en su caso, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Toda esa información deberá ser proporcionada  por el Responsable del Tratamiento al interesado como máximo en el plazo de un mes. O si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado. O si los datos se van a comunicar a otro destinatario, como máximo en el momento en que los datos personales sean comunicados por primera vez.

Excepciones

Pero como todo no podía ser tan fácil, el RGPD si establece excepciones. Casos en los que el deber de información no es imprescindible y que pueden facilitar mucho la vida a Responsable del Tratamiento. Estas son:

  • que el interesado ya disponga de la información;
  • la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado,;
  • que la obtención o la comunicación esté expresamente establecida por Ley;
  • o cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por Ley.

Acceso

En todo caso, el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a toda la información que le debería -o le fue- comunicada detallada anteriormente además de, caso de haber transferido los datos a un tercer país, las garantías relativas a la transferencia.  Para ello el Responsable del Tratamiento facilitará una copia de los datos personales objeto de tratamiento, pudiendo para ello exigir al interesado un canon razonable basado en los costes administrativos.

Es decir, vendremos obligados a entregar copia de los datos, pero podremos exigir el importe del coste que ello ocasione.

Finalmente sólo queda señalar la obviedad de que es obligatorio entregar o notificar toda la información citada anteriormente, pero es sabio conservar copia o justificante de haberla entregado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 13, 2018

Datos especialmente protegidos – RGPD III

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 12:01

Podemos tratar toda clase de datos siempre que medie consentimiento, pero hay algunas categorías de datos de los que el Reglamento (RGPD) prohíbe el tratamiento. Son datos “especialmente protegidos”, aunque -como casi todo en Protección de Datos- con matices.

Así, el Reglamento prohíbe el tratamiento de Datos:

  • que revelen el origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud
  • datos relativos a la vida sexual o las orientación sexuales de una persona física.

Salvo excepciones (y excepciones a las excepciones):

  • Que el interesado de su consentimiento explícito salvo que lo prohíba expresamente una ley.

Consentimiento que no bastará para levantar la prohibición según la nueva LOPD para datos relativos a la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico… Pura matemática: prohibición x excepción x prohibición de la excepción = prohibido.

  • El tratamiento de los datos es necesario es necesario para el cumplimiento de obligaciones  legales en el ámbito del Derecho laboral y de la seguridad y protección social.

Es decir, que si hay una obligación legal que necesite del tratamiento de esa categoría de Datos, su tratamiento SÍ estará permitido.

  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

Si está capacitado, sí será necesario el consentimiento. O dicho en sentido contrario: según el Reglamento, hasta para salvarle la vida a alguien se necesita su consentimiento para tratar los datos si puede dar dicho consentimiento

  • El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos. Si bien en este caso los datos exigirán de otros deberes de información que se tratarán por su extensión en otro Post.

-        Aviso a empresas de marketing, big data, etc. Los datos manifiestamente públicos podrán ser utilizados

-        Aviso a particulares: cuidado con lo que se cuelga y como se cuelga en Twitter, redes sociales, etc.

  • El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
  • Por razones de Interés público.

Veremos el desarrollo si es que este llega a producirse, pero de momento esta excepción parece cajón de sastre que abre la puerta a posibles actuaciones Orwelianas;

  • El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado.

(Nota: Resuelta la excepción a la excepción: las ambulancias no necesitarán llevar formularios a firmar por el accidentado para poder comunicar al hospital la situación del mismo antes de llegar.)

  • El tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

En resumen, si se trata de una empresa, entidad o profesional podrá tratar datos especialmente protegidos como los datos relativos a la salud, datos genéticos sólo con consentimiento del interesado. Pero en ningún caso podrá tratar datos como la ideología, las convicciones religiosas o políticas, la vida sexual o la afiliación sindical, salvo que la normativa laboral nos obligue a tratarlos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 8, 2018

RGPD II: Tratamiento de los datos

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 12:38

Ya hablamos hace unos meses en este blog del consentimiento para el tratamiento de los datos de carácter personal, así que hoy trataremos qué datos, con qué fines y en qué forma deben ser tratados esos datos de forma legal.

Los datos personales serán:

  • Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)“;  Y será lícito sólo
    • Si medió  consentimiento ó
    • si el tratamiento es necesario para la ejecución de un contrato ó
    • si los datos son necesarios para que el Responsable del tratamiento cumpla una obligación legal -piense por ejemplo en la obligación de algunos profesionales de hacer notificaciones a hacienda- ó
    • si son necesarios para proteger intereses vitales del interesado o de otra persona física -piensen en profesionales médicos por ejemplo-
    • Los datos serán recogidos sólo “con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines“. Es decir, sólo se  utilizarán con la finalidad para la que fueron recogidos. Por ejemplo, si los recogimos para ejecutar un contrato, no podremos utilizarlos para enviar  publicidad posteriormente si no nos han autorizado expresamente y con limitaciones para ello.
  • Y sólo los mínimos datos imprescindibles para cumplir la finalidad para la que se piden. Principio de «minimización de datos», lo llama el RGPD;
  • Exáctos. Con obligación de establecer medidas para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. Es decir, se obliga a mantener mecanismos o planes que permitan tener los datos actualizados
  • Mantenidos exclusivamente durante el periodo que sean necesarios para los fines para los que fueron recabados. «Limitación del plazo de conservación», lo denomina el RGPD
  • Tratados con todas las medidas de seguridad: «integridad y confidencialidad».

El obligado al cumplimiento de todos estos requisitos será  el Responsable del Tratamiento que además deberá ser capaz de demostrar de forma activa que cumple con ellos: «responsabilidad proactiva».

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 22, 2017

Los Reyes Magos y el (nuevo) Reglamento de Protección de Datos (RGPD)

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , , — legisconsulting @ 11:07

Post recomendado exclusivamente para mayores o menores informados.

Magia e ilusión en estado puro, pero antes que los Reyes Magos (ciudadanos extracomunitarios) le toca otro personaje del mismo gremio, vecino nuestro y residente comunitario suponemos que en alguna urbanización de la costa: San Nicolás (Sinterklaas en los Países Bajos), que no sabemos si cobra el PER el resto del año, pero que sólo trabaja el 6 de diciembre (poco que ver con el Papa Noel  o Santa Claus que llega la noche del 24 de diciembre).

Sinterklaas es como nuestros Reyes Magos, sólo que en lugar de venir de Oriente en camello dice la tradición que es un obispo mayor de barba larga, vestido de fiesta mayor, al que nadie debería extrañarse de ver en la planta de juguetes de El Corte Inglés o similar y que va desde España en barco a Holanda y Bélgica a llevar regalos y dulces naranjas… aunque en este año pudiera pensarse que no deben haber sido muy buenos los niños por esos lares cuando Zwartemont(1),, por la cara que se les ha quedado, parece haberles llevado más limones que dulces naranjas a los belgas.

Sinterklaas y el RGPD

Pero, como este es un blog jurídico y como tal vamos a tratarlo, pasamos a plantear de forma concisa los elementos claves de la situación jurídica de Sinterklaas a la luz del RGPD :

  • Como hemos visto, Sinterklaas es residente en España (residente comunitario)
  • Sinterklaas es mágico y dispone de datos para saber qué niños se han portado bien y cuáles no… un fichero organizado de datos en toda regla.
  • Los datos de que dispone son de niños comunitarios (Holanda y Bélgica entre otros), por lo que las exigencias no serían mayores que si los fueran españoles.
  • Evidentemente  es una cantidad masiva de datos, con lo cual entendemos que dispondrá de un Delegado de Protección de Datos.
  • Como  la actividad de Sinterklaas se inicia con una acción activa del interesado pidiendo regalos por carta, eso supone obviamente una autorización expresa.
  • Pero -salvo algún despistado- los firmantes son menores de 13 años, así que sus padres deberán firmar su autorización a la tenencia de los datos(2).
  • En el fichero figura cómo se han portado cada niño (son datos de comportamiento íntimo y de lo más personal) y sabe lo que quieren de regalo (hábitos de consumo)
  • Pero es que además esos menores están en otro país de la UE.
  • Podemos suponer que aunque sea muy estacional, dado el volumen de trabajo dispondrá de más de 250 ayudantes, así que deberá mantener un “Registro de Actividades”.
  • Normalmente las comunicaciones con Sinterklaas o los Reyes se realizan por correo postal, así que como no hay otra forma, con los regalos deberíamos encontrar por la mañana un documento en que figure toda la información que ya contamos antes en otro post.

Y al margen de esto también cabe preguntarse,  ¿tendrá Sinterklaas, como residente y con los servidores en España, el fichero inscrito ante la AGPD?… al menos hasta el 25 de mayo que en principio dejará de ser obligatorio, debería.

¿¡Y qué pasa con los Reyes Magos!?

Los Reyes Magos disponen de los mismos datos y hacen el mismo uso de los mismos planteado para Sinterklaas, pero como resulta evidente, lo tienen más difícil y el uso y ‘manejo’ de esos datos tendrá muchas más exigencias.

Los Reyes Magos lo son de Oriente y, por lo tanto, son ciudadanos extracomunitarios.  No sabemos a día de hoy si como jefes de Estado tendrán pasaporte diplomático, si FRONTEX les permitirá llegar este año, si habrán conseguido ya el preceptivo visado o si habrán hecho la los trámites aduaneros necesarios para los regalos. Pero como este post va de protección de datos y no de extranjería o fiscalidad, dejaremos de lado este complicado tema y pasemos a lo que nos ocupa.

Los datos sobre los niños y su bondad o maldad a lo largo del año se recaban aquí por un -o tres en este caso- no residente/s. Y, como hemos visto,  posteriormente son trasladado a su domicilio social en territorio extracomunitario. Ello implica una transferencia internacional de datos que exigiría:

  • Normas corporativas vinculantes para responsables y Encargados del tratamiento
  • Aceptación expresa para la transferencia por parte del mayor de 13 años(2) o sus tutores legales .
  • Autorización expresa por parte de la AGPD.
  • Cláusulas contractuales para el tratamiento de datos y los correspondientes garantías en Oriente que deberán ofrecer los Reyes magos debidamente firmadas.

Los Reyes magos sólo podrían transmitir los datos sin autorización previa al lugar de su domicilio social sin nivel adecuado de protección cuando esa transferencia sea necesaria para satisfacer intereses legítimos, imperiosos del responsable y la transferencia no es repetitiva y afecta sólo a un número limitado de interesados…. Algo para lo que no parece que se adapte a la norma por mucho que forcemos la interpretación alegando los únicos interesados son los niños (muy limitado) y que es temporal hasta que cuando crezcan descubran “LA VERDAD” de los Reyes Magos y Sinterklaas.

Magos Intenational Network

Me preguntaba hace ya un tiempo una persona profundamente preocupada por el tema: “¿¡Sinterklaas se ‘chiva’ a los Reyes magos!?”. Y yo pienso: si Sinterklaas se ‘chiva‘, es una transferencia extracomunitaria de datos.

Si los datos son comunicados por Sinterklaas porque es un chivato, entonces estamos ante una transferencia extracomunitaria de datos a un tercero fuera de la UE en un lugar que suponemos -viendo en las noticias  como está por el ‘Oriente’-  que no es un “lugar que ofrezca un nivel de protección adecuado” de acuerdo con la Comisión Europea y que por lo tanto exigirá a Sinterklaas obtener los mismos datos que hemos visto en el punto anterior que se exigirían a los Reyes magos y, además la notificación expresa a los niños mayores de 13 años(2) o a sus tutores legales, el detalle de los términos concretos de su acuerdo con los Reyes Magos (medidas de seguridad a adoptar en Oriente, plazo de cesión, uso de los datos, etc. etc., etc )

Mantener la ilusión: nota para interesados

Para caso de que lleguen a leer esto a pesar de la elevada carga de trabajo que deben tener en estas fechas, queremos aprovechar este post para instar encarecidamente tanto a Sinterklaas como a los Reyes Magos  que cumplan todas las obligaciones legales expuestas anteriormente. Con el nuevo RGPD y la nueva LOPD la Agencia de Protección de Datos mantiene sus facultades para aplicar unas sanciones para las que, a la espera del desarrollo reglamentario, ve reforzadas su discrecionalidad, su capacidad para graduarlas…. y su cuantía:

  • Para algunas infracciones, el importe de mayor cuantía entre: hasta 10.000.000,00€ o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior
  • Para otras infracciones consideradas más graves, el importe de mayor cuantía entre: hasta 20.000.000,00€ o hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior
  • Y esta última sanción de igual importe por no atender las resoluciones de la  AGPD

Para mantener la ilusión de niños y mayores, les rogamos desde aquí que cumplan ustedes con las obligaciones, no vaya a ser que el presupuesto se resienta por el paso de la AGPD y la magia los Reyes la tengan que usar de verdad para que los regalos tras la publicación del RGPD no se limiten a los excedentes de carbón del cierre de las térmicas o como mucho a juguetes de los chinos.

Deseamos desde aquí que tengamos todos un año lleno de ilusión y magia -a ser posible no financiera-.

.

.

(1) ‘Zwarte Pieten’ son los pajes ayudantes de Sinterklaas(San Nicolás, nada que ver con Papa Noel  o Santa Claus que llega en 24 de diciembre)

(2) La edad mínima fijada por el RGPD  para dar validez para prestar consentimiento menores es de 16 años, aunque autoriza a los estados a fijar una edad menor que en ningún caso se a inferior a 13 años. La edad actual en la LOPD es de 14 años, pero el proyecto de ley parece que lo adelanta hasta los 13 años que fija el RGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 8, 2017

Fin de la comunicación de ficheros a la AGPD

Archivado en: Comercio Electrónico, Protección de Datos — legisconsulting @ 10:40

El 25 de mayo acaba la obligación de notificar a la AGPD la existencia de ficheros que contengan datos personales… salvo que la nueva Ley no llegue a tiempo para derogar la que existe o que el proyecto cambie

El nuevo Reglamento de Protección de Datos incorpora importantes novedades, pero tal vez una a las que se les ha dado menos publicidad es a la cuestión de inscripción de ficheros que hasta ahora se realizaba mediante el famoso formulario NOTA.

Nueva obligación de mantener un “Registro de Actividades”

Para adaptarse a ese Reglamento, se está tramitando una nueva Ley de Protección de Datos que derogará a la  actualmente vigente y que no establece la obligación de inscribir ficheros pero establece la obligación de mantener un Registro de las actividades de Tratamiento de datos personales:

“Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.”

Ese Registro, que deberá conservarse por escrito inclusive en formato electrónico, deberá contener en todo caso:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identi­ficación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

Obligatorio, pero no para la mayoría

No tendrá obligación de mantener este registro quien emplee a menos de 250 personas, a menos que el tratamiento o que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales enumerados en lista tasada:

  • el origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos,
  • datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud o
  • datos relativos a la vida sexual o las orientación sexuales de una persona física.

En resumen, si tiene menos de 250 empleados y el fichero no contiene datos especialmente protegidos, se elimina la obligación formal de notificar la tenencia de los ficheros y no se sustituye por ninguna… salvo que la ley finalmente no se apruebe tal como figura en el anteproyecto o -más probable- que la nueva ley no se llegue a aprobar a tiempo.

En caso de que la ley no se publique antes del 25 de mayo de 2018, no se habrá derogado la ley hoy vigente y se mantendrá la obligación de pasar por NOTA. Obligación a la que se sumará a quien corresponda la obligación de mantener el Registro de Actividades que establece el Reglamento UE que sí estará vigente.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Junio 21, 2016

RGPD I: Consentimiento y datos personales con el nuevo Reglamento UE

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 13:00

El nuevo Reglamento de protección de datos viene a introducir importantes novedades y entre ellas la base de todos los datos: el consentimiento del Usuario

El consentimiento hasta ahora

En Protección de datos el punto de partida y eje central de todo es el Consentimiento del usuario para el tratamiento y utilización de sus datos personales. Cuestiones como la utilización, el tratamiento o la seguridad de los mismos quedan supeditados a ese consentimiento previo.

La Ley Orgánica 15/1999, define Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. Debiendo los interesados a los que se soliciten datos personales “ser previamente informados de modo expreso, preciso e inequívoco” (Art 5.1 LOPD).

Hasta ahora se prestaba la información en largos y tediosos textos que casi nadie leía y se recababa el consentimiento no sólo de forma expresa -forma reservada a determinados datos especialmente protegidos-, sino también de forma Tácita -no me opongo, luego presto consentimiento- o incluso Presunta -sigo navegando, luego presto mi consentimiento-.

Ahora, el nuevo reglamento nos obligará a replantear como recabamos el consentimiento y la forma y la información que proporcionamos al Usuario

El Consentimiento en el nuevo Reglamento UE

Al contrario que hacía y hace aún la LOPD, el nuevo reglamento viene a exigir que para que la prestación del consentimiento para el tratamiento de datos personales sea válida el usuario realice una acción activa ya sea mediante una declaración expresa ya sea mediante acción afirmativa de algún tipo.

Además se exige  al responsable del tratamiento que sea capaz de demostrar  el consentimiento del usuario para el tratamiento de sus datos personales (”Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”).

Consentimiento de menores

Distingue la LOPD actual entre menores o mayores de 14 años En el caso de menores de 14 años deberán prestar el consentimiento sus representantes legales

El Reglamento UE también introduce modificaciones en esta materia al establecer una edad mínima para prestar consentimiento de 16 años, si bien abre la puerta a que los Estados miembros en sus legislaciones nacionales establezcan una edad inferior a estos efectos que en ningún caso podrá ser de menos de 13 años. Pero esa normativa evidentemente aún no existe y tenemos que quedarnos con el límite general de los 16 años

Además exige que “El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible”. Una disposición obviamente muy vaga esta de los ‘esfuerzos razonables’ pero que seguro veremos desarrollada en su día por la práctica e informes de la AGPD

Consentimiento Informado

El consentimiento debe ser también y sobre todo “informado“. Así el nuevo Reglamento UE establece algunas nuevas obligaciones en este deber de información entre las que cabe destacar:

  • La información proporcionada al usuario debe ser “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño” .
  • La información será proporcionada “por escrito o por otros medios, inclusive, si procede, por medios electrónico”.
  • La información podrá ser facilitada verbalmente pero sólo ante petición del interesado y se demuestre la identidad del usuario por otros medios.
  • El derecho del usuario llegado el caso a acudir a una autoridad de control y a ejercitar acciones judiciales.
  • Se informará al usuario de los datos de contacto de la nueva figura creada por el reglamento del Delegado de Protección de Datos.
  • El plazo durante el cual se conservarán los datos o al menos los criterios utilizados para calcular tales plazos.
  • El derecho a la portabilidad de los datos
  • Y en su caso “la existencia de decisiones automatizas, incluida la elaboración de perfiles  …….) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.”

Todas estos cambios y muchos otros que trataremos en próximos posts no entrarán en vigor hasta el 25 de mayo de 2018, pero en algunos casos no son fáciles de implementar ni hay impedimento alguno para ir adaptándose a lo inexorable.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 19, 2016

Fin del ‘ultimátum’ AGPD: qué hacer

Archivado en: Comercio Electrónico, Protección de Datos — legisconsulting @ 12:20

La AGPD anunció que el 29 de enrero empezará a poner sanciones a empresas por utilización de servicios muy habituales de Internet. Vea a continuación si le afecta y qué hacer con su Dropbox, su Google o su Facebook antes de la ofensiva de la AGPD en 10 días

De donde viene el ‘Ultimátum’

La culpa de todo la tiene un señor austriaco que denunció a Facebook ante la autoridad de protección de datos de Irlanda -donde Facebook tiene su sede en Europa- por el tratamiento que Facebook daba a sus datos personales. En concreto por ceder tales datos a la NSA estadounidense.

Para tratar datos fuera de la UE -y los servidores de Facebook están en EEUU- es necesaria de forma previa la firma de un contrato específico con el prestador del servicio fuera y  la autorización expresa del director de la AGPD. Pero para simplificar tan engorrosos trámites, la Comisión Europea adoptó la Decisión de la Comisión 2000/520 que establecía la peculiar presunción de que servicios autorizados por la Comisión Federal de Comercio de EEUU disponían del mismo nivel de protección de que disfrutamos en Europa. Lo que simplificando la idea se conocía como Safe Harbor y era en lo que se amparaban servicios de Internet para evitar engorrosos trámites.

Pero el asunto llegó al Tribunal Europeo (TJUE) que decidió que la Comisión se había excedido en sus competencias y, montando una revolución en el Cloud, decide de forma expresa que Facebook no cumple con los estándares mínimos de seguridad y acaba con el Safe Harbor declarando que las distintas Agencias de protección de Datos de Europa tienen que empezar a valorar si todos esos prestadores de servicios de fuera de Europa cumplen como los de aquí.

Y con esta Sentencia, la AGPD emitió el 29 de octubre una comunicación en que fijaba como plazo máximo el 29 de Enero de 2016 para regularizar la situación de empresas y entidades con servicios online con servidores fuera de la UE y que reitera en una  segunda comunicación posterior en que reitera que adoptará medidas pasada esa fecha.

A quién afecta

El ultimátum de la AGPD va dirigido a empresas o entidades que utilicen servicios que trasladen o traten datos fuera de la UE, lo que quiere decir que quien quiera compartir las fotos de las vacaciones de los niños con los abuelos en Dropbox o colgarlas en Facebook podrá seguir haciéndolo siempre que cuente con la autorización del otro progenitor, pero claro, ese es otro tema.

Por el contrario, quien utilice servicios y desarrolle cualquier actividad fuera de su esfera estricta y exclusivamente personal deberá cumplir con las exigencias que para la transferencia internacional de datos fija la LOPD.

Si almaceno datos de mis clientes en la nube, o las facturas, u ofrezco un servicio de vía chat, o incluso si tengo algo tan poco Online como un bar con página en Facebook y fotos de mis clientes en la barra, la AGPD quiere que regularice.

Qué hacer

Si utiliza servicios de Intenet con servidores fuera de la UE está haciendo pues una transferencia internacional de datos y ello incluye servicios que van desde el almacenamiento en la nube, el uso de redes sociales, servicios de correo, servicios de chat, etc. Por ello, para seguir usando tales servicios será necesario:

  • Cumplir con el deber de información a los usuarios
  • Incluirlo en el Documento de Seguridad
  • Disponer de un contrato firmado: la Comisión también ha aprobado Decisiones con Cláusulas contractuales tipo para estos casos
  • Solicitar autorización al Director de la Agencia de Protección de Datos

En unos días se acaba el plazo que dio la AGPD, habrá que cambiar los documentos de protección de datos, buscar un contrato -algunos servicios ya disponen de ellos- y ponerse en la cola de las autorizaciones de la AGPD y de no hacerlo, enfrentarse a las sanciones.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Octubre 14, 2015

Revolución legal en el “Cloud”

Archivado en: Protección de Datos — Etiquetas: , , , — legisconsulting @ 10:47

El Tribunal de la UE ha dinamitado la figura del “Puerto Seguro” en Protección de Datos y revoluciona el Cloud: la AGPD podrá entrar a valorar si los datos transferidos fuera de la UE-desde Facebook a Dropbox o empresas de cloud- cumplen la normativa nacional… ¡Y no la cumplen!

Se empieza con una declaración contundente: “El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos” (sentencia en el asunto C-362/14)

Y sigue con el fondo del asunto: “ las autoridades nacionales de control a las que se haya presentado una solicitud pueden, aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos así como acudir ante los tribunales nacionales”

¿Qué significa?

En primero lugar, que se le pasan a exigir a todas las empresas y personas que almacenen Datos Personales fuera de la UE el cumplimiento de la legislación europea.

Hasta esta resolución se permitía que la Comisión Europea publicara un listado de países a los que la transferencia internacional de datos estaba permitida porque se consideraba que prestaban un nivel de protección equiparable a la LOPD. Entre ellos estaban  los del Espacio Económico Europeo y, entre otros EEUU sólo para entidades adscritas a los “principios de Puerto Seguro”. Para la transmisión al resto de países o entidades hacía falta un complicado procedimiento que necesitaba de la autorización previa expresa del director de la AGPD.

Tras esta resolución, al haber sido excluido EEUU del concepto de Puerto Seguro, para transmitir datos a servidores en EEUU habrá que demostrar que el destinatario de los datos cumple con los mismos estándares de seguridad y exigencia de la LOPD. Y ello es aplicable a Facebook -involucrada en la sentencia-, pero también a servicios de uso común como Dropbox o cualquier otro servicio cloud.

¿Es automático?

La normativa nacional obliga a solicitar autorización previa para la transferencia de datos fuera de la UE, pero entiendo que los datos ya transferidos lo fueron bajo el paraguas de una decisión de la Comisión Europea y bajo las directrices de la AGPD, por lo tanto la transferencia se hizo de forma legal.

El problema surge por un lado de que cualquier nueva transferencia de datos a EEUU requerirá del largo proceso y de la autorización previa para ser considerada como legal. Y por otra parte de que la AGPD podrá entrar la a examinar y exigir el cumplimiento de la ley nacional a cualquiera de los otros destinos de “puerto Seguro” para cualquiera que utilice servidores fuera de la UE. Y para ello bastará una sola denuncia de alguien descontento.

O dicho de otro modo, las autoridades Europeas podrán analizar a partir de ahora el tratamiento de los datos depositados en “puertos seguros”.

Entonces los servidores fuera cumplirán la norma

Pero,  ¿pasarán las empresas norteamericanas el filtro de las distintas agencias de protección de datos de Europa?

El Parlamento Europeo ha publicado un Informe comparativo de protección de Datos EEUU- UE que hace un estudio detallado del nivel del marco de uno y otro lado del océano y a la vista de los resultados parece difícil que un marco como el norteamericano pueda ser modificado de forma fácil y rápida para conseguir un nivel de protección y tratamiento de los datos Personales análogo al que se hace en Europa.

El informe es largo y detallado, pero incluye un interesante y clarificador resumen que  se transcribe al final de este post.

Consecuencias

Para el usuario de Internet: evidentemente mayor grado de protección.

Para quien maneje datos: la necesidad de una auditoría urgente del tratamiento de hace de esos datos.

(más…)

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 9, 2014

Formas rápidas e indoloras de suicidarse

Hay muchas formas de ‘suicidar‘ un negocio, pero una lenta y dolorosa es ofrecer o contratar servicios sin cumplir todas las normas o garantías legales.

Un negocio trabajado

La semana pasada recibí una solicitud de contacto en Linkedin que resultó ser alguien que sólo un día después me envió un correo ‘presentando’ sus servicios. Lo que se llama en términos legales publicidad.

Se presentaban los servicios a través de una Web muy buena, con servicios ofertados claros y las tarifas increíbles. Sin duda, de los suyo sabían lo que hacían y habían hecho un grandísimo trabajo y una importante inversión. Pero no sabían de leyes:

· El art. 10 de la LSSI no es toda la LSSI o sobrarían 44 artículos y varias disposiciones adicionales.

· Las exigencias de Protección de Datos no se limitan a registrarse ante la AGPD (estaría muy bien).

· Decían que habían conseguido los ‘certificados de seguridad‘ exigidos para su actividad,

· pero no decían cual era su actividad, porque evidentemente la que parecían ofertar no era tal.

· Y no era tal porque tras una rápida búsqueda en Internet para saber si tenían la preceptiva autorización resultó negativa.

Hasta aquí una bonita lista de infracciones y sanciones derivada de una bonita lista de leyes distintas.

Pero es que aún cumpliendo la LSSI, la LOPD y con los certificados de seguridad, hay cosas que no puedo hacer; no puedo ofrecer un servicio de correo sin licencia; no puedo ofrecer servicios de pago si no soy una entidad de pago o un agente de una de ellas; no puedo ejercer de médico o abogado sin el título correspondiente; ni puedo ser carnicero sin el de manipulador de alimentos.

¿Actividad Ilegal?.. y sanciones por error

Pues no necesariamente. Y este es el caso que inspira este Post.

En Internet es bien sabido que es fácil el no soy pero lo parezco“. Un proxy a una entidad con todos los permisos es legal y hasta habitual: presento a la apariencia de ser y prestar sin ser ni prestar. Pero no decir quién presta realmente el servicio y en qué condiciones sí es ilegal y también es motivo de jugosa sanción para quien lo presta y genera una enorme inseguridad en quien lo contrata.

Varias leyes prohíben esta falta de transparencia y establecen múltiples y graves sanciones (acumulativas) que serán impuestas por muy diversas autoridades. Algunas legítimas como las del apartado anterior, pero incluso algunas sanciones por error. Imagine por ejemplo que la autoridad reguladora piensa que -tal como parece en la Web- ofrecemos unos servicios que no ofrecemos (la falta de trasparencia que decíamos antes)sin licencia, pues es probable que directamente envíe una sanción y la orden automática de suspender actividades antes incluso de preguntar.

El riesgo del usuario

Quien está contratando este servicio en concreto no sabe realmente quien se lo va a prestar, ni en qué condiciones, ni con qué garantías. Pero tampoco sabe quién va a acceder a sus datos -en muchos casos como el de las Entidades de Pago, muy sensibles- ni quién los va tratar, ni dónde, ni con qué fin, ni en qué forma.

Es legal y no acarrea en principio responsabilidad para el usuario contratar con este tipo de servicio, pero supone un enorme riesgo para él la renuncia a las garantías legales que de hecho supone. Las leyes están hechas con mayor o menor fortuna, pero la intención de todas las exigencias, registros y autorizaciones es siempre la misma: la seguridad del usuario.

De safari por la jungla

En este caso, como en muchos otros, además de las normas generales de actividades por Internet hay que cumplir

· las normas y autorizaciones específicas de la actividad en Internet;

· otras normas generales no específicas de Internet;

· además de normas ‘generales

· y normas específicas de la actividad con su especialidad para negocios online.

Una maraña normativa que afecta a cualquier negocio y que se incrementa más incluso si el negocio es Online o se contrata Online.

Internarse en esta jungla sin guía (legal) es como ir a cazar leones con tirachinas. Tanto para quien ofrece como para quien contrata servicios observar la ley y asegurarse de que se observa es esencial. No todo lo que contratamos es lo que parece ni todos los peligros de la jungla son leones o hipopótamos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

« Entradas más recientesEntradas más antiguas »