Enero 24, 2014

Cookies: Información y consentimiento (actualizado)

Archivado en: Actualidad, Comercio Electrónico, Informática, Protección de Datos — Etiquetas: , , — legisconsulting @ 10:29

La AGPD aclara finalmente, a través de una resolución, la forma correcta de plantear las cookies a los usuarios.

Hasta ahora teníamos claro cuál era la información que se debía proporcionar al usuario en cada momento porque así lo había manifestado la propia AGPD a través de un modelo que debía ser adaptado a cada circunstancia concreta. Y quedaba claro que debía plantearse  a través de lo que la propia AGPD llama ‘información por capas.

El problema era -proporcionando esa información y sabiendo el momento en que debía prestarse al usuario- saber si también era necesaria la previa autorización expresa del usuario para la instalación de cookies. Es decir, si era necesario plantear una pantalla en blanco pidiendo de forma previa la autorización expresa para la instalación de cookies o no.

La AGPD viene ahora, a través de la Resolución de 14 de enero de 2014, a decirnos que

  • la falta de información previa  la instalación de cookies SÍ es sancionable
  • que la falta de autorización previa a la instalación de cookies NO es sancionable

Así, la forma correcta de plantear el aviso de cookies queda como sigue

Información por capas

La AGPD se reitera en la presentación por capas de la Guía sobre el uso de las cookies publicado por la propia entidad hace ya un tiempo.

Así, se plantea la información en dos capas:

Primera capa: debe contener la siguiente  información mínima

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
    • Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
    • Un enlace a la segunda capa informativa en la que se indica una información más detallada.

Esta información –manifiesta la propia AGPD– es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.

Segunda capa: debe contener la siguiente información

  • Definición y función de las cookies
  • Tipo de cookies que utiliza la página web y su finalidad.
    • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
    • Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
    • Definición y función de las Cookies

Insiste la AGPD en la necesidad de que la información proporcionada en esta segunda capa sea ‘completa y clara’  e incluya en particular la ‘tipología de las cookies realmente utilizadas’, ‘finalidad de las mismas’ e ‘identidad de quienes instalan y utilizan las cookies

(Falta de) autorización no sancionable

De cumplirse estos requisitos de información, manifiesta la AGPD que se está cumpliendo la exigencia del Art. 22.2 de la LSSI del ‘consentimiento informado’. Y lo más importante, que la vulneración de ese requisito previo del ‘consentimiento informado’ no es sancionable de acuerdo con el Art 38.4.g) LSSI:

“Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g)”

Por el contrario, sí afirma en otro apartado de la misma resolución que la falta la información íntegra según el apartado anterior de este post, anula el consentimiento que se hubiera prestado y sería objeto de sanción

En conclusión, que la información completa por capas según se ha mostrado anteriormente en este Blog en la forma y con el  modelo de aviso de cookies de acuerdo con las directrices de la AGPD sugeridas en su momento no es sancionable según la AGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 4, 2012

Guía de uso seguro del Cloud: LOPD

Archivado en: Comercio Electrónico, Informática, Protección de Datos — Etiquetas: , , — legisconsulting @ 11:34

El almacenamiento en la nube (en adelante Cloud) es una solución fácil, eficiente y práctica. Pero es una herramienta con unos requisitos y condicionantes –exigidos por la LOPD y controlados por la AEPD– que hay necesariamente que conocer y seguir para un uso seguro de la misma.

Las condiciones y requisitos exigidos por la Ley no deben entenderse como para ser negociados punto por punto, sino para elegir de entre los proveedores de servicios de almacenamiento Cloud, al que los ofrezca directamente sin –prácticamente– más trámites.

¿Como se cumplen todas las exigencias?

Se mostrarán más adelante la gran cantidad de requisitos exigidos por la Ley par este tipo de contratos, ¿pero como se cumplen?: pues, en resumen, eligiendo un proveedor de Servicios Cloud que incluya en sus condiciones todas las exigencias legales en lugar de exigir cada punto.

Obviamente, si nos planteamos negociar con el prestador de los servicios punto por punto y requisito por requisito cada uno de los extremos legalmente exigidos, la contratación de estos servicios sería imposible. Pero eso no es así.

Se ha manifestado reiteradamente en este blog que las condiciones que ponemos en las Web son contratos por los que las partes vienen obligados (el contrato obligatorio para este servicio). Y si el proveedor nos muestra el resto de condiciones exigidas, pues cumplimos con la ley.

Sirva como ejemplo un conocido proveedor de estos servicios que ni tan siquiera está radicado en España ni en la UE, sino que es simplemente una de las entidades adheridas al mencionado acuerdo Safeharbour. Y como para cumplir la práctica totalidad de las exigencias sólo hay que ver su Web.

No se trata de elegir el contrato de almacenamiento y todas sus exigencias, sino elegir al proveedor que las ofrezca sin prácticamente más trámites.

Involucrados en el Cloud

En términos de la LOPD, en un contrato de almacenamiento de datos en la nube, además de los titulares de los datos, hay una actividad que es el Tratamiento de dichos datos y dos personas involucradas:

  • Tratamiento de los datos: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.
  • El contratante de servicios Cloud: es lo que la LOPD llama el ‘Responsable del Fichero’. Es decir, quien decide sobre la finalidad, contenido y uso del tratamiento. Y a quien corresponde exigir a su proveedor de servicios Cloud que articule las medidas de seguridad que correspondan
  • El prestador de servicios Cloud: o lo que la LOPD llama el ‘Encargado del Tratamiento’, que es la persona que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Es su obligación articular las medidas necesarias para dotar a los datos del nivel de seguridad que proceda.

En este marco, es el contratante de los servicios Cloud –el usuario de los servicios– el responsable de que el prestador de los servicios cumpla la normativa española. Y para ello es esencial la formalización del Contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros cuyo contenido se detalla más adelante en este artículo.

En ningún caso cabe legalmente el pacto de que la normativa a aplicar sea la de otro país.

Almacenamiento de datos (localización)

Resulta esencial para la seguridad del contratante saber en qué condiciones y en que país se almacenarán físicamente los datos. Y como lo más normal es que los datos no se almacenen en España, cabe señalar que la transferencia internacional de datos sólo se podrá dar a países que tengan lo que la ley llama un nivel de protección adecuado (lista).

Para el almacenamiento de datos en países que no se incluyan en esa lista de países con un nivel de protección adecuado será necesaria, previa aportación de las garantías adecuadas, la autorización del Director de la AEPD.

Por el contrario, no será necesaria esa autorización del director de la AEPD:

  • Si la transmisión se realiza dentro del Espacio Económico Europeo, porque ello no se considera una transferencia internacional de datos
  • En Países a los que la Comisión Europea considera con un nivel de protección de los datos equiparable al Europeo
  • Servicios prestados por Entidades radicadas en los EEUU que se hayan adherido voluntariamente para la prestación de estos servicios al acuerdo Safeharbor (entidades adheridas). Si bien, si estas entidades van a transferir los datos personales a un tercer país, deberá aportar garantías por escrito para ofrecer al menos el mismo nivel de protección que se le haya requerido.

También será posible contratar con un proveedor de servicios Cloud de un tercer país –de los de un nivel de protección no adecuado– cuando este proveedor haya obtenido previamente del Director de la AEPD la autorización para realizar transferencias internacionales de datos.

De cualquier forma, en todos los casos –sea o no necesaria autorización– será necesaria la formalización de un contrato. Y en este sentido cabe señalar que los contratos que se celebren de acuerdo con “Las Cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países” (Decisión CE 2010/87/UE), se considera que ofrecen las garantías adecuadas.

Contenido mínimo del (obligatorio) Contrato

En todo caso, y sean cuales sean las circunstancias, la LOPD exige la formalización de un contrato entre proveedor de servicios de Cloud y el usuario de los mismos.

Art. 12.2 LOPD. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar

Al margen de lo exigido por el artículo trascrito, en el preceptivo contrato que debe existir entre Prestador del servicio de almacenamiento y el Usuarios, hay una serie de cláusulas que considero esenciales

  • Cumplimiento de la legislación en materia de Protección de datos: El prestador del servicio debe asumir de forma expresa su condición de Encargado del Tratamiento en los términos y con todas las obligaciones establecidas por la Ley española y europea. Incluidas las autorizaciones y requisitos citados anteriormente si los datos se almacenaran en países con un nivel de protección NO adecuado en los términos expuestos en el apartado anterior.
  • Datos: Es imprescindible la mención expresa de que el uso de los datos que haga el prestador del servicio será única y exclusivamente el autorizado por el contratante, y de que en ningún caso podrá disponer de los datos que le hayan sido proporcionados
  • Acceso a los datos: El prestador del servicio debe garantizar en el contrato que la información aportada sólo será accesible para el contratante del servicio.
  • Caso de que alguno de los datos aportados sea de los calificados por la ley como de especial protección, se exigirá que consten las medidas de seguridad exigibles en función de los mismos.
  • Integridad y conservación. El prestador del servicio deberá disponer y hacer constar en el contrato los mecanismos disponibles para recuperación de la información y copias de seguridad que garanticen la conservación íntegra de la información y datos aportados.
  • Disponibilidad: Se deberá hacer constar un elevado porcentaje de tiempo en que el servicio estará disponible, así como la obligación de notificar las paradas programadas del mismo.
  • Resolución y Portabilidad: Plazo y forma en que se podrá rescindir el contrato por alguna de las partes, así como el plazo y la forma en que se hará entrega al contratante de los datos almacenados, su formato y la debida integridad de los mismos.
  • Mecanismo de borrado: para datos una vez hayan sido migrados o transferidos al Usuario de los servicios Cloud
  • Penalizaciones para el prestador del servicio caso de incumplimiento de las obligaciones tanto legales como de los términos del contrato.
  • Exclusión de responsabilidad: Que el cumplimiento diligente de las obligaciones por parte del contratante del servicio de Cloud le eximirá de sus responsabilidades.
  • Cláusulas contractuales tipo elaboradas por la AEPD que permiten la subcontratación de los servicios (Art. 21 RLOPD) de Cloud con un proveedor de dichos servicios que, de acuerdo con dichas cláusulas, tenga autorizada la transferencia internacional de datos
  • Sometimiento a la jurisdicción del estado del Usuario: caso de conflicto en que estén envueltos tanto prestador del servicio como usuario, como ambos o cualquiera de los dos con un tercero titular de datos, cabe establecer este sometimiento.
  • Medidas de seguridad: Si bien deben ser parte del contrato, entiendo que es una materia que necesita de un apartado propio dada su extensión e importancia.

Seguridad de los Datos

Artículo 9.1 LOPD. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Condiciones mínimas de seguridad a incluir en el contrato:

  • Mención a la diligencia debida, tanto del prestador del servicio como del usuario en cuanto a la custodia de los datos. Y en este sentido, también mención de las medidas concretas que vayan a implementar para su seguridad. Y dado que no todos los datos necesitan del mismo nivel de protección,  información expresa sobre la naturaleza de los datos a fin de poder establecer el nivel de seguridad que en función de los mismos, proceda.
  • Mención a los mecanismos de seguridad, tanto físicos como lógicos, establecidos para preservar los datos. Así como a las copias de seguridad, la periodicidad en su realización y su mecanismo.
  • Los mecanismos de autenticación para el acceso a la información en los términos y en la forma que el usuario determine.
  • Cifrado de los datos y nivel de seguridad ofrecido por las técnicas de cifrado de la información que se aplique en los sistemas del proveedor.
  • Procedimiento de recuperación y migración de los datos y mecanismos de borrado.
  • Caso de tratarse de datos especialmente protegidos de acuerdo con la legislación española, será necesario que el proveedor de los servicios establezca un registro de los accesos realizados a los datos.
  • Caso de que sea materialmente imposible verificar en persona las medidas de seguridad del prestador del servicio –imposible en este tipo de contrato ir a ver si el servidor está cerrado con llave– se podrá designar a un tercero independiente que las audite. Y es este un extremo que también debería ser incluido en el contrato dado que la ley exige el control del Encargado del tratamiento por parte del Encargado del Fichero.
  • La obligación de poner en conocimiento del Usuario del servicio cualquier incidencia que se produzca en el mismo y las medidas adoptadas para su subsanación.

Además, para todo ello y en cumplimiento del deber de diligencia exigido al Usuario de los servicios Cloud en el control del Encargado del tratamiento (el proveedor de los servicios), el Responsable del Fichero deberá exigir y tener acceso a toda la documentación técnica o auditorías externas que garanticen que se cumplen las todas las exigencias legales para el almacenamiento de datos de carácter personal.

Un contrato complejo

Es efectivamente un contrato complejo con gran cantidad de variables y exigencias cuyo incumplimiento puede traer graves consecuencias de acuerdo con la Ley. Y es que en tanto no se apruebe un método más ágil y acorde con el medio en que se desenvuelven este tipo de contratos, la normativa que hay es esta y lo más seguro es cumplirla.

Hay en proyecto un nuevo Reglamento de Protección de Datos que sin duda cambiará las condiciones y los intervinientes en este tipo de contratos, pero de momento no lo tenemos, y lo expuesto en este artículo a grandes rasgos, es sólo una breve guía a tener en cuenta para contratar este tipo de servicios para el almacenamiento de datos personales.

Como ha visto, si va a almacenar son datos personales, lo más razonable es contar con un asesoramiento profesional. A ello invita un régimen sancionador de la LOPD que hace que, sin duda, el coste-beneficio compense.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook