octubre 14, 2022

Datos empresariales (III): vulnerabilidad de los Datos

Todo negocio maneja datos sensibles que marcan la viabilidad del mismo.

Podemos estar hablando de empresas de proyectos innovadores que, aunque no lo parezcan, son públicos a poco que crucemos suficientes datos y a suficientes personas.

Pero también podemos estar hablando de empresas o negocios que tiene una ventaja competitiva simplemente por haber encontrado un proveedor mejor o haber implementado mecanismos internos más eficientes. Esos datos que no parecen tan ‘espectaculares’, si se liberan -y lo harán si alguien se toma el suficiente interés porque son igual de ‘públicos’- acabarán con esa ventaja competitiva haciéndola accesible al local de al lado.

Piense qué datos concretos de su empresa supondrían un problema caso de ser conocidos por su competencia, por sus clientes o por terceros. Por si no se le ocurren muchos, a continuación enumero una lista que no pretende ser en modo alguno cerrada: 

  • Know-how.
  • Datos de clientes.
  • Datos de proveedores.
  • Datos de productos.
  • Datos de empleados (piense en el desarrollador del nuevo proyecto con su perfil en Linkedin y sus contactos).
  • Contabilidad.
  • Facturación.
  • Tarifas.
  • etc.

Pero pensará al mismo tiempo que esos datos no son públicos. El problema es que, como se mostrará en este ‘hilo’, si alguien se toma el suficiente interés y lo sabe cómo hacerlo, sí pueden serlo.

¿De verdad quiere público para esos datos?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 7, 2022

Datos empresariales II: Vulnerabilidad (legal) de los datos empresariales

De forma previa a las sus consecuencias, riesgos y posibilidades, veremos el distinto nivel de protección que la ley da a un tipo de datos frente a otros.

El Derecho ‘absoluto’ de los datos personales

A pesar de que ya sabemos que ningún Derecho tiene carácter ‘absoluto’, en el campo de los Datos Personales, como Derecho Fundamental que es, la formulación se acerca bastante a ese grado ‘absoluto’ (si obviamos el cajón de sastre del “Interés Legítimo”, por supuesto).

Sin entrar el elevadísimo grado de protección que tienen, no podemos sino empezar por ver qué son los datos personales:

Artículo 4 RGPD. Definiciones. A efectos del presente Reglamento se entenderá por: «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El derecho ‘condicional’ de los datos empresariales

En el caso de los Datos Empresariales, por supuesto tenemos toda la protección legal de la propiedad industrial e intelectual, pero llena de lagunas en una normativa muy dispersa y en buena parte no adecuada a la realidad actual.

De forma específica y general sólo existe la Ley 1/2019, de 20 de febrero, de Secretos Empresariales. Que brinda una protección limitada (no todos los datos) y condicionada (y no en todos los casos):

Qué son “Secretos empresariales”:

Artículo 1. Objeto. 1. El objeto de la presente ley es la protección de los secretos empresariales.

A efectos de esta ley, se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:

a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;

b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y

c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Y cuándo se produce una ‘violación’

Artículo 3. Violación de secretos empresariales.

1. La obtención de secretos empresariales sin consentimiento de su titular se considera ilícita cuando se lleve a cabo mediante:

a) El acceso, apropiación o copia no autorizadas de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes, que contengan el secreto empresarial o a partir de los cuales se pueda deducir; y

b) Cualquier otra actuación que, en las circunstancias del caso, se considere contraria a las prácticas comerciales leales.

Y además, los datos empresariales obtenidos legalmente se pueden almacenar, tratar y utilizar prácticamente sin límite.  Como se ve, los datos empresariales con legalmente más vulnerables que los datos personales.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

septiembre 30, 2022

Datos empresariales I-introducción: Comercio de Datos Personales vs Empresariales

Empiezo aquí este ‘hilo’ de posts para mostrar como los datos empresariales son vulnerables, su valor en el mercado las posibles acciones para protegerlos.

LOPD vs Ley de Secretos Empresariales.

Google, Facebook, Amazon, etc, venden y/o usan sus datos personales, ¿Qué le hace suponer que los datos empresariales mucho más valiosos no son utilizados o no están a la venta?

Particulares y empresas usamos utilísimos servicios de internet para comunicarnos, para almacenar datos, para comunicar con terceros, para relacionarnos o conectar con terceros; para nuestras actividades personales y para nuestras actividades profesionales.

El comercio de los Datos personales.

Es extensamente sabido por un lado que los Datos Personales son un enorme mercado con un inmenso valor que va mucho más allá de la publicidad dirigida en nuestros móviles, sino que tienen un mercado donde se compran y se venden desde datos de contraseñas, de tarjetas de crédito o datos médicos –por los que más se paga en el mercado- que van desde esos datos que ‘regalamos’ con nuestras búsquedas en Internet; con nuestros relojes; con esas divertidas apps del teléfono que te cuentan los pasos, cuándo y por donde los das; o hasta de expedientes médicos completos. Datos que ‘liberamos’ las 24 horas del día (¿duerme con su smartwatch o su pulsera de correr?, pues una empresa conoce las pautas de todo lo que hace en la cama) y que tienen un valor económico.

Con esos datos se elaboran exhaustivos ‘dosieres’ individualizados aunque erróneamente pensemos que en ese inmenso océano que es Internet somos solo una gota indistinguible de las demás de cada persona obtenidos con robots o con invitaciones masiva en redes sociales a través de las cuales acceden a datos que compartimos solo con nuestros contactos. Y que se venden a empresas o instituciones en función de los perfiles específicos que demanden los compradores.

El comercio de los datos empresariales.

Menos conocido, aunque igual de preocupante, el mercado de esos Datos Empresariales o Profesionales que liberamos a través de esos medios de internet oponemos en manos de terceros de forma consciente o inconsciente. 

Más allá del evidente uso de datos concretos de cada empresa, algunos de los cuales pueden ser el mismísimo corazón del negocio, Metadatos, tendencias del mercado, anticipación e incluso manipulación del mismo lo hacen un ‘mercado’ para quien lo quiera aprovechar aún más interesante y lucrativo que el de los datos personales.

Desde ‘backup’ colgado en ‘la nube’ aparentemente tan inocente y que nos hace sentir tan seguros. Los datos colgados en páginas Web, en redes sociales, los contactos de sus empleados, clientes y proveedores; Los comentarios, imágenes o mensajes de estos en redes sociales.

Todos esos datos se cruzan o son susceptibles de ser cruzados para obtener un beneficio potencialmente mucho mayor que le ya grandísimo de los Datos Personales, porque en este caso el beneficio potencial es mucho mayor que vender una camisa, un implante coronario o un coche.

Y se preguntará: ¿es todo eso legal? En su mayor parte -particularmente los datos personales-, no, pero existe recomiendo leer para quien no esté familiarizado ‘La privacidad es poder’ de Carissa Veliz )..

La normativa se preocupa en extremo del primero de ellos, los Datos Personales: categorizados como Derechos Fundamentales regula lo que pueden hacer con nuestros datos, del valor que tienen en el mercado y del coste que tiene su cesión para nosotros

Pero no ocurre lo mismo y la regulación no es la misma en el caso de los Datos Empresariales. ¿Cuál es la protección de la parte ‘empresarial’ de potencial y directamente de mucho mayor valor?. ¿Protegemos adecuadamente los secretos de nuestras empresas?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

julio 13, 2021

Control de la Inteligencia Artificial (IA)

(AI) could be the “worst event in the history of our civilization” unless society finds a way to control its development.

Stephen Hawkings

Índice:

  • Que es la IA
  • A quien se aplicará en Reglamento
  • Actividades regladas de IA
    • Riesgo inaceptable
    • Alto riesgo
    • Riesgo limitado
    • Riesgo mínimo
  • Apéndice normativo

Resulta paradójico que diga algo así una persona como el profesor Hawkings que pasó sus últimos 20 años comunicándose a través de un sensor colocado en la mejilla con el que activaba un ordenador con un algoritmo predictivo basado en sus libros y conferencias que le permitía hablar con cierta fluidez.

Y aunque la Inteligencia Artificial (IA) suene a Ciencia Ficción, a un futurible aún lejano y distante, nada hay más lejos de la realidad.

Ese aspirador que conoce mi casa mejor que yo porque ha creado (literalmente) un plano de la misma al milímetro; Los filtros de SPAM de mi correo que deciden qué es de mi interés y qué no lo es; Los ‘teleoperadores’ con los que chateamos o hablamos por teléfono que no son más que una máquina (chatbots) sin que tan siquiera lo notemos porque a veces hasta hacen bromas; Los anuncios que me salen en el ordenador o en el teléfono justo de lo que me interesa comprar; Las noticias que me aparecen por defecto y que son, curiosamente, las que más se ajustan a mis opiniones y que me hacen pensar si se pueden ‘orientar‘ esas opiniones; Los Asistentes Virtuales de casa o del teléfono que ‘asisten‘, pero también ‘espían‘ analizando todo lo que buscamos, decimos o hacemos a partir de lo que decimos con la excusa de poder ‘asistirnos’ en la más estricta intimidad de nuestro hogar; O los vídeos de famosos diciendo o haciendo cosas increíbles, pero falsas (deepfake) que pueden ser una broma de programas de entretenimiento, pero en temas serios ¿podemos creer lo que vemos?.

Y estos son solo los usos diarios de la IA. Y solo por ello, se ha entendido que es importante una regulación necesaria para preservar la intimidad, la libertad, la autonomía de cada persona, sus derechos y su seguridad.

Que es IA

Artículo3 A los efectos del presente Reglamento, se entenderá por:

1)«Sistema de inteligencia artificial (sistema de IA)»: el software que se desarrolla empleando una o varias de las técnicas y estrategias que figuran en el anexo I y que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa.

A quien se aplicará el Reglamento y sus restricciones

Artículo2 Ámbito de aplicación

1.El presente Reglamento es aplicable a:

a)los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la Unión, con independencia de si dichos proveedores están establecidos en la Unión o en un tercer país;

b)los usuarios de sistemas de IA que se encuentren en la Unión;

c)los proveedores y usuarios de sistemas de IA que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en la Unión.

Actividades regladas de IA

Al ser imposible alcanzar a prever todas las aplicaciones concretas de la IA, la clasificación de las mismas que la Comisión hace en su propuesta se basa en el ‘riesgo’ que su uso conlleva, clasificándolas como de:

Riesgo inaceptable: Se prohibirán los sistemas de IA que se consideren una clara amenaza para la seguridad, los medios de vida y los derechos de las personas. Esto incluye los sistemas o aplicaciones de IA que manipulan el comportamiento humano para eludir el libre albedrío de los usuarios (por ejemplo, los juguetes que utilizan asistencia de voz y fomentan el comportamiento peligroso de los menores) y los sistemas que permiten el «scoring social» por parte de los gobiernos.

Alto riesgo: Los sistemas de IA identificados como de alto riesgo incluyen la tecnología de IA utilizada en:

  • Infraestructuras críticas (por ejemplo, el transporte), que podrían poner en riesgo la vida y la salud de los ciudadanos;
  • La formación educativa o profesional, que puede determinar el acceso a la educación y el curso profesional de alguien (por ejemplo, la calificación de los exámenes);
  • Componentes de seguridad de los productos (por ejemplo, aplicación de la IA en la cirugía asistida por robots);
  • Empleo, gestión de los trabajadores y acceso al autoempleo (por ejemplo, software de clasificación de CV para los procedimientos de contratación);
  • Servicios privados y públicos esenciales (por ejemplo, puntuación de créditos que niega a los ciudadanos la oportunidad de obtener un préstamo);
  • Aplicación de la ley que puede interferir con los derechos fundamentales de las personas (por ejemplo, evaluación de la fiabilidad de las pruebas);
  • Gestión de la migración, el asilo y el control de fronteras (por ejemplo, verificación de la autenticidad de los documentos de viaje);
  • Administración de justicia y procesos democráticos (por ejemplo, aplicación de la ley a un conjunto concreto de hechos).

Los sistemas de IA de alto riesgo estarán sujetos a estrictas obligaciones antes de poder comercializarlos:

  • Sistemas adecuados de evaluación y mitigación de riesgos;
  • Alta calidad de los conjuntos de datos que alimentan el sistema para minimizar los riesgos y los resultados discriminatorios;
  • Registro de la actividad para garantizar la trazabilidad de los resultados;
  • Documentación detallada que proporcione toda la información necesaria sobre el sistema y su finalidad para que las autoridades puedan evaluar su conformidad;
  • Información clara y adecuada al usuario;
  • Medidas adecuadas de supervisión humana para minimizar el riesgo;
  • Alto nivel de solidez, seguridad y precisión.
  • En particular, todos los sistemas de identificación biométrica a distancia se consideran de alto riesgo y están sujetos a requisitos estrictos. Su uso en vivo en espacios de acceso público con fines policiales está prohibido en principio. Las limitadas excepciones están estrictamente definidas y reguladas (como cuando es estrictamente necesario para buscar a un niño desaparecido, para prevenir una amenaza terrorista específica e inminente o para detectar, localizar, identificar o procesar a un autor o sospechoso de un delito grave). Esta utilización está sujeta a la autorización de un órgano judicial u otro órgano independiente y a límites adecuados en cuanto a tiempo, alcance geográfico y bases de datos consultadas.

Riesgo limitado, es decir, sistemas de IA con obligaciones específicas de transparencia: Cuando se utilizan sistemas de IA, como los chatbots, los usuarios deben ser conscientes de que están interactuando con una máquina para poder tomar una decisión informada de continuar o retroceder.

Riesgo mínimo: La propuesta legal permite el libre uso de aplicaciones como los videojuegos con IA o los filtros de spam. La gran mayoría de los sistemas de IA entran en esta categoría. El proyecto de Reglamento no interviene aquí, ya que estos sistemas de IA representan un riesgo mínimo o nulo para los derechos o la seguridad de los ciudadanos.

Referencia normativa Propuesta de Reglamento :

  • Aplicaciones de IA de “alto riesgo” (Arts. 5 a 40): se considera que ciertas aplicaciones de la IA pueden suponer serios riesgos para los ciudadanos, por lo que:
    • establece determinados requisitos (Art. 8ss),
    • exige información a los usuarios (Art. 13)
    • o se exige ‘vigilancia humana’ de la actividad automatizada(Art. 14)  en determinados casos, como por ejemplo, el uso de IA para identificación biométrica o para el funcionamiento de infraestructuras críticas.
  • Aplicaciones de IA prohibidas: Art. 5.1
  • Aplicaciones de IA sujetas a autorización: Art. 30
  • Aplicaciones de IA con requisitos específicos: Art. 41 , por ejemplo caso de uso de  “chatbot” o sistemas de “deepfake”.

«El éxito en la creación de la inteligencia artificial podrá ser el evento más grande en la historia de la humanidad. Desafortunadamente también sería el último, a menos de que aprendamos cómo evitar los riesgos«

Stephen Hawkings

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 21, 2021

Pasaporte COVID visto por la AEPD

Filed under: Actualidad,Covid-19,Protección de Datos — Etiquetas: , — legisconsulting @ 10:00

Ahora que la UE ha aprobado el ‘pasaporte COVID‘, conviene recordar lo que dijo la AEPD en su informe Guía sobre el uso de las tecnologías en la lucha contra el COVID19 el ya lejano 7 de mayo de 2020.

VIII.PASAPORTES DE INMUNIDAD

En algunos países ha empezado considerarse el uso de apps equivalentes a lo que sería un pasaporte o un salvoconducto en papel, mostrando en pantalla un código de colores o un código QR, para que un vigilante o un sistema de control de acceso pueda dejar pasar o no al portador. Este procedimiento es similar al que se usa con las tarjetas de embarque de los aeropuertos, solo que en lugar de decir que un usuario tiene un billete de avión válido o está en una lista, lo que revela es si el portador está contagiado, o presuntamente inmunizado por haber pasado la enfermedad.

¿REPRESENTAN ESTAS APLICACIONES EN LA CRISIS DE LA PANDEMIA UNA AMENAZA A LA PRIVACIDAD?

Estas aplicaciones móviles están anticipando lo que puede ser un futuro documento de identidad en el móvil, con el riesgo añadido de incluir y mostrar un dato de salud, e incluyendo todos los riesgos que se derivan de las vulnerabilidades de dichos sistemas: acceso a manos de ciberdelincuentes, cruce con otros datos como la localización, incorporación de metadatos, lectura remota o simplemente no estar al alcance de muchas personas que no pueden usar teléfonos inteligentes.

A diferencia de una tarjeta de embarque, las pruebas para determinar si una persona está sufriendo o ha superado la enfermedad deberían ser presenciales, y el personal sanitario que lo realiza podría proporcionar al usuario un certificado en papel o cualquier soporte de baja tecnología para que lo mostrara cuando le fuera requerido, junto con su documento de identidad. Un sistema de identidad móvil solo puede tener ventajas cuando el alta se puede hacer a distancia o si la información que gestiona cambia rápidamente, como en el caso de un monedero digital, lo que no es el caso.

¿REPRESENTAN ESTAS APLICACIONES EN LA CRISIS DE LA PANDEMIA UN BENEFICIO IMPORTANTE?

El pasaporte de inmunidad incorpora un dato sensible, como es cualquier dato de salud, pero al que también se le ha dado la misión de servir como salvoconducto de acceso. Hay informes que apuestan por un avance de las aplicaciones de salud móvil (mHealth) permitiendo que, por ejemplo, un paciente lleve su historia clínica para enseñársela a un médico y recibir un tratamiento. Igualmente, el ejercicio de algunas actividades como trabajos o actividades físicas intensas pueden requerir que el candidato muestre un certificado médico antes de acceder. Un uso bien gestionado de apps para certificaciones o registros de salud, que los mantuviera actualizados, seguros e interoperables tendrá cierta utilidad en ámbitos concretos siempre que el acceso a dicha información sea realizado por personal vinculado al cumplimiento de las finalidades relacionadas con políticas públicas para el control de la pandemia. Sin embargo, como en todas las aplicaciones que requieren el uso de smartphones y la evidencia de una prueba fiable de infección o de anticuerpos, estamos lejos de alcanzar a una totalidad de la población, por lo que solo podemos preguntarnos por los beneficios que podrían tener en ámbitos muy concretos.

X. CONCLUSIÓN

En el presente documento se ha realizado un breve repaso de las principales tecnologías planteadas en la lucha contra la pandemia, sin pretender ser un análisis profundo de las mismas, y con el propósito de compilar aquellas opciones que se están manejando para controlar su expansión.

Nuestra sociedad se encuentra en un punto de inflexión crítico, no solo debido a la situación de pandemia, sino en relación con el planteamiento del modelo de derechos y libertades. Por lo tanto, hay que ser especialmente cuidadoso a la hora de tomar medidas que pueden tener consecuencias irreversibles y pueden estar guiadas únicamente por la urgencia, el miedo o, lo que es peor, otros intereses.

En este punto, hay que recordar que las tecnologías de la información no pueden ser entendidas de forma aislada, sino siempre en el marco de un tratamiento con un objetivo definido. Este tratamiento ha de implementar una estrategia global basada en evidencias científicas, evaluando su proporcionalidad en relación con su eficacia, eficiencia y teniendo en cuenta de forma objetiva los recursos organizativos y materiales necesarios. Además, teniendo siempre presente que se han de cumplir los principios establecidos en el Reglamento General de Protección de Datos.

O dicho de otro modo, ahora que se ha aprobado el ‘pasaporte COVID‘, cuidado quien y con qué fin lo solicita. Ni todo el mundo lo puede solicitar/exigir ni se puede solicitar para cualquier fin.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 6, 2021

‘Fichados’ en los bares: directrices de la AEPD

Filed under: Actualidad,Covid-19,Protección de Datos,RGPD,Uncategorized — Etiquetas: , , — legisconsulting @ 12:13

Límites y directrices para los hosteleros ante las acciones que, como el registro de clientes, están implementando o implementarán diversas comunidades autónomas como medidas de control ante el Covid-19 para las personas que visitan sus establecimientos.

Es este un tema sobre el que ya se pronunció la AEPD con el fin del Estado de Alarma de hace ya un casi un año y que, salvo por el tema de la vacunación, entonces inexistente, fijaba una serie de ‘directrices’ que ante el inminente fin del presente Estado de alarma y las posibles acciones que puedan tomar , siguen estando plenamente vigentes.

Directrices, exigencias y límites para hosteleros y clientes según la AEPD:

  • Los datos recogidos NO están catalogados como «categorías especiales«(*) del RGPD.
  • El ‘Registro de clientes’ debe ser obligatorio por ley (Art. 6.1.c).
  • O si la base legal para del ‘Registro de Clientes’ es el Consentimiento del cliente, el que este no lo preste no puede implicar nunca que se le impida el acceso.
  • En todo caso, el cliente debe recibir una información «clara, sencilla y accesible» sobre el uso de los datos que se le solicitan.
  • Los datos recabados por el establecimiento se podrán ceder a las autoridades sanitarias (Art.6.1d).
  • Los datos recogidos deben ser los estrictamente imprescindibles para el fin de control de la enfermedad que se persigue (número teléfono, datos del día y hora). Así la AEPD afirma textualmente que :
    • La recogida de datos como nombre y apellidos sería innecesaria para el fin que se busca.
    • Y la identificación mediante DNI sería desproporcionada.
  • Finalidad que se busca: la recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etcétera).
  • Los datos recogidos se usarán única y exclusivamente para luchar contra el virus. Resístanse a la tentación de usar esos números de teléfono para otros fines, sean cuales sean.
  • Los datos recabados se conservarán exclusivamente durante el plazo en que dentro del marco la lucha contra el virus se entienda como razonable para detectar brotes, que es la finalidad que se busca.

(*) Son categoría especiales catos sobre: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud, vida sexual, datos genéticos y biométricos (Art. 9 del RGPD); y datos relativos a condenas e infracciones penales (Art. 10 del RGPD).

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 27, 2020

El teléfono del empleado: control por la empresa

Filed under: Protección de Datos,RGPD — Etiquetas: — legisconsulting @ 12:20

El teléfono es una herramienta imprescindible para trabajar, pero la empresa a veces ―como se verá en algún caso concreto más adelante―  excede los límites y restricciones.

El desarrollo de mecanismos de legítimo control por parte de las empresas a través del teléfono ha provocado algunos conflictos en el ámbito laboral o de la protección de datos que trae como consecuencia un conflicto de derechos. De una parte, la intimidad y el secreto de las comunicaciones de los trabajadores; y de otra el derecho a la libertad de empresa y a la propiedad privada de la empresa.

Normativa básica

Artículo 20.3 ET.

3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

Y tratándose en este caso concreto del uso de teléfonos móviles:

Art 90 LOPDGDD. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

1. Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo.

2. Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

En un teléfono propiedad del empleado

En caso de que el empleado aporte su propio teléfono, con este se están aportando datos personales como el propio número de teléfono o, en algunos casos, el correo electrónico.

En este caso, antes de hacer uso de este mecanismo, es necesario realizar un Juicio de Proporcionalidad’ en que se estudie si los datos que se recaban son necesarios, adecuandos, pertinentes y no excesivos. Extremos detallados en la  Sentencia TC 123/2002 que establece que debe ser estudiada:

  • La idoneidad; para determinar si el uso que se le va al teléfono del empleado es susceptible de conseguir el objetivo propuesto por la empresa.
  • La necesidad; si no hay formas alternativas para cumplir la misma función.
  • De proporcionalidad en sentido estricto; si la medida es suficientemente  equilibrada al derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

En este sentido resulta muy interesante la Sentencia de la AN 13/2019 en la que los sindicatos recurrieron la decisión de la empresa Telepizza de obligar a los empleados a instalar en sus teléfonos personales una APP que les tenía localizados en los repartos.

En este caso, la Audiencia Nacional anuló la decisión de la empresa al entender:

  1. Realizando el ‘Juicio de Proporcionalidad’ , que la medida adoptada por Telepizza atentaba contra la privacidad de los empleados y que eran posibles  medidas alternativas que supusiesen una menor lesión para los derechos de estos;
  2. Que establecer la obligación a los empleados de aportar su teléfono en los términos en que se hacía suponía un abuso de Derecho.
  3. Y, en el plano laboral, que no había respetado el derecho de información y consulta de los representantes sindicales

En todo caso, el uso del teléfono del empleado para funciones propias de la empresa, necesitará del deber de información previo de los Art 13 y 14 RGPD (además de los deberes de información propios de la normativa laboral) y el imprescindible consentimiento previo del empleado.

En un teléfono propiedad de la empresa que se le entrega al empleado

Más habitual es el hecho de que la empresa, igual que aporta un ordenador o una furgoneta de reparto, entregue al empleado un teléfono móvil como medio necesario para el desarrollo del trabajo y/o para cumplir con las facultades de control para las que está legitimada. Pero también es habitual que el empleado siga haciendo uso de ese teléfono una vez concluida su jornada laboral en un entorno estrictamente personal.

Obviamente en este caso el teléfono es propiedad de la empresa  y podrá disponer de él, pero no acceder a él de forma ilimitada. Y dado que el teléfono puede ser a día de hoy un más que importante ‘archivo‘ de datos personales del empleado que lo usa, conviene establecer unos límites generales a la legítima actuación de control de la empresa:

Control limitado estrictamente a la jornada laboral: Como señala en una Sentencia el TSJ de Asturias, «toda vez que ha finalizado la jornada laboral, el contrato de trabajo deja de constituir el vínculo entre las partes que ampara el poder del empresario para imponer las medidas implantadas de captación y tratamiento de datos«.

Geolocalización limitada a la jornada laboral: Caso de haberse instalado  en el teléfono algún mecanismo de geolocalización:

  • Se requiere la información (que no consentimiento) previa al trabajador de cualquier sistema de control instalado, su finalidad y la mención expresa de que este servirá para verificar el cumplimiento por parte de los trabajadores de las obligaciones y deberes laborales  .
  • Que el sistema cumpla con los requisitos de ‘proporcionalidad‘  al cumplir con el requisito imprescindible de que los datos recabados sean «necesarios, adecuandos, pertinentes y no excesivos«.
  • En ningún caso  el sistema de ‘control’ se puede extender más allá de los estrictamente laboral, dado que extenderlo supondría vulneración de derechos fundamentales del trabajador. Derechos que siempre prevalecerían caso de entrar en conflicto con los derechos de control y organización de la empresa del Art 20.3 ET .

Acceso limitado a correos electrónicos: No existe jurisprudencia específica en este sentido referida a teléfonos móviles, pero extrapolando la existente sobre ordenadores, sí podemos llegar a las siguientes conclusiones también a los móviles:

  • La empresa puede acceder al correo corporativo, pero el empleado tiene que ser conocedor de tal acceso (deber de información).
  • Al encuadrarse dentro de las facultades de control de la empresa, los controles deben ser idóneos, proporcionales, justificados y necesarios

Acceso al historial de navegación, llamadas:  El TEDH ha establecido que la recogida y almacenamiento de información personal relativa a las llamadas telefónicas, comercio electrónico y navegación por internet, sin conocimiento del interesado, constituye una injerencia en el derecho a su privacidad y al secreto de sus comunicaciones en el sentido del artículo 8 del Convenio de Derechos y Libertades Fundamentales de 1999.

Límite, en los Derechos del Trabajador

Las medidas de control por parte de la empresa, para ser legales,  tienen siempre el límite del respeto a los derechos del trabajador.

Resulta difícil dar unas reglas exactas para el ejercicio de  las facultades de control de la empresa, pero sí podemos fijarnos en las pautas establecidas por el Tribunal Constitucional para el establecimiento de medidas de control:

  • Idónea: La medida debe satisfacer el interés de la empresa de conocer la conducta laboral de sus empleados.
  • Necesaria: No existe ninguna otra medida menos gravosa agresiva o limitadora de los derechos del trabajador que pueda aplicarse con la misma eficacia.
  • Proporcionada: Deben derivarse de ella más beneficios para el interés general que perjuicios sobre otros derechos en conflicto.
  • Justificada: Debe responder a razones objetivas y no a razones de oportunidad o arbitrariedad.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 19, 2020

El teléfono del niño: lo que debería saber

Filed under: Actualidad,Protección de Datos — Etiquetas: — legisconsulting @ 10:44

«Los móviles son una droga, un instrumento muy peligroso para cometer hechos delictivos y el instrumento para convertirse en victima«

Emilio Calatayud – Magistrado de menores.

– – –

Es raro el niño que no tiene móvil. Y aunque los niños no tienen por qué conocer el derecho, los padres, como tutores -tanto para lo bueno como para lo malo-, sí deben conocerlo. Y de ahí este esquemático post.

Los datos de los menores.

Un menos de 14 años necesitará el consentimiento paterno para abrir cualquier tipo de cuenta en redes sociales, servicios de mensajería, juegos, etc.

Con 14 años cumplidos ya no necesitan esa autorización.

  1. Antes de los 14 años, solo con el consentimiento de los padres: El consentimiento (Art 7.2 LOPDGDG) para el tratamiento de Datos personales de menores antes de los 14 años puede ser prestado exclusivamente por los padres. Y  el ejercicio de los derechos sobre los datos personales del menor corresponderán a los padres hasta los 14 años (Art. 12. 6 LOPDGDG).
  2. Una vez cumplidos los 14, años los niños ya pueden dar su consentimiento y ejercer sus derechos.  Es cierto que el RGPD en su art 8.1 sugería una edad mínima de 16 años, pero el legislador español ha considerado que los niños españoles son más «maduros» (Art. 3 LO 1/82) y ha decidido rebajar esa edad a los 14.
  3. Está prohibido el tratamiento de datos de menores en base al Interés Legítimo (considerando 47 RGPD) del que ya se ha tratado anteriormente en este Blog.

Desde el número de teléfono, al correo electrónico, las fotos de perfil, el Nick que se use para los juegos online, aplicaciones de mensajería o redes sociales. Todo son datos personales.

Derechos del menor

El menor tiene derecho a su intimidad y a su propia imagen. Los padres no pueden, ni abrir de forma indiscriminada y sin límites el móvil de sus hijos ni registrarles su habitación.

 “Los menores tienen derecho al honor, a la intimidad personal y familiar y a la propia imagen. Este derecho comprende también la inviolabilidad del domicilio familiar y de la correspondencia, así como del secreto de las comunicaciones”

 “Los padres o tutores y los poderes públicos respetarán estos derechos y los protegerán frente a posibles ataques de terceros”.

Art 4 LO 1/1996 de Protección Jurídica del Menor)

Como se verá más adelante: control sí, Gran Hermano, no

Límites al control por los padres

La patria potestad, como responsabilidad parental, se ejercerá siempre en interés de los hijos, de acuerdo con su personalidad, y con respeto a sus derechos, su integridad física y mental.

Esta función comprende los siguientes deberes y facultades:

1.º Velar por ellos,

Artículo 154 Código Civil

Controlar sí, pero no espiar. Y para fijar el límite entre ambas se pueden tomar una serie de pautas, derivadas de la ya extensa jurisprudencia:

  • La inspección o el control de teléfonos o dispositivos se debe realizar por una causa justificada y concreta.
  • Siempre en beneficio del menor y con la finalidad superior de su protección física o mental.
  • En ejercicio de la obligación de educación y control que tienen los padres.
  • Acceso a los dispositivos, preferiblemente, en presencia del menor.

En cuanto a los programas espía’ instalados en los dispositivos, solo podrían ser legales -a pesar de los extendidos que están- si se instalan con el conocimiento del menor o por alguna razón justificada, concreta, puntual y de forma temporal.

Responsabilidad del menor

Por encima de los 14 años, el menor será responsable penal por delitos tanto por acción (cyberbullying, sextorsión y grooming) como por omisión, como por ejemplo sería la mera tenencia de la imagen de otro menor desnudo.

Los hijos deben: 1.º Obedecer a sus padres mientras permanezcan bajo su potestad, y respetarles siempre.

Artículo 155 Código Civil

Responsabilidad penal

LO 5/2000 de responsabilidad penal del menor

Artículo 3 Régimen de los menores de catorce año.

Cuando el autor de los hechos mencionados en los artículos anteriores sea menor de catorce años, no se le exigirá responsabilidad con arreglo a la presente Ley, sino que se le aplicará lo dispuesto en las normas sobre protección de menores previstas en el Código Civil y demás disposiciones vigentes.

LO 5/2000 de Responsabilidad Penal del Menor

Responsabilidad de los padres

Derivado de los deberes atribuidos a los padres, estos son responsables de los daños, perjuicios e indemnizaciones por los actos de sus hijos, sean o no estos penalmente responsables.

Así, los padres vendrían obligados al pago de las cantidades que correspondan, aunque el menor no sea penalmente responsable por edad, derivadas de esos delitos de nuevo cuño digital, lamentablemente tan extendidos.

En el colegio

A la vista de la normativa mostrada en este post, parece evidente que el teléfono que el niño lleva al colegio forma parte de su espacio de privacidad y que tiene derecho al secreto de las comunicaciones, por lo que se podría deducir que el acceso de un profesor al móvil de un menor de 14 años sin el consentimiento de los padres vulnera su derecho a la privacidad.

No obstante, existe una sentencia de la Audiencia Nacional que manifiesta que el colegio sí puede acceder al teléfono de un alumno por razones de interés general en casos excepcionales en los que esté en riesgo la protección de derechos fundamentales de un menor al tener el colegio encomendada la protección de otros menores cuya guarda, asimismo, se le confía.

Para ponerlo en contexto, la sentencia en concreto trataba del acceso a un móvil de un menor ante el conocimiento de que había enseñado a una compañera el contenido de un vídeo sexual.

Ahora bien, ese acceso no legitima al colegio a  hacer copia del los datos encontrados o tratar los mismos en modo alguno que no sea dar parte, llegado el caso, a la autoridad competente.

Sí que sería legítimo en algunos casos, sin acceder a los datos que contiene, retirar el teléfono a los niños porque así lo recoge alguna normativa autonómica  como la de Madrid (art 24.7), pero con límites estrictos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 20, 2019

Novedades (con sorpresa) en las Cookies

Filed under: Comercio Electrónico,Emprender,Informática,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 10:53

La AEPD ha actualizado Guía Sobre el Uso de las Cookies. Que no es norma, pero que son una serie de recomendaciones a la luz del RGPD y de la LOPDGDD que más nos vale seguir.

El documento es extenso, pero las novedades no son tantas.

Información

En primer lugar se mantiene la recomendación del sistema de información por capas, con una primera capa con la información esencial sin ‘rollos‘ innecesarios ni frases vacías de contenido del tipo «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted«.

Así, para esta primera capa, en función de las cookies que se usen y de la funcionalidad de las mismas, la AEPD sugiere una serie de textos

Ejemplo 1:  Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.

ACEPTAR COOKIES         RECHAZAR COOKIES

Ejemplo 2: Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ.

ACEPTAR

Ejemplo 3: Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias, en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Si continúas navegando, consideraremos que aceptas su uso.

Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.

Consentimiento (y sorpresa)

Es este último ejemplo el que probablemente marca la mayor novedad y más interés despertará entre los diseñadores de páginas Web, puesto que admite que la opción de ‘seguir navegando‘ constituye una prestación válida del consentimiento .

Si bien este tipo de consentimiento solo será válido si se cumplen requisitos de FORMA como

  • Que el aviso se encuentra  en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario.
  • Que se incluya en el panel un botón para rechazar todas las cookies, para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo.

Y  que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación. O en dispositivos como el móvil o la tablet, cuando desliza la pantalla accediendo al contenido.

Y límites en cuento al FONDO, por cuanto  no será válido en los casos en que a través de las cookies se realicen tratamientos de datos que requieran un consentimiento expreso, tales como:

  • categorías especiales de datos personales del Art 9 RGPD
  • que se tomen decisiones individuales automatizadas del Art 22  RGPD
  • o se realicen transferencias internacionales de datos amparadas en el consentimiento de las del Capítulo V  RGPD

Tiempo  

Por una parte la AEPD recomienda valorar si es necesario la instalación de cookies persistentes en lugar de las de sesión,  puesto que señala que, «para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad«. Y que es mucho más probable que se consideren como exceptuadas del deber de  consentimiento  las cookies de sesión que las persistentes.

Y en cuanto a las cookies persistentes instaladas, la AEPD viene a recomendar una actualización del consentimiento cada 2 años: «Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.»

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 28, 2019

Warning!: Brexit y Protección de Datos.

Brexit is eventually a disaster for everyone(*).

Llevo semanas no queriendo escribir este post con la ilusa esperanza de que el Brexit no se materializaría, pero después de las votaciones de ayer, la conclusión parece clara: el hijo británico es firme en su decisión de emanciparse de la casa comunitaria (UE) después de 45 años. Pero el hijo ‘emancipando’ exige poder seguir yendo a comer, a que le hagan la colada y a que le planchen la ropa; Y mamá UE está en firme desacuerdo.

Así que todo parece indicar que habrá riña doméstica en forma de Brexit duro. Y la riña del Brexit duro nos obligará a hacer cambios a todos los que usamos un ordenador para una actividad no estrictamente personal y privada.

Cualquier negocio o profesional, de cualquier tamaño, que mantenga una página Web o use cualquier servicio online (almacenamiento, copias de seguridad, etc) debe hacer ya algunas comprobaciones con el fin de evitar posibles multas.

CAPÍTULO V

Transferencias de datos personales a terceros países u organizaciones internacionales

Artículo 44

Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Explicación

Un Brexit duro significa que Reino Unido pasa a ser automáticamente un tercer estado completamente ajeno a la normativa y al nivel de protección que  la normativa de la Unión otorga .

Ni Reino Unido ni sus empresas estarían en un primer momento dentro del marco del ‘decisiones de adecuación’ para la transferencia de datos personales a terceros países como el Privacyshield.

Aunque no os demos cuenta, hay numerosos servicios online que usamos a diario y que transmiten o almacenan datos en servidores de terceros países, tales como por ejemplo:

  • Sistemas de almacenamiento online del tipo Google Drive; Onedrive; Dropbox; Icloud; Mega, etc.
  • Sistemas de copias de seguridad o de respaldo.
  • Hosting .
  • Bases de datos.
  • Cookies.
  • Servicios de chat.
  • Análisis web.
  • Servicio al cliente.
  • Etc.

Warning!

  1. Compruebe todos los servicios que tiene contratados, porque es bastante frecuente que el titular de dichos servicios ni siquiera sepa que los tiene contratados. Por ejemplo las cookies que carga en su Web.
  2. Compruebe donde se encuentran los servidores de todos los servicios que tiene contratados.
  3. Y si algún servidor o Encargado del tratamiento se encuentra en Reino Unido, vaya buscando ya una alternativa legal.

No sabemos lo que falta, pero ello le evitará posibles multas.

.

(*)Lamentablemente ‘eventually‘ no significa lo mismo que ‘eventualmente

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »