Junio 5, 2018

Entender el RGPD como paso previo para adaptarse

Archivado en: Comercio Electrónico, Informática, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 12:08

El RGPD es un ladrillo. Ya asustan de entrada los 173 considerandos en sus primeras 32 páginas antes de llegar al artículo 1. Pero en la práctica, implementarlo no es para tanto si se ha entendido…

“Efecto Reglamento”

Para quien tenga edad y memoria, con el RGPD ha pasado lo mismo que con el principio del milenio con ‘el efecto 2000‘.  Los ordenadores colapsarían y las consecuencias sería impredecibles.

Han pasado ya varios días desde la entrada en vigor del RGPD  y aún no ha pasado de moda. Siguen llegando los emails pidiendo consentimientos o comunicando unas condiciones de privacidad “adaptadas al reglamento” que dejan la enciclopedia británica como relato breve. Parece que aquello de que la información debe ser en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo no debe venir en todas las ediciones del reglamento.

Las consultas que entran son básicamente del tipo: “¿qué papeles debo tener en el cajón  para cumplir con el RGPD?“. Y en respuesta a tal pregunta surgen la ofertas para adaptarse al RGPD con un simple sistema informático que prometen cumplir con todas las exigencias y hasta notificar los ficheros a la AGPD. Cuando hasta la AGPD facilita la documentación para bajo nivel de riesgo.

A esta confusión contribuyen hasta las televisiones con expertos que dicen cosas cuando menos extrañas: como el alto responsable de una empresa informática que vi el otro día que, simplificando el RGPD hasta el extremo, mantenía que lo importante era el consentimiento. Que había que pedirlo de nuevo y que si el interesado lo denegaba, pues que tocaba volver a pedirlo hasta que se consiguiera… Pero muchos de los consentimientos que todo el mundo tenía antes del viernes 25 de mayo de 2018 eran válidos. La operativa de aquellos que lo venía haciendo bien sigue siendo válida; y el tratamiento de los datos de quien cumplía la LOPD necesitará de pocas adaptaciones al RGPD.

Pero muy pocos lo hacían bien porque lo limitaban a una lista de formalismos y papeles.

Qué es el RGPD

Si se ha entendido y se hace bien, la adaptación en la inmensa mayoría de los casos debería ser fácil y rápida. Pero para ello es necesario asimilar lo que NO es el RGPD

  • -        El RGPD NO es un caos: los requisitos y exigencias no son tantos si se hace debidamente.
  • -        NO es una lista de papeles: Sí hay documentos que hay que tener (que no depositar ante ala AGPD), pero no más de los que se exigían antes.
  • -        NO es una lista de formalismos
  • -        Y NO es algo que pueda hacer cualquiera

Y sí entender lo que Sí es el RGPD.

“La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal…”

  • -        Es una forma de pensar
  • -        Es una forma de actuar
  • -        Es sentido común y empatía

Obviamente, como no puede ser de otra manera, el RGPD establece una serie de formalismos concretos, pero junto a ellos plantea una serie de obligaciones, requisitos, formas de actuar e incluso conceptos jurídicos mucho menos concretos y detallados pero que sí exige que sean demostrables:sé proactivo en la ‘protección de datos por la protección de datos’ y demuéstrame que lo eres“.

Y la única forma de hacer eso y realmente cumplir con el reglamento es entendiendo el reglamento.

Entender el Reglamento

Legalmente, prestar servicios de asesoramiento jurídico sólo lo podemos hacer los abogados. Como profesión regulada que es, el ordenamiento jurídico entiende que para prestar tales servicios se necesita de unos estudios y conocimientos específicos. Pero el Reglamento (RGPD) fija algo que parece contradictorio: El Delegado de protección de datos es por ejemplo el máximo responsable de informar, asesorar y supervisar el cumplimiento de las disposiciones del reglamento, pero no se le exige ser jurista.

Ello es porque la primera exigencia del Reglamento es entender  el entorno para saber cómo proteger los datos. Y entiende -desde mi punto de vista erróneamente- que los conocedores del entorno serán los que mejor podrán protegerlos. Y quien vive en y por esos entornos, normalmente no son juristas.

Pero el paso previo es leer y entender el Reglamento para poder aplicarlo en un entorno concreto. Y leer y entender el Reglamento es algo propio de juristas. No porque seamos más listos o menos, sino porque nuestra mente funciona de forma distinta en un ecosistema propio. Es conocido por un estudiante de primero de Derecho -y lo entiende uno de matemáticas o de informática-, que el Ordenamiento es un sistema con capacidad de auto y hetero-integración en el que todo está conectado.

(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental.

(2) … El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.

Por ello parece que en un tema tan particularmente complejo y tan lleno de pequeños matices sean los juristas los más apropiados, aunque siempre necesitaremos de otros profesionales para cualquier adaptación plena.

Se acabaron las notificaciones de archivos a la AGPD y la tenencia de papeles en un cajón colocados allí el día antes de la anunciada visita de los inspectores de la Agencia. El Reglamento establece ahora una gestión activa de los datos, unas obligaciones en la operativa diaria del tratamiento de los datos y unas funciones de autocontrol a través de órganos internos que antes estaban reservadas a la agencia. Igual que hacienda externaliza el cobro del IVA en manos de los empresarios, el reglamento externaliza la gestión y control de los datos en manos de todo el que trate datos personales con cualquier fin fuera del ‘ejercicio de actividades exclusivamente personales o domésticas‘. Y la AGPD controlará que se hace igual que hacienda controla que se cargue el IVA en las facturas.

Adaptación al RGPD

Como decía antes, la adaptación al RGPD debería ser en la mayoría de los casos fácil y rápida. Y si bien es posible crear herramientas que faciliten la labor y/o aporten un valor añadido, estas sólo pueden ser a día de hoy una solución parcial. Se requiere más: siempre serán necesarias acciones adicionales específicas sobre todo en (y en función de) la operativa.

Aprenderse de memoria el RGPD no basta. Hay que entender qué bien está protegiendo y los objetivos y límites de tal protección. La inteligencias artificial tiene un grandísimo futuro, pero para la adaptación al RGPD, la inteligencia mejor Emocional.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Marzo 2, 2018

Obligados a la protección de datos — RDPD VIII

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 13:07

El 25 de mayo entra plenamente en vigor en nuevo Reglamento Europeo de Protección de Datos que afecta a PYMES, autónomos y muchas personas que ni se les pasa por la imaginación que pudiesen estar obligados y por lo tanto expuestos a cuantiosas sanciones.

Obligados

En resumen, todo el mundo, ya sean personas físicas o jurídicas, con datos en ficheros personalmente total o parcialmente automatizados, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero de personas físicas, en actividades que no sean  exclusivamente personales o domésticas.

Es decir, cualquier dato personal en cualquier actividad que no esté exclusiva y únicamente relacionado con nuestra vida privada personal.

Artículo 2 Ámbito de aplicación material

2.El presente Reglamento NO se aplica al tratamiento de datos personales:

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

Es casi textualmente lo mismo que señala la vigente LOPD y, como normativa complementaria en el campo que le es propio, la LSSI. Por ello disponemos de un amplio y detallado desarrollo de lo que esto significa. Así, quedarán dentro de las actividades sujetas a la ley todas las actividades económicas, incluidos “los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios“.

Pero esto es sólo el resumen y conviene analizar cada elemento  para ver si realmente se está sujeto a las obligaciones del Reglamento (RGPD).

Que son ‘Datos Personales’

Toda información sobre una persona física identificada o identificable cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Es decir, casi cualquier dato referido a una persona, desde su nombre o número de DNI hasta la dirección IP de su ordenador.

Que es un ‘Fichero’

Fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Es decir, desde las bases de datos en la nube, la agenda del teléfono, hasta la agenda de teléfonos en papel que dejó el abuelo en el cajón del despacho o hasta los Post-it con los teléfonos que pegamos a la pantalla son ‘ficheros‘ a efectos de la Ley .

Que es el ‘Tratamiento de datos’

Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Es decir, desde un punto de vista legal, desde guardas las IP de las personas que visitan nuestra Web hasta tirar el Post-it que decíamos antes a la papelera es ‘tratamiento‘ de datos.

En qué ‘Actividad’

La obligación se extiende a todo tratamiento datos personales independientemente de la actividad u objetivo que se persiga con los datos personales. Sólo existe una excepción general a esa norma si se ‘tratan‘  en un ámbito exclusivamente personal o doméstico.

Soy consciente de que el concepto puede ser lo suficientemente abstracto para que genere dificultad aplicarlo a un caso concreto, por lo que tal vez trasladarlo ejemplos concretos puede facilitar su comprensión.

Ejemplos

  • La agenda que los abuelos guardan en la mesita del teléfono: obviamente no hay nada tan doméstico ni personal como eso y por tanto estaría excluido de las obligaciones del RGPD.
  • El frutero de la abuela (o cualquier tienda física)  que le lleva a la compra a casa porque pesa.  Es igual de obvio que la dirección de la abuela no es una dato personal ni doméstico del frutero y debería cumplir todas las exigencias de la normativa de protección de datos aún cuando tenga la dirección en un papel en la caja.
  • Una Web en la que se venden productos, se ofrecen servicios o funciona como mero ‘escaparate’. En este casi Sí estará obligada a cumplir las disposiciones en materia de protección de datos aún cuando no se venda o contrate nada online. Aunque si a través de la Web no se recaba ningún tipo de dato personal ni se recaban datos ya sea de forma consciente o inconsciente (por uso de cookies por ejemplo). En ese caso NO estaría obligada por el simple hecho de que no hay datos que tratar.
  • Un blog en el que se enseña a diseñar y montar centros de mesa y en el que, como en la mayoría de los blogs, se permite dejar comentarios o hacer consultas con la dirección de Email, que es un dato personal:
  • Si el blog se mantiene -o desde la asociación de vecinos o la biblioteca municipal- y quien lo hace no tiene ninguna actividad profesional relacionada, esta persona NO estaría obligada.
  • Pero si el titular del blog tiene o es socio o trabajador con según qué responsabilidad en algún tipo de negocio relacionado con las flores en el sentido más amplio -desde una floristería; a un salón de banquetes; o a una funeraria, se me ocurre-, en este caso estaría fuera de su esfera estrictamente personal o doméstica y  SÍ estaría obligado a cumplir con todas las obligaciones aunque el único dato personal al que tenga acceso sea el Email de los usuarios con sus comentarios.
  • Un canal de Youtube en que se enseñan a fabricar anzuelos para la pesca. Al igual que en el caso anterior, en tanto se haga por diversión y se realice a titulo estrictamente personal, NO estaría obligado.  Al menos durante el tiempo en que las visitas no se cuenten por miles, porque cuando sea así y se empiece a cobrar, por poco que sea, entonces SÍ se pasará a estar obligado.
  • Médicos, dentistas, fisioterapeutas, etc. Los datos que tratan y a los que acceden están especialmente protegidos y sus obligaciones son mayores que las de resto de interesados y las sanciones por incumplimiento de dichas obligaciones, sustancialmente mayores. SÍ, SIEMPRE están obligados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 27, 2018

La (obligatoria) nueva actitud ante los datos personales — RDPD VII

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , , — legisconsulting @ 15:44

Actitud proactiva real y demostrable del Encargado del tratamiento; tratamiento de datos a medida;  y seguridad creativa a medida. Son las nuevas obligaciones para el tratamiento que nos trae el Reglamento europeo de Protección de datos – RGPD.

Si bien se ha hecho hincapié en los últimos tiempos en la supresión de la obligación de notificación de ficheros ante la AGPD -obligación que efectivamente no recogen ni el RGPD ni el proyecto de Ley- lo cierto es que el Reglamento Europeo (RGPD) trae una  serie de obligaciones concebidas para involucrar directa y activamente en la protección del derecho fundamental que es el tratamiento de datos personales a las tres figuras centrales en este campo: el Encargado del tratamiento; el Responsable del Tratamiento; y el Delegado de Protección de Datos (DPO).

Medidas De Responsabilidad Activa

Es el encabezado que tanto el RGPD como la Ley le dan a este conjunto de medidas.

En ellas, el Responsable de los ficheros pasa de una tener una responsabilidad “pasiva-reactiva” (sólo miro hasta que surja el problema y entonces reacciono) a una responsabilidad “proactiva que mediante la adopción de medidas específicas —tratamiento a medidaa su caso, busque el cumplimiento no sólo de las normas y obligaciones específicas sino del cumplimiento de los principios de protección de datos. Y ello debiendo documentar como medio de prueba a ante la AGPD  toda su actividad en este sentido.

En concreto, y sin que como hemos señalado pueda tratarse de una lista tasada,  crea obligaciones o sugerencias que más vale cumplir en torno a distintas figuras, marcos y de actuación y códigos de conducta.

Encargado del tratamiento

Deberá ofrecer “garantías suficientes” en la aplicación de las medidas técnicas y organizativas necesarias al cada caso concreto.

El tratamiento de los datos que haga se regirá mediante contrato para el cual dispondremos de cláusulas tipo.

Estará subordinado al Responsable del Tratamiento y le proporcionará todo el apoyo técnico y organizativo así como toda la información de que disponga, incluida específicamente cualquier violación de la seguridad de los datos.

Y si llegara a cambiar los fines y medios del tratamiento usándolos en contra de la ley o RGPD, será considerado Responsable del tratamiento a todos los efectos, sobre todos los sancionadores.

Medidas técnicas

Las obligaciones dependerán de las circunstancias concretas de cada caso atendiendo a variables que van desde la naturaleza de los datos a los posibles riesgos o hasta a los costes y disponibilidad técnica que en todo caso puedan incluir entre otras

  1. la seudonimización (y/o tokenización)  y el cifrado de datos personales. Cifrado que no será obligatorio en todos los casos pero cuya implementación o no podrá acarrear distintas obligaciones o consecuencias caso de haber sido o no aplicadas, por lo que la recomendación general es establecer un sistema de cifrado adecuado y específico que además eximirá del deber de notificar en su caso brechas de seguridad ;
  2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.  Esto implica un análisis de los riesgos concretos del tratamiento para los interesados —seguridad a medida , debiéndose tener en consideración a la hora d la evaluación la posibilidad de peligros concretos en su caso como la destrucción, pérdida o alteración de los datos, la comunicación o acceso no autorizados o aquellos cuya vulneración sea susceptible de ocasionar daños y perjuicios físicos, materiales o inmateriales a los interesados.

El proceso de verificación, por supuesto, deberá quedar debidamente documentado.

Además, atendiendo a la inevitable falibilidad humana —por no decir algo peor—, el RGPD insta sin mencionarlo expresamente en el articulado a mitigar riesgos mediante la implementación de otros mecanismos que protejan los datos de acciones de los interesados lamentablemente tan extendidas como la pérdida del papelito donde apuntamos la contraseña, poner la fecha de nacimiento o picar en las extendidas campañas de “phishing” destinadas a obtener acceso a datos o cuentas.

Así, no hay duda cómo mecanismos como por ejemplo el de doble autenticación (2FA), demostrarían la diligencia y el deseo de proteger los principios inspiradores del RGPD. Y ello, como no, mitigaría sustancialmente las consecuencias de posibles infracciones llegado el caso.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 23, 2018

DELEGADO DE PROTECCIÓN DE DATOS (DPO-DPD)—RGPD VI

El DPO -según sus siglas en inglés- ó DPD -en español- es la figura central del sistema de protección de datos de las empresas obligadas a partir del 25 de mayo y estrella indiscutible de la reforma que trae el Reglamento Europeo (RGPD). Y no es para menos.

Es tan importante la figura del DPO que el legislador, en un proyecto de ley que no se ha molestado ni en hacer el tradicional copia/pega con que se trasponen la mayoría de las normas comunitarias haciendo meras menciones a artículos del Reglamento, sí desarrolla de forma más detallada y extensa esta figura.

En primer lugar, vaya por delante antes de nada que NO toda la empresa o profesional tendrá la obligación de disponer de un Delegado de Protección de Datos.

Obligados a tener un DPO

El Reglamento Europeo de Protección de datos RGPD es claro y conciso. Están obligados a tener un Delegado de Protección de Datos (DPO):

a)      Autoridades u organismos públicos;

b)      Cuando se traten  de forma habitual y sistemática datos de interesados a gran escala, o

c)       Se traten datos especialmente protegidos o relativos a condenas e infracciones penales.

Pero es la Ley la que desarrolla un listado más detallado de los obligados:

a)      Los colegios profesionales.

b)      Los centros docentes que ofrezcan enseñanzas reguladas.

c)       Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.

d)      Los prestadores de servicios de la sociedad de la información (*) cuando elaboren a gran escala perfiles de los usuarios del servicio.

e)      Las entidades de crédito.

f)       Los establecimientos financieros de crédito.

g)      Las entidades aseguradoras.

h)      Las empresas de servicios de inversión,.

i)        Distribuidores y comercializadores de energía eléctrica.

j)        Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude (blanqueo).

k)      Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l)        Los centros sanitarios.

m)    Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n)      Los operadores de juego

o)      Empresas de Seguridad Privada.

Como debe ser el DPO (certificación)

El DPO es garante del cumplimiento de la normativa de la protección de datos en las organizaciones e interlocutor con las Autoridades de Control (AGPD). Y como tal, su nombramiento debe ser comunicado a la AGPD.

Para cumplir sus funciones,  el RGPD sólo exige conocimientos especializados en derecho y que sus cualidades profesionales y experiencia le permitan cumplir con las funciones que detallamos más adelante.

“5.El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”

Ante este planteamiento tan poco concreto la AGPD, en su potestad de aportar la mayor seguridad a los titulares de los datos, está procediendo a fijar el detalle de los requisitos que deberá cumplir el Delegado de Protección de Datos y las formas de acceder a la cualificación como tal.

Así ha manifestado la AGPD que en principio, según lo dispuesto en el RGPD, no parece que sea exigible una titulación en Derecho para acceder al puesto, aunque la exigencia de “conocimientos especializados del derecho” parecen aconsejarlo así.

También fija la AGPD el foco buscando las ‘cualidades profesionales’, en la posible experiencia anterior del DPD en Protección de Datos, en su conocimiento del ‘entorno‘ o incluso y en su caso en el conocimiento de idiomas.

Como forma de cumplir o concretar todos esos ‘requisitos’ la propia AGPD, junto con una entidad privada, está fomentando un sistema ‘oficial’ de certificación de Delegados de Protección de Datos que a día de hoy no tiene agentes certificadores que ofrezcan cursos, es posible que sea el germen en un futuro (probablemente lejano) sistema de certificación que venga del desarrollo reglamentario del proyecto de Ley LOPD que ya señala que “el cumplimiento de los requisitos (…) podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación“. Pero eso llegará a muy largo plazo.

Al menos hasta que se apruebe la ley -que comentan en la propia AGPD que no será en este año- no habrá ni cursos oficiales y certificaciones oficiales para los Delegados de Protección de Datos.Y sin embargo, el día 25 de mayo sí habrá obligación de tener un DPO. Si tiene la obligación de tener un DPO, busque experiencia y conocimiento, porque no existen a día de hoy ni cursos ‘homologados‘ ni certificaciones oficiales que habiliten a los Delegados, aunque haya quien los venda como tal.

Funciones del DPO

El DPO deberá:

  • informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de sus obligaciones en relación con los Datos;
  • supervisar el cumplimiento de la Ley. Entendido el asesoramiento de la forma más amplia y extendida a todos los campos y departamentos que alcance el tratamiento de Datos Personales.
  • Asesorar al responsable del tratamiento sobre la evaluación de impacto en el tratamiento que se haga de los Datos.
  • Ser el contacto y cooperar con la autoridad de control. AGPD o autoridades autonómicas, señala el proyecto de ley (nota: ¡viva la multiplicación de la burocracia!).
  • Recibir reclamaciones de interesados sobre los datos personales tratados.

Posición del DPO en la empresa

EL RGPD y la ley colocan al Delegado de Protección de Datos en una posición de poder en ciertos aspectos casi ‘blindada‘, por lo que es posible que muchas empresas obligadas opten por externalizar el servicio aún cuando cuentan en sus plantillas con personal suficientemente preparado y con un conocimiento definitivamente superior de los mecanismos internos.

Así la Ley y el RGPD fijan la siguiente posición para el DPO

  • Participará de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Se le respaldará en el desempeño de sus  funciones, se le facilitarán los recursos necesarios para el desempeño de dichas funciones y el acceso a TODOS los datos personales y a TODAS las operaciones de tratamiento. Si bien sí tiene un deber de confidencialidad.
  • No podrá recibir ninguna instrucción u orden en lo que respecta al desempeño de sus funciones  ni podrá ser destituido ni sancionado por desempeñar sus funciones salvo que incurra en dolo o negligencia grave. Además sólo rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento.
  • Se le permite desempeñar otras funciones y cometidos bajo el control del responsable o encargado del tratamiento, que  garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Entrada en vigor

Me contaba alguien hace unos días que corre el rumor de que la Unión Europea tendrá el detalle de retrasar la entrada en vigor del Reglamento (RGPD) y que tendremos tiempo para adaptarnos más tranquilamente a su exigencias. Pues igual que le dije a esa persona, el RGPD es una norma con rango de Ley de aplicación directa publicada en un documento oficial y no existe ningún mecanismo legal que permita retrasar la entrada en vigor antes del 25 de mayo.

Aunque es previsible que la AGPD sí se comporte de una forma algo más flexible, al menos desde el punto de vista de sancionador, la realidad legal es que las empresas obligadas a tener  un Delegado de protección de datos DPO, el 25 de mayo deberán tener un nombre que notificar a la AGPD.

.

.

.

(*)«Servicios de la sociedad de la información» o «servicios» es todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.

El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:

  1. º La contratación de bienes o servicios por vía electrónica.
  2. º La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
  3. º La gestión de compras en la red por grupos de personas.
  4. º El envío de comunicaciones comerciales.
  5. º El suministro de información por vía telemática.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 21, 2018

Derechos ARCO vs Derechos ARSULIPO—RGPD V

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 13:07

Los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de la LOPD se reinventan, se amplían y nos fastidian el acrónimo.

  • Derecho de Acceso
  • Derecho de Rectificación
  • Derecho de SUpresión (”el derecho al olvido” lo denomina el propio RGPD)
  • Derecho a la LImitación del tratamiento
  • Derecho de Portabilidad
  • Derecho de Oposición

Los nuevos derechos de Supresión y Portabilidad que incorpora el RGPD (Reglamento Europeo de Protección de Datos) nos dejarían el acrónimo en algo así como “Derechos ARSULIPO”. Obviamente nada que ver con la sonoridad y la fuerza semántica de los antiguos “ARCO“, aunque confiamos en que la AGPD no elija esta opción que suena más bien a algún tipo de roedor en peligro de extinción.

Entrando en la cuestión y como planteamiento general previo hay que señalar que el ejercicio de los derechos debe ser para el interesado fácil, accesible y no podrán ser denegados por el hecho de que el interesado opte por un medio distinto al sugerido por el responsable del tratamiento.

Derecho de Acceso

El interesado tendrá derecho a acceder, no ya a los meros datos, sino a toda la  información sobre los mismos.

El nuevo proyecto de LOPD establece que este derecho de acceso se considerará otorgado si el responsable del tratamiento, sin hacer entrega de los datos o la información, facilita una vía de “acceso remoto, directo y seguro” a los mismos.

Asimismo, al amparo del RGPD, establece que el responsable del tratamiento se podrá negar el derecho de Acceso o cobrar por el ejercicio del mismo si, salvo causa legítima para ello que deberá hacerse constar por el interesado,  este se solicita el ejercicio del derecho en más de una ocasión durante el plazo de 6 meses.

Las novedades sobre la antigua LOPD de 1999 es que la nueva LOPD no fija un plazo para la respuesta (hasta ahora 30 días) por parte del Responsable del Tratamiento a la solicitud de acceso.

Derecho de Rectificación

Es el proyecto de LOPD el que desarrolla y limita más este derecho al establecer que el interesado deberá detallar los datos que desea rectificar y, si es necesario, aportar la documentación justificativa del error o el carácter incompleto de los mismos.

Al igual que en el caso del derecho de acceso, el Proyecto de Ley no fija un plazo de respuesta a diferencia de los 10 días que establece la LOPD.

Derecho de SUpresión (derecho al olvido)

El interesado tendrá derecho a obtener “sin dilación indebida” —pero sin plazo concreto ni en el proyecto de LOPD ni en el RGPD— del responsable del tratamiento la supresión de los datos si:

  • los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos
  • el interesado retire el consentimiento
  • el interesado se oponga al tratamiento (derecho de oposición que veremos más adelante)
  • los datos personales hayan sido tratados ilícitamente;

Se podrá denegar el ejercicio de este derecho cuando l tratamiento sea necesario:

  • para ejercer el derecho a la libertad de expresión e información;
  • para el cumplimiento de una obligación legal ;
  • para la formulación, el ejercicio o la defensa de reclamaciones.

Asimismo el Responsable del tratamiento podrá conservar los datos cuando la supresión derive del ejercicio del derecho de Oposición, este podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.

Derecho a la LImitación del tratamiento

La LImitación en el tratamiento cosiste en que los datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento expreso del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando:

a)      el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;

b)      el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c)       el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d)      el interesado se haya Opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

En responsable del tratamiento deberá hacer costar de forma expresa en su Sistema qué datos concretos se encuentran limitados.

Derecho de Portabilidad

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a)      el tratamiento esté basado en el consentimiento ó

b)      el tratamiento se efectúe por medios automatizados.

El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Caso de haber procedido a la Rectificación, a la Supresión de los datos o a la Limitación de los mismos, el Responsable del tratamiento vendrá obligado  a notificar tal hecho al interesado salvo que sea imposible o exija un esfuerzo desproporcionado.

Derecho de Oposición

Se otorga un derecho de oposición al interesado casi absoluto, con contadísimas excepciones y de forma fácil y gratuita. Así, cabe el ejercicio del derecho de Oposición al tratamiento de datos personales:

  • Incluso cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • incluso cuando el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
  • En caso de el tratamiento tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento. En este caso, los datos personales dejarán de ser tratados para dichos fines.
  • En el contexto de la utilización de servicios de la sociedad de la información, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
  • Salvo interés público, cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos.

El ejercicio de todos estos derechos deberá ser atendidos por el Responsable del Tratamiento. Más trabajo para una figura que ha perdido mucha publicidad con la aparición de la figura del Delegado de Protección de Datos que trataremos próximamente en este blog.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 15, 2018

Información y acceso a los datos: RGPD IV

Archivado en: Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 10:41

Una parte esencial en tratamiento de datos es la información que se debe notificar al interesado cuando recabamos los datos o cuando este los solicita.

Tanto la nueva LOPD como el Reglamento (RGPD) hacen una división sobre la información que se debe facilitar en función de la fuente de dichos datos.

Si los datos se obtienen el propio interesado -por ejemplo mediante el registro en una Web- , el responsable del tratamiento le facilitará  en el mismo momento:

a)      la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b)      caso de que exista, los datos de contacto del delegado de protección de datos;

c)       los fines para los que se van a utilizar los datos personales y el modo en que se van a utilizar. Debiéndose solicitar una nueva autorización si se cambia la finalidad a que destinarán los datos.

En particular, si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, se deberá informar de ello.

d)      los intereses legítimos concretos  del responsable del tratamiento o de un tercero para recabar esos datos;

e)      los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f)       en su caso, si se va a producir una transferencia internacional de datos -por ejemplo si se usa un servicio en la nube cuyos servidores se encuentran en el extranjero-.

Si los datos NO se obtienen el propio interesado, el Responsable del Tratamiento le facilitará, además de toda la información precedente:

a)      Las categorías de datos objeto de tratamiento y

b)      las fuentes de la que procedieran los datos  y, en su caso, si proceden de fuentes de acceso público;

c)       el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

d)      la existencia de los derechos de acceso, rectificación o supresión y oposición, así como el derecho a la portabilidad de los datos;

e)      el derecho a retirar el consentimiento en cualquier momento;

f)       el derecho a presentar una reclamación ante la AGPD;

g)      la existencia de decisiones automatizadas, información significativa sobre la lógica aplicada en su caso, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Toda esa información deberá ser proporcionada  por el Responsable del Tratamiento al interesado como máximo en el plazo de un mes. O si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado. O si los datos se van a comunicar a otro destinatario, como máximo en el momento en que los datos personales sean comunicados por primera vez.

Excepciones

Pero como todo no podía ser tan fácil, el RGPD si establece excepciones. Casos en los que el deber de información no es imprescindible y que pueden facilitar mucho la vida a Responsable del Tratamiento. Estas son:

  • que el interesado ya disponga de la información;
  • la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado,;
  • que la obtención o la comunicación esté expresamente establecida por Ley;
  • o cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por Ley.

Acceso

En todo caso, el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a toda la información que le debería -o le fue- comunicada detallada anteriormente además de, caso de haber transferido los datos a un tercer país, las garantías relativas a la transferencia.  Para ello el Responsable del Tratamiento facilitará una copia de los datos personales objeto de tratamiento, pudiendo para ello exigir al interesado un canon razonable basado en los costes administrativos.

Es decir, vendremos obligados a entregar copia de los datos, pero podremos exigir el importe del coste que ello ocasione.

Finalmente sólo queda señalar la obviedad de que es obligatorio entregar o notificar toda la información citada anteriormente, pero es sabio conservar copia o justificante de haberla entregado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 13, 2018

Datos especialmente protegidos – RGPD III

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 12:01

Podemos tratar toda clase de datos siempre que medie consentimiento, pero hay algunas categorías de datos de los que el Reglamento (RGPD) prohíbe el tratamiento. Son datos “especialmente protegidos”, aunque -como casi todo en Protección de Datos- con matices.

Así, el Reglamento prohíbe el tratamiento de Datos:

  • que revelen el origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud
  • datos relativos a la vida sexual o las orientación sexuales de una persona física.

Salvo excepciones (y excepciones a las excepciones):

  • Que el interesado de su consentimiento explícito salvo que lo prohíba expresamente una ley.

Consentimiento que no bastará para levantar la prohibición según la nueva LOPD para datos relativos a la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico… Pura matemática: prohibición x excepción x prohibición de la excepción = prohibido.

  • El tratamiento de los datos es necesario es necesario para el cumplimiento de obligaciones  legales en el ámbito del Derecho laboral y de la seguridad y protección social.

Es decir, que si hay una obligación legal que necesite del tratamiento de esa categoría de Datos, su tratamiento SÍ estará permitido.

  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

Si está capacitado, sí será necesario el consentimiento. O dicho en sentido contrario: según el Reglamento, hasta para salvarle la vida a alguien se necesita su consentimiento para tratar los datos si puede dar dicho consentimiento

  • El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos. Si bien en este caso los datos exigirán de otros deberes de información que se tratarán por su extensión en otro Post.

-        Aviso a empresas de marketing, big data, etc. Los datos manifiestamente públicos podrán ser utilizados

-        Aviso a particulares: cuidado con lo que se cuelga y como se cuelga en Twitter, redes sociales, etc.

  • El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
  • Por razones de Interés público.

Veremos el desarrollo si es que este llega a producirse, pero de momento esta excepción parece cajón de sastre que abre la puerta a posibles actuaciones Orwelianas;

  • El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado.

(Nota: Resuelta la excepción a la excepción: las ambulancias no necesitarán llevar formularios a firmar por el accidentado para poder comunicar al hospital la situación del mismo antes de llegar.)

  • El tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

En resumen, si se trata de una empresa, entidad o profesional podrá tratar datos especialmente protegidos como los datos relativos a la salud, datos genéticos sólo con consentimiento del interesado. Pero en ningún caso podrá tratar datos como la ideología, las convicciones religiosas o políticas, la vida sexual o la afiliación sindical, salvo que la normativa laboral nos obligue a tratarlos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 8, 2018

RGPD II: Tratamiento de los datos

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 12:38

Ya hablamos hace unos meses en este blog del consentimiento para el tratamiento de los datos de carácter personal, así que hoy trataremos qué datos, con qué fines y en qué forma deben ser tratados esos datos de forma legal.

Los datos personales serán:

  • Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)“;  Y será lícito sólo
    • Si medió  consentimiento ó
    • si el tratamiento es necesario para la ejecución de un contrato ó
    • si los datos son necesarios para que el Responsable del tratamiento cumpla una obligación legal -piense por ejemplo en la obligación de algunos profesionales de hacer notificaciones a hacienda- ó
    • si son necesarios para proteger intereses vitales del interesado o de otra persona física -piensen en profesionales médicos por ejemplo-
    • Los datos serán recogidos sólo “con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines“. Es decir, sólo se  utilizarán con la finalidad para la que fueron recogidos. Por ejemplo, si los recogimos para ejecutar un contrato, no podremos utilizarlos para enviar  publicidad posteriormente si no nos han autorizado expresamente y con limitaciones para ello.
  • Y sólo los mínimos datos imprescindibles para cumplir la finalidad para la que se piden. Principio de «minimización de datos», lo llama el RGPD;
  • Exáctos. Con obligación de establecer medidas para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. Es decir, se obliga a mantener mecanismos o planes que permitan tener los datos actualizados
  • Mantenidos exclusivamente durante el periodo que sean necesarios para los fines para los que fueron recabados. «Limitación del plazo de conservación», lo denomina el RGPD
  • Tratados con todas las medidas de seguridad: «integridad y confidencialidad».

El obligado al cumplimiento de todos estos requisitos será  el Responsable del Tratamiento que además deberá ser capaz de demostrar de forma activa que cumple con ellos: «responsabilidad proactiva».

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 22, 2017

Los Reyes Magos y el (nuevo) Reglamento de Protección de Datos (RGPD)

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , , — legisconsulting @ 11:07

Post recomendado exclusivamente para mayores o menores informados.

Magia e ilusión en estado puro, pero antes que los Reyes Magos (ciudadanos extracomunitarios) le toca otro personaje del mismo gremio, vecino nuestro y residente comunitario suponemos que en alguna urbanización de la costa: San Nicolás (Sinterklaas en los Países Bajos), que no sabemos si cobra el PER el resto del año, pero que sólo trabaja el 6 de diciembre (poco que ver con el Papa Noel  o Santa Claus que llega la noche del 24 de diciembre).

Sinterklaas es como nuestros Reyes Magos, sólo que en lugar de venir de Oriente en camello dice la tradición que es un obispo mayor de barba larga, vestido de fiesta mayor, al que nadie debería extrañarse de ver en la planta de juguetes de El Corte Inglés o similar y que va desde España en barco a Holanda y Bélgica a llevar regalos y dulces naranjas… aunque en este año pudiera pensarse que no deben haber sido muy buenos los niños por esos lares cuando Zwartemont(1),, por la cara que se les ha quedado, parece haberles llevado más limones que dulces naranjas a los belgas.

Sinterklaas y el RGPD

Pero, como este es un blog jurídico y como tal vamos a tratarlo, pasamos a plantear de forma concisa los elementos claves de la situación jurídica de Sinterklaas a la luz del RGPD :

  • Como hemos visto, Sinterklaas es residente en España (residente comunitario)
  • Sinterklaas es mágico y dispone de datos para saber qué niños se han portado bien y cuáles no… un fichero organizado de datos en toda regla.
  • Los datos de que dispone son de niños comunitarios (Holanda y Bélgica entre otros), por lo que las exigencias no serían mayores que si los fueran españoles.
  • Evidentemente  es una cantidad masiva de datos, con lo cual entendemos que dispondrá de un Delegado de Protección de Datos.
  • Como  la actividad de Sinterklaas se inicia con una acción activa del interesado pidiendo regalos por carta, eso supone obviamente una autorización expresa.
  • Pero -salvo algún despistado- los firmantes son menores de 13 años, así que sus padres deberán firmar su autorización a la tenencia de los datos(2).
  • En el fichero figura cómo se han portado cada niño (son datos de comportamiento íntimo y de lo más personal) y sabe lo que quieren de regalo (hábitos de consumo)
  • Pero es que además esos menores están en otro país de la UE.
  • Podemos suponer que aunque sea muy estacional, dado el volumen de trabajo dispondrá de más de 250 ayudantes, así que deberá mantener un “Registro de Actividades”.
  • Normalmente las comunicaciones con Sinterklaas o los Reyes se realizan por correo postal, así que como no hay otra forma, con los regalos deberíamos encontrar por la mañana un documento en que figure toda la información que ya contamos antes en otro post.

Y al margen de esto también cabe preguntarse,  ¿tendrá Sinterklaas, como residente y con los servidores en España, el fichero inscrito ante la AGPD?… al menos hasta el 25 de mayo que en principio dejará de ser obligatorio, debería.

¿¡Y qué pasa con los Reyes Magos!?

Los Reyes Magos disponen de los mismos datos y hacen el mismo uso de los mismos planteado para Sinterklaas, pero como resulta evidente, lo tienen más difícil y el uso y ‘manejo’ de esos datos tendrá muchas más exigencias.

Los Reyes Magos lo son de Oriente y, por lo tanto, son ciudadanos extracomunitarios.  No sabemos a día de hoy si como jefes de Estado tendrán pasaporte diplomático, si FRONTEX les permitirá llegar este año, si habrán conseguido ya el preceptivo visado o si habrán hecho la los trámites aduaneros necesarios para los regalos. Pero como este post va de protección de datos y no de extranjería o fiscalidad, dejaremos de lado este complicado tema y pasemos a lo que nos ocupa.

Los datos sobre los niños y su bondad o maldad a lo largo del año se recaban aquí por un -o tres en este caso- no residente/s. Y, como hemos visto,  posteriormente son trasladado a su domicilio social en territorio extracomunitario. Ello implica una transferencia internacional de datos que exigiría:

  • Normas corporativas vinculantes para responsables y Encargados del tratamiento
  • Aceptación expresa para la transferencia por parte del mayor de 13 años(2) o sus tutores legales .
  • Autorización expresa por parte de la AGPD.
  • Cláusulas contractuales para el tratamiento de datos y los correspondientes garantías en Oriente que deberán ofrecer los Reyes magos debidamente firmadas.

Los Reyes magos sólo podrían transmitir los datos sin autorización previa al lugar de su domicilio social sin nivel adecuado de protección cuando esa transferencia sea necesaria para satisfacer intereses legítimos, imperiosos del responsable y la transferencia no es repetitiva y afecta sólo a un número limitado de interesados…. Algo para lo que no parece que se adapte a la norma por mucho que forcemos la interpretación alegando los únicos interesados son los niños (muy limitado) y que es temporal hasta que cuando crezcan descubran “LA VERDAD” de los Reyes Magos y Sinterklaas.

Magos Intenational Network

Me preguntaba hace ya un tiempo una persona profundamente preocupada por el tema: “¿¡Sinterklaas se ‘chiva’ a los Reyes magos!?”. Y yo pienso: si Sinterklaas se ‘chiva‘, es una transferencia extracomunitaria de datos.

Si los datos son comunicados por Sinterklaas porque es un chivato, entonces estamos ante una transferencia extracomunitaria de datos a un tercero fuera de la UE en un lugar que suponemos -viendo en las noticias  como está por el ‘Oriente’-  que no es un “lugar que ofrezca un nivel de protección adecuado” de acuerdo con la Comisión Europea y que por lo tanto exigirá a Sinterklaas obtener los mismos datos que hemos visto en el punto anterior que se exigirían a los Reyes magos y, además la notificación expresa a los niños mayores de 13 años(2) o a sus tutores legales, el detalle de los términos concretos de su acuerdo con los Reyes Magos (medidas de seguridad a adoptar en Oriente, plazo de cesión, uso de los datos, etc. etc., etc )

Mantener la ilusión: nota para interesados

Para caso de que lleguen a leer esto a pesar de la elevada carga de trabajo que deben tener en estas fechas, queremos aprovechar este post para instar encarecidamente tanto a Sinterklaas como a los Reyes Magos  que cumplan todas las obligaciones legales expuestas anteriormente. Con el nuevo RGPD y la nueva LOPD la Agencia de Protección de Datos mantiene sus facultades para aplicar unas sanciones para las que, a la espera del desarrollo reglamentario, ve reforzadas su discrecionalidad, su capacidad para graduarlas…. y su cuantía:

  • Para algunas infracciones, el importe de mayor cuantía entre: hasta 10.000.000,00€ o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior
  • Para otras infracciones consideradas más graves, el importe de mayor cuantía entre: hasta 20.000.000,00€ o hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior
  • Y esta última sanción de igual importe por no atender las resoluciones de la  AGPD

Para mantener la ilusión de niños y mayores, les rogamos desde aquí que cumplan ustedes con las obligaciones, no vaya a ser que el presupuesto se resienta por el paso de la AGPD y la magia los Reyes la tengan que usar de verdad para que los regalos tras la publicación del RGPD no se limiten a los excedentes de carbón del cierre de las térmicas o como mucho a juguetes de los chinos.

Deseamos desde aquí que tengamos todos un año lleno de ilusión y magia -a ser posible no financiera-.

.

.

(1) ‘Zwarte Pieten’ son los pajes ayudantes de Sinterklaas(San Nicolás, nada que ver con Papa Noel  o Santa Claus que llega en 24 de diciembre)

(2) La edad mínima fijada por el RGPD  para dar validez para prestar consentimiento menores es de 16 años, aunque autoriza a los estados a fijar una edad menor que en ningún caso se a inferior a 13 años. La edad actual en la LOPD es de 14 años, pero el proyecto de ley parece que lo adelanta hasta los 13 años que fija el RGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 24, 2014

Cookies: Información y consentimiento (actualizado)

Archivado en: Actualidad, Comercio Electrónico, Informática, Protección de Datos — Etiquetas: , , — legisconsulting @ 10:29

La AGPD aclara finalmente, a través de una resolución, la forma correcta de plantear las cookies a los usuarios.

Hasta ahora teníamos claro cuál era la información que se debía proporcionar al usuario en cada momento porque así lo había manifestado la propia AGPD a través de un modelo que debía ser adaptado a cada circunstancia concreta. Y quedaba claro que debía plantearse  a través de lo que la propia AGPD llama ‘información por capas.

El problema era -proporcionando esa información y sabiendo el momento en que debía prestarse al usuario- saber si también era necesaria la previa autorización expresa del usuario para la instalación de cookies. Es decir, si era necesario plantear una pantalla en blanco pidiendo de forma previa la autorización expresa para la instalación de cookies o no.

La AGPD viene ahora, a través de la Resolución de 14 de enero de 2014, a decirnos que

  • la falta de información previa  la instalación de cookies SÍ es sancionable
  • que la falta de autorización previa a la instalación de cookies NO es sancionable

Así, la forma correcta de plantear el aviso de cookies queda como sigue

Información por capas

La AGPD se reitera en la presentación por capas de la Guía sobre el uso de las cookies publicado por la propia entidad hace ya un tiempo.

Así, se plantea la información en dos capas:

Primera capa: debe contener la siguiente  información mínima

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
    • Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
    • Un enlace a la segunda capa informativa en la que se indica una información más detallada.

Esta información –manifiesta la propia AGPD– es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.

Segunda capa: debe contener la siguiente información

  • Definición y función de las cookies
  • Tipo de cookies que utiliza la página web y su finalidad.
    • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
    • Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
    • Definición y función de las Cookies

Insiste la AGPD en la necesidad de que la información proporcionada en esta segunda capa sea ‘completa y clara’  e incluya en particular la ‘tipología de las cookies realmente utilizadas’, ‘finalidad de las mismas’ e ‘identidad de quienes instalan y utilizan las cookies

(Falta de) autorización no sancionable

De cumplirse estos requisitos de información, manifiesta la AGPD que se está cumpliendo la exigencia del Art. 22.2 de la LSSI del ‘consentimiento informado’. Y lo más importante, que la vulneración de ese requisito previo del ‘consentimiento informado’ no es sancionable de acuerdo con el Art 38.4.g) LSSI:

“Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g)”

Por el contrario, sí afirma en otro apartado de la misma resolución que la falta la información íntegra según el apartado anterior de este post, anula el consentimiento que se hubiera prestado y sería objeto de sanción

En conclusión, que la información completa por capas según se ha mostrado anteriormente en este Blog en la forma y con el  modelo de aviso de cookies de acuerdo con las directrices de la AGPD sugeridas en su momento no es sancionable según la AGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Entradas más antiguas »