octubre 14, 2022

Datos empresariales (III): vulnerabilidad de los Datos

Todo negocio maneja datos sensibles que marcan la viabilidad del mismo.

Podemos estar hablando de empresas de proyectos innovadores que, aunque no lo parezcan, son públicos a poco que crucemos suficientes datos y a suficientes personas.

Pero también podemos estar hablando de empresas o negocios que tiene una ventaja competitiva simplemente por haber encontrado un proveedor mejor o haber implementado mecanismos internos más eficientes. Esos datos que no parecen tan ‘espectaculares’, si se liberan -y lo harán si alguien se toma el suficiente interés porque son igual de ‘públicos’- acabarán con esa ventaja competitiva haciéndola accesible al local de al lado.

Piense qué datos concretos de su empresa supondrían un problema caso de ser conocidos por su competencia, por sus clientes o por terceros. Por si no se le ocurren muchos, a continuación enumero una lista que no pretende ser en modo alguno cerrada: 

  • Know-how.
  • Datos de clientes.
  • Datos de proveedores.
  • Datos de productos.
  • Datos de empleados (piense en el desarrollador del nuevo proyecto con su perfil en Linkedin y sus contactos).
  • Contabilidad.
  • Facturación.
  • Tarifas.
  • etc.

Pero pensará al mismo tiempo que esos datos no son públicos. El problema es que, como se mostrará en este ‘hilo’, si alguien se toma el suficiente interés y lo sabe cómo hacerlo, sí pueden serlo.

¿De verdad quiere público para esos datos?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 7, 2022

Datos empresariales II: Vulnerabilidad (legal) de los datos empresariales

De forma previa a las sus consecuencias, riesgos y posibilidades, veremos el distinto nivel de protección que la ley da a un tipo de datos frente a otros.

El Derecho ‘absoluto’ de los datos personales

A pesar de que ya sabemos que ningún Derecho tiene carácter ‘absoluto’, en el campo de los Datos Personales, como Derecho Fundamental que es, la formulación se acerca bastante a ese grado ‘absoluto’ (si obviamos el cajón de sastre del “Interés Legítimo”, por supuesto).

Sin entrar el elevadísimo grado de protección que tienen, no podemos sino empezar por ver qué son los datos personales:

Artículo 4 RGPD. Definiciones. A efectos del presente Reglamento se entenderá por: «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El derecho ‘condicional’ de los datos empresariales

En el caso de los Datos Empresariales, por supuesto tenemos toda la protección legal de la propiedad industrial e intelectual, pero llena de lagunas en una normativa muy dispersa y en buena parte no adecuada a la realidad actual.

De forma específica y general sólo existe la Ley 1/2019, de 20 de febrero, de Secretos Empresariales. Que brinda una protección limitada (no todos los datos) y condicionada (y no en todos los casos):

Qué son “Secretos empresariales”:

Artículo 1. Objeto. 1. El objeto de la presente ley es la protección de los secretos empresariales.

A efectos de esta ley, se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:

a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;

b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y

c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Y cuándo se produce una ‘violación’

Artículo 3. Violación de secretos empresariales.

1. La obtención de secretos empresariales sin consentimiento de su titular se considera ilícita cuando se lleve a cabo mediante:

a) El acceso, apropiación o copia no autorizadas de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes, que contengan el secreto empresarial o a partir de los cuales se pueda deducir; y

b) Cualquier otra actuación que, en las circunstancias del caso, se considere contraria a las prácticas comerciales leales.

Y además, los datos empresariales obtenidos legalmente se pueden almacenar, tratar y utilizar prácticamente sin límite.  Como se ve, los datos empresariales con legalmente más vulnerables que los datos personales.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

septiembre 30, 2022

Datos empresariales I-introducción: Comercio de Datos Personales vs Empresariales

Empiezo aquí este ‘hilo’ de posts para mostrar como los datos empresariales son vulnerables, su valor en el mercado las posibles acciones para protegerlos.

LOPD vs Ley de Secretos Empresariales.

Google, Facebook, Amazon, etc, venden y/o usan sus datos personales, ¿Qué le hace suponer que los datos empresariales mucho más valiosos no son utilizados o no están a la venta?

Particulares y empresas usamos utilísimos servicios de internet para comunicarnos, para almacenar datos, para comunicar con terceros, para relacionarnos o conectar con terceros; para nuestras actividades personales y para nuestras actividades profesionales.

El comercio de los Datos personales.

Es extensamente sabido por un lado que los Datos Personales son un enorme mercado con un inmenso valor que va mucho más allá de la publicidad dirigida en nuestros móviles, sino que tienen un mercado donde se compran y se venden desde datos de contraseñas, de tarjetas de crédito o datos médicos –por los que más se paga en el mercado- que van desde esos datos que ‘regalamos’ con nuestras búsquedas en Internet; con nuestros relojes; con esas divertidas apps del teléfono que te cuentan los pasos, cuándo y por donde los das; o hasta de expedientes médicos completos. Datos que ‘liberamos’ las 24 horas del día (¿duerme con su smartwatch o su pulsera de correr?, pues una empresa conoce las pautas de todo lo que hace en la cama) y que tienen un valor económico.

Con esos datos se elaboran exhaustivos ‘dosieres’ individualizados aunque erróneamente pensemos que en ese inmenso océano que es Internet somos solo una gota indistinguible de las demás de cada persona obtenidos con robots o con invitaciones masiva en redes sociales a través de las cuales acceden a datos que compartimos solo con nuestros contactos. Y que se venden a empresas o instituciones en función de los perfiles específicos que demanden los compradores.

El comercio de los datos empresariales.

Menos conocido, aunque igual de preocupante, el mercado de esos Datos Empresariales o Profesionales que liberamos a través de esos medios de internet oponemos en manos de terceros de forma consciente o inconsciente. 

Más allá del evidente uso de datos concretos de cada empresa, algunos de los cuales pueden ser el mismísimo corazón del negocio, Metadatos, tendencias del mercado, anticipación e incluso manipulación del mismo lo hacen un ‘mercado’ para quien lo quiera aprovechar aún más interesante y lucrativo que el de los datos personales.

Desde ‘backup’ colgado en ‘la nube’ aparentemente tan inocente y que nos hace sentir tan seguros. Los datos colgados en páginas Web, en redes sociales, los contactos de sus empleados, clientes y proveedores; Los comentarios, imágenes o mensajes de estos en redes sociales.

Todos esos datos se cruzan o son susceptibles de ser cruzados para obtener un beneficio potencialmente mucho mayor que le ya grandísimo de los Datos Personales, porque en este caso el beneficio potencial es mucho mayor que vender una camisa, un implante coronario o un coche.

Y se preguntará: ¿es todo eso legal? En su mayor parte -particularmente los datos personales-, no, pero existe recomiendo leer para quien no esté familiarizado ‘La privacidad es poder’ de Carissa Veliz )..

La normativa se preocupa en extremo del primero de ellos, los Datos Personales: categorizados como Derechos Fundamentales regula lo que pueden hacer con nuestros datos, del valor que tienen en el mercado y del coste que tiene su cesión para nosotros

Pero no ocurre lo mismo y la regulación no es la misma en el caso de los Datos Empresariales. ¿Cuál es la protección de la parte ‘empresarial’ de potencial y directamente de mucho mayor valor?. ¿Protegemos adecuadamente los secretos de nuestras empresas?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 28, 2019

Warning!: Brexit y Protección de Datos.

Brexit is eventually a disaster for everyone(*).

Llevo semanas no queriendo escribir este post con la ilusa esperanza de que el Brexit no se materializaría, pero después de las votaciones de ayer, la conclusión parece clara: el hijo británico es firme en su decisión de emanciparse de la casa comunitaria (UE) después de 45 años. Pero el hijo ‘emancipando’ exige poder seguir yendo a comer, a que le hagan la colada y a que le planchen la ropa; Y mamá UE está en firme desacuerdo.

Así que todo parece indicar que habrá riña doméstica en forma de Brexit duro. Y la riña del Brexit duro nos obligará a hacer cambios a todos los que usamos un ordenador para una actividad no estrictamente personal y privada.

Cualquier negocio o profesional, de cualquier tamaño, que mantenga una página Web o use cualquier servicio online (almacenamiento, copias de seguridad, etc) debe hacer ya algunas comprobaciones con el fin de evitar posibles multas.

CAPÍTULO V

Transferencias de datos personales a terceros países u organizaciones internacionales

Artículo 44

Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Explicación

Un Brexit duro significa que Reino Unido pasa a ser automáticamente un tercer estado completamente ajeno a la normativa y al nivel de protección que  la normativa de la Unión otorga .

Ni Reino Unido ni sus empresas estarían en un primer momento dentro del marco del ‘decisiones de adecuación’ para la transferencia de datos personales a terceros países como el Privacyshield.

Aunque no os demos cuenta, hay numerosos servicios online que usamos a diario y que transmiten o almacenan datos en servidores de terceros países, tales como por ejemplo:

  • Sistemas de almacenamiento online del tipo Google Drive; Onedrive; Dropbox; Icloud; Mega, etc.
  • Sistemas de copias de seguridad o de respaldo.
  • Hosting .
  • Bases de datos.
  • Cookies.
  • Servicios de chat.
  • Análisis web.
  • Servicio al cliente.
  • Etc.

Warning!

  1. Compruebe todos los servicios que tiene contratados, porque es bastante frecuente que el titular de dichos servicios ni siquiera sepa que los tiene contratados. Por ejemplo las cookies que carga en su Web.
  2. Compruebe donde se encuentran los servidores de todos los servicios que tiene contratados.
  3. Y si algún servidor o Encargado del tratamiento se encuentra en Reino Unido, vaya buscando ya una alternativa legal.

No sabemos lo que falta, pero ello le evitará posibles multas.

.

(*)Lamentablemente ‘eventually‘ no significa lo mismo que ‘eventualmente

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 25, 2018

Servicio de adaptación fácil, segura y sin papeles al Reglamento — RGPD X

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , , — legisconsulting @ 13:15

Legisconsulting lanza un NUEVO SERVICIO que le ayudará a adaptar a su empresa al nuevo reglamento. Ahora y en el futuro.

Características del servicio

Fácil

Información y redacción de documentos adaptados a su actividad

Notificaciones periódicas sobre obligaciones del RGPD

Adopción de medidas  «seguridad proactiva» obligatorias del el RGPD.

Seguro

Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Sin papeles

Almacenamos su documentación y le damos un  acceso remoto con claves personales

Mantenemos su documentación siempre actualizada a las novedades legislativas o a las directrices de la AGPD

Razones para elegir el servicio de Legisconsulting:

  1. Adaptaciones al Reglamento: Cualquier modificación sobre los datos del reglamento se implementará de manera fácil y ágil.
  2. Accesibilidad: Acceso a la documentación mediante claves personales en cualquier lugar y desde cualquier dispositivo.
  3. Actualización normativa Adaptación del servicio a cualquier actualización normativa o directriz de la AGPD que se produzca en el futuro.
  4. Cumplimiento de obligaciones proactivas Podrá demostrar que ha adoptado las obligatorias acciones activas para el tratamiento y la seguridad de los datos.
  5. Modificaciones Cualquier modificación se realizará de manera inmediata.
  6. Almacenamiento seguro Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 27, 2018

La (obligatoria) nueva actitud ante los datos personales — RDPD VII

Actitud proactiva real y demostrable del Encargado del tratamiento; tratamiento de datos a medida;  y seguridad creativa a medida. Son las nuevas obligaciones para el tratamiento que nos trae el Reglamento europeo de Protección de datos – RGPD.

Si bien se ha hecho hincapié en los últimos tiempos en la supresión de la obligación de notificación de ficheros ante la AGPD -obligación que efectivamente no recogen ni el RGPD ni el proyecto de Ley- lo cierto es que el Reglamento Europeo (RGPD) trae una  serie de obligaciones concebidas para involucrar directa y activamente en la protección del derecho fundamental que es el tratamiento de datos personales a las tres figuras centrales en este campo: el Encargado del tratamiento; el Responsable del Tratamiento; y el Delegado de Protección de Datos (DPO).

«Medidas De Responsabilidad Activa«

Es el encabezado que tanto el RGPD como la Ley le dan a este conjunto de medidas.

En ellas, el Responsable de los ficheros pasa de una tener una responsabilidad «pasiva-reactiva» (sólo miro hasta que surja el problema y entonces reacciono) a una responsabilidad «proactiva« que mediante la adopción de medidas específicas —tratamiento a medidaa su caso, busque el cumplimiento no sólo de las normas y obligaciones específicas sino del cumplimiento de los principios de protección de datos. Y ello debiendo documentar como medio de prueba a ante la AGPD  toda su actividad en este sentido.

En concreto, y sin que como hemos señalado pueda tratarse de una lista tasada,  crea obligaciones o sugerencias que más vale cumplir en torno a distintas figuras, marcos y de actuación y códigos de conducta.

Encargado del tratamiento

Deberá ofrecer «garantías suficientes» en la aplicación de las medidas técnicas y organizativas necesarias al cada caso concreto.

El tratamiento de los datos que haga se regirá mediante contrato para el cual dispondremos de cláusulas tipo.

Estará subordinado al Responsable del Tratamiento y le proporcionará todo el apoyo técnico y organizativo así como toda la información de que disponga, incluida específicamente cualquier violación de la seguridad de los datos.

Y si llegara a cambiar los fines y medios del tratamiento usándolos en contra de la ley o RGPD, será considerado Responsable del tratamiento a todos los efectos, sobre todos los sancionadores.

Medidas técnicas

Las obligaciones dependerán de las circunstancias concretas de cada caso atendiendo a variables que van desde la naturaleza de los datos a los posibles riesgos o hasta a los costes y disponibilidad técnica que en todo caso puedan incluir entre otras

  1. la seudonimización (y/o tokenización)  y el cifrado de datos personales. Cifrado que no será obligatorio en todos los casos pero cuya implementación o no podrá acarrear distintas obligaciones o consecuencias caso de haber sido o no aplicadas, por lo que la recomendación general es establecer un sistema de cifrado adecuado y específico que además eximirá del deber de notificar en su caso brechas de seguridad ;
  2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.  Esto implica un análisis de los riesgos concretos del tratamiento para los interesados —seguridad a medida , debiéndose tener en consideración a la hora d la evaluación la posibilidad de peligros concretos en su caso como la destrucción, pérdida o alteración de los datos, la comunicación o acceso no autorizados o aquellos cuya vulneración sea susceptible de ocasionar daños y perjuicios físicos, materiales o inmateriales a los interesados.

El proceso de verificación, por supuesto, deberá quedar debidamente documentado.

Además, atendiendo a la inevitable falibilidad humana —por no decir algo peor—, el RGPD insta sin mencionarlo expresamente en el articulado a mitigar riesgos mediante la implementación de otros mecanismos que protejan los datos de acciones de los interesados lamentablemente tan extendidas como la pérdida del papelito donde apuntamos la contraseña, poner la fecha de nacimiento o picar en las extendidas campañas de «phishing» destinadas a obtener acceso a datos o cuentas.

Así, no hay duda cómo mecanismos como por ejemplo el de doble autenticación (2FA), demostrarían la diligencia y el deseo de proteger los principios inspiradores del RGPD. Y ello, como no, mitigaría sustancialmente las consecuencias de posibles infracciones llegado el caso.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 2, 2017

8 consejos básicos para inversiones ‘disruptivas’

Filed under: Contratos,Emprender,Marketing,Otros,Sociedades — Etiquetas: , , , — legisconsulting @ 12:52

He recibido en diversas ocasiones y con distintos planteamientos consultas sobre inversiones disruptivas: desde quien ha encontrado una forma de invertir que ofrece de media una rentabilidad de entre el  400% y el 1.000% anual (verídico) hasta quien ha encontrado una estructura completa y aparentemente fiable de negocio tradicional pero lo ha «disrumpido» para obtener mayor rentabilidad. Y es este último caso el más recientemente vivido  y el que me lleva a escribir este post.

La mayoría de las veces las consultas son una vez realizada la inversión sobre cómo van a gestionar la futura riqueza prometida. El problema es que por ética profesional entiendo que debo darles mi opinión profesional en lugar de venderles lo que me piden. Y como a nadie le gustan los jarros de agua helada, lamentablemente ese suele ser el final de nuestra relación.

Espero que los siguientes consejos ayuden a los inversores en negocios -disruptivos o no- y sirvan para cambiar esta dinámica.

1.- La pólvora no se inventa todos los días

«Hemos inventado el contrato de agencia disruptivo. Vendemos champiñones en lata y buscamos agentes comercializadores con una pequeña inversión garantizada de 40.000,00€. Se le otorgará una zona económica exclusiva donde se comercializarán las latas a través de un nuevo concepto de página Web específica para su territorio. Nos comprometamos a devolverle la inversión íntegra garantizada en cinco años más el 50% de los beneficios resultantes del negocio.

Además -ahí está lo disruptivo del contrato-, usted como agente no tendrá que hacer nada. La estructura comercial de nuestra propia empresa optimizando sinergias y productos se ocupará de publicitar y comercializar toda la gama de productos cruzados generando una elevada rentabilidad«

El término «disruptivo» queda muy bien, pero las actividades se deben ajustar la las leyes que hay. El contrato de agencia surge ya en el s. XVIII con la revolución industrial, así que si con este u otro alguien nos dice que lo ha reinventado, aunque ello es legal y posible, de entrada debería hacernos recelar.

2.- Los contratos son lo que son y no lo que las partes dicen que son.

Esto es un axioma en derecho. Aunque el encabezado del contrato diga «Contrato de Agencia«, la realidad es que si el texto ha dejado las obligaciones y responsabilidades del inversor vacías de contenido, se queda en algo distinto.

Un contrato vacío de contenido y sin transmisión de participaciones es un contrato de emisión de deuda. Y ese contrato tiene enormes restricciones y obligaciones que deberán ser satisfechas.

3.- El negocio es lo que es y no lo que dicen que es.

Aunque el negocio sea la comercialización de champiñones en lata por zonas geográficas exclusivas, si la empresa detrás del proyecto es una incubadora de empresas  dedicada al desarrollo de proyectos -denominación muy marketinian-o un fondo de inversión dedicado al capital riesgo, es dudoso que sepan gran cosa de champiñones en lata. Entonces el negocio real será otro distinto del que el inversor no será parte.

4.- Los números son lo que son y no lo que te dicen que son.

Un capital social del 90.000,00€ en una SL es mucho, pero no quiere decir que la empresa tenga esos 90.000,00€. Y tampoco sirven las proyecciones de ventas sobre una hoja de Excel porque el papel lo aguanta todo. Ni tampoco valen gran cosa la lista de contactos de un comercial concreto.

Las cuentas depositadas en el Registro Mercantil o las declaraciones de IVA pueden darnos alguna pista más, pero estas no tienen porqué tener todos los datos. Por ejemplo un número alto de inversores suponen una gran deuda que puede llegar a superar con creces el límite legal establecido (sí, ese límite existe). Y esas hemos visto que no tienen porqué figurar necesariamente en ninguno de esos registros.

5.- Garantías que no son tal.

Una garantía es una hipoteca, o un aval bancario o un seguro de caución. La garantía ofrecida por  la sociedad receptora de la inversión o por su matriz, por mucha antigüedad que esta tenga, como norma no son una garantía.

6.- Antigüedad no es lo mismo que seguridad.

Uno de los argumentos más comunes para inspirar seguridad es «nuestra empresa lleva operando desde 1990«. Pero eso no quiere decir que las cuentas hayan sido impecables o que puedan cumplir con sus obligaciones: Forum Filatélico duró casi 30 años y RUMASA mucho más.

7.- ¿Qué te pediría tu banco para lo mismo?

Los bancos para dar un crédito piden una inmensa cantidad de información, documentos y hasta visitas a domicilio o aspectos de la vida privada que en apariencia poco tienen que ver con el negocio, pero que les ayudan a entender la situación real.

No sea tímido, pida cuanta información necesite. Usted no tiene los recursos del BBVA o el Santander, lo que sí tiene es la posibilidad de pedir como si fuera ellos porque lo que va a entregar es su dinero.

8.- Nadie vende duros a cuatro pesetas.

Es posible que haya quien lea esto y no lo entienda, pero quienes tenemos cierta edad si lo hacemos. Los chollos no existen, así que si alguien le ofrece una alta rentabilidad fácilmente y sin trabajar, huya sin mirar atrás.

Y si tiene dudas, llámenos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 4, 2016

Reclamar por Usurpación de Nombres de Dominio

Existen diversas formas de reclamar un nombre de dominio «usurpado» y de las circunstancias concretas dependerá elegir el más apropiado para cada caso.

Como este es un blog jurídico, vaya por delante que el término «usurpación» es un término coloquial aplicable jurídicamente por ejemplo a los ocupas de un piso, pero no a quien nos quita un nombre de dominio de Internet.

Hay diversas formas por las que un dominio llega a estar en posesión de quien no tiene derechos sobre el mismo: desde el más puro delito informático; hasta los más comunes de los socios que no planificaron debidamente su actividad en un primer momento y al final, como sucede tantas veces, la alianza se rompe de forma indeseada; o el lamentablemente más corriente del informático al que alguien encarga su WEB y se toma la libertad de registrar el dominio a su nombre en lugar de a nombre del cliente.

La mayoría de la gente nunca se ha molestado en comprobar que son titulares del nombre de dominio que usan. Algo tan fácil y rápido como consultarlo en WHOIS en caso de dominios .com o .org entre otros ó en Dominios.es en caso de dominios .es. Tales buscadores mostrarán quien figura como titular del dominio y donde está alojado, y caso de haberse activado la privacidad y no poder ver el titular, siempre se puede dirigir uno al servicio donde está registrado para comprobar que es quien debería.

Si se comprueba que no se figura como titular, si en principio se ha pagado el nombre de dominio, se han pagado las sucesivas renovaciones del mismo en su caso y se ha hecho uso del mismo, aún cuando se encuentre registrado a nombre de un tercero el nombre de dominio podría ser reclamado en una (o varias) de las siguientes vías:

  • ICANN: Es «una entidad sin fines de lucro responsable de la coordinación global del sistema de identificadores únicos de Internet y de su funcionamiento estable y seguro«. Dispone de un sistema de resolución extrajudicial de disputas sobre nombre de dominio
  • Red.es: Se trata de una entidad pública Responsable de la gestión del Registro de nombres de dominio de Internet bajo el código de país «.es».  dispone, al igual que ICANN de un procedimiento extrajudicial para la resolución de conflictos de acuerdo y con las condiciones contenidas  en su reglamento.
  • OMPIes el foro mundial en lo que atañe a servicios, políticas, cooperación e información en materia de propiedad intelectual (P.I.). Es un organismo de las Naciones Unidas, autofinanciado, que cuenta con 189 Estados miembros«. Se trata, al igual que en las vías anteriores, de una vía de solución extrajudicial de conflictos.
  • Tribunales: Obviamente, al margen de las soluciones extrajudiciales existen las tradicionales soluciones judiciales ante los tribunales correspondientes. Probablemente la vía menos deseable en la mayoría de los casos por su falta de agilidad en un tema a menudo de imperativa urgencia, pero con posibles ventajas en función de las circunstancias concretas, como que permite la reclamación de elementos que no son estrictamente el nombre dominio y tas trascendentales como las bases de datos habitualmente vinculadas a los contratos de alojamiento.
  • Via penal: Compatible con las opciones extrajudiciales si se dan los elementos del ‘tipo‘ (el delito). Se puede presentar online ante el Grupo de Delitos Telemáticos por delitos que ya se ha mencionado en este post que a pesar de ser citados en conversaciones coloquiales no son ni el de Usurpación del 245ss del Código Penal ni el de Apropiación indebida del 252 CP. Las únicas condenas producidas en por este tipo de hechos se han dado en aplicación de Delitos contra la propiedad industrial del 273 CP. Este procedimiento es válido para el nombre de dominio, pero también para todos los elementos que integran la propiedad industrial y compensación de daños. Está penado con hasta 6 años de prisión.

Consejo: Si entiendo que su dominio pudiera llegar a estar en riesgo la medida más efectiva para su protección sería el registro del dominio como marca ante la Oficina Española de Patentes y Marcas ante la presunción casi inatacable de titularidad que aportan los registros públicos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 14, 2015

Revolución legal en el «Cloud»

Filed under: Protección de Datos — Etiquetas: , , , — legisconsulting @ 10:47

El Tribunal de la UE ha dinamitado la figura del «Puerto Seguro» en Protección de Datos y revoluciona el Cloud: la AGPD podrá entrar a valorar si los datos transferidos fuera de la UE-desde Facebook a Dropbox o empresas de cloud- cumplen la normativa nacional… ¡Y no la cumplen!

Se empieza con una declaración contundente: «El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos» (sentencia en el asunto C-362/14)

Y sigue con el fondo del asunto: « las autoridades nacionales de control a las que se haya presentado una solicitud pueden, aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos así como acudir ante los tribunales nacionales»

¿Qué significa?

En primero lugar, que se le pasan a exigir a todas las empresas y personas que almacenen Datos Personales fuera de la UE el cumplimiento de la legislación europea.

Hasta esta resolución se permitía que la Comisión Europea publicara un listado de países a los que la transferencia internacional de datos estaba permitida porque se consideraba que prestaban un nivel de protección equiparable a la LOPD. Entre ellos estaban  los del Espacio Económico Europeo y, entre otros EEUU sólo para entidades adscritas a los «principios de Puerto Seguro». Para la transmisión al resto de países o entidades hacía falta un complicado procedimiento que necesitaba de la autorización previa expresa del director de la AGPD.

Tras esta resolución, al haber sido excluido EEUU del concepto de Puerto Seguro, para transmitir datos a servidores en EEUU habrá que demostrar que el destinatario de los datos cumple con los mismos estándares de seguridad y exigencia de la LOPD. Y ello es aplicable a Facebook -involucrada en la sentencia-, pero también a servicios de uso común como Dropbox o cualquier otro servicio cloud.

¿Es automático?

La normativa nacional obliga a solicitar autorización previa para la transferencia de datos fuera de la UE, pero entiendo que los datos ya transferidos lo fueron bajo el paraguas de una decisión de la Comisión Europea y bajo las directrices de la AGPD, por lo tanto la transferencia se hizo de forma legal.

El problema surge por un lado de que cualquier nueva transferencia de datos a EEUU requerirá del largo proceso y de la autorización previa para ser considerada como legal. Y por otra parte de que la AGPD podrá entrar la a examinar y exigir el cumplimiento de la ley nacional a cualquiera de los otros destinos de «puerto Seguro» para cualquiera que utilice servidores fuera de la UE. Y para ello bastará una sola denuncia de alguien descontento.

O dicho de otro modo, las autoridades Europeas podrán analizar a partir de ahora el tratamiento de los datos depositados en «puertos seguros».

Entonces los servidores fuera cumplirán la norma

Pero,  ¿pasarán las empresas norteamericanas el filtro de las distintas agencias de protección de datos de Europa?

El Parlamento Europeo ha publicado un Informe comparativo de protección de Datos EEUU- UE que hace un estudio detallado del nivel del marco de uno y otro lado del océano y a la vista de los resultados parece difícil que un marco como el norteamericano pueda ser modificado de forma fácil y rápida para conseguir un nivel de protección y tratamiento de los datos Personales análogo al que se hace en Europa.

El informe es largo y detallado, pero incluye un interesante y clarificador resumen que  se transcribe al final de este post.

Consecuencias

Para el usuario de Internet: evidentemente mayor grado de protección.

Para quien maneje datos: la necesidad de una auditoría urgente del tratamiento de hace de esos datos.

(more…)

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

diciembre 2, 2014

Guía ultrabreve de Comercio Electrónico

El Comercio Electrónico o ECommerce está teniendo un crecimiento exponencial en los últimos tiempos y se prevé que siga así. Por ello es fácil encontrar a quien cree que basta con ‘estar‘ en Internet para aprovechar la ola, o a los que piensan que hay que estar «porque todo el mundo está‘. Pero estar por estar sin más es absurdo y peligroso. Es como salir de Safari con tirachinas.

A continuación, una lista del equipo con el que cargar para hacer seguro el ‘Safari‘.

Incluye el «Aviso legal«: Es obligatorio aunque la Web o el Blog aunque sólo sean el ‘escaparate’ de una actividad Económica (contenido obligatorio)

Redacta e incluye unas «Condiciones de Servicio«:  Los contratos son ley entre las partes. Y si no estableces la ley para las transacciones con tus clientes se aplicará la ley supletoria (LSSI, Ley de Consumo, Código Civil, etc). Es posible entonces que esas disposiciones ‘supletorias’ no encajen en la idea que tienes de las responsabilidades que estás dispuesto a asumir. Porque lo que pongas en ellos -con límites- es ‘la Ley de la Web‘.

Establece cuál es la «Política de Privacidad«: Debes manifestar qué datos se guardan, como se hace, con qué finalidad, que se cumple con las exigencias legales y que se manifiesta su aceptación.  (Política de Privacidad en las web)

Cuida las «Cookies»: Son la estrella mediática de la protección de de datos personales y las que peor reputación tienen. Puede no instalarse ninguna y el problema estará resuelto, pero es difícil que un informático no incluya por defecto alguna como Analytics. Pero cumpliendo con las normas establecidas e incluyendo en fondo y forma el modelo propuesto por la AGPD, no deberían suponer un problema.

Cuida el tratamiento de los datos: Además de los puntos anteriores, la ley obliga a una determinada forma de tratar, almacenar (en servidores propios o en Cloud) y acceder a los datos recabados de los Usuarios de la Web. Todos unos mecanismos que deben estar contenidos en un «Documento de Seguridad» exigido por la AGPD.

Registra los ficheros: Si se tienen datos personales de usuarios (y casi todos lo es, hasta direcciones IP), los ficheros deberán estar registrados ante la AGPD.

Cumple las obligaciones ‘Societarias’: Si se está actuando a través de una Sociedad, la Ley establece unas obligaciones y requisitos concretos para tener u operar una Web.

Cuida los Medios de Pago:

  • Elige la pasarela de pago que mejor se adapte al modelo de negocio concreto:  Aunque no lo parezca, hay vida más allá de Paypal (Que pasarela de pago es la mas fiable)
  • Muestra con quien gestionas los cobros: Es incluso buena idea y aporta seguridad mostrar que la pasarela está en el  Listado de Entidades del Banco de España
  • Nunca guardes datos de tarjetas de clientes. Es Ilegal y la lista de entidades y empresas dispuestas a arruinar el negocio con sanciones es extensa (AGPD, Autoridades de Consumo, Banco de España, Visa, etc)

Declara los ingresos de Paypal (o similar): Paypal no es una cuenta opaca en un paraíso fiscal, es un mero medio de pago en el que los ingresos a través de él percibidos deben ser declarados a Hacienda igual que los de cualquier otro medio de pago. (cuestiones y dudas sobre Paypal)

Cumple la Ley de Consumo (aunque cueste): Cumplir la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI) no es suficiente. La Nueva Ley de Consumo también es aplicable al ECommerce y la muy diversa  muy diversa normativa supone un gran escollo y un gran riesgo.

Incluye toda la documentación: Se exige en Comercio Electrónico proporcionar cliente documentación tal como una copia del ‘contrato en soporte duradero’ o un Formulario Desistimiento.

Cuida la Publicidad: Además de cumplir todas disposiciones y límites de la Ley General de Publicidad existen prohibiciones y límites específicos propios del Ecommerce como el Spam o comunicaciones electrónicas no solicitadas. El Spam es igual de ilegal ya se haga a través de correo electrónico desde cualquier cuenta de correo (personal o no) o a través de los servicios de mensajería internos entre usuarios conectados de Linkedin o Facebook.

Asegúrate de que lo que vendes es lo que crees vender: O dicho de otro modo, sé consciente de la obligaciones que asumes y con qué límites. Si vendes algo serás corresponsable con el fabricante ante el comprador de eso que vendes. Si prestas un servicio serás responsables de su buen fin. Si simplemente ‘intermedias‘ (plataformas de intercambio, de venta o incluso de ‘encuentro’ entre particulares por ejemplo) serás responsable de probar que no eres parte en modo alguno de una operación entre terceros si no quieres.

Sé consciente de los derechos de tus clientes: Aparte de los derechos legales atribuidos por otras normas o por los propios Términos y Condiciones de Servicio de la web, los clientes de Ecommerce son Consumidores o Usuarios en los términos de la Ley y ello les proporciona una serie de derechos que la propia Ley considera como irrenunciables ni tan siquiera aceptando  las Condiciones de Servicio de la Web.

Evita los peligros del ECommerce: Que como se ha puesto de manifiesto, van más allá de temida LOPD

Evita las sanciones: Que van mucho más allá de la temida AGPD (Inseguridad jurídica en sanciones a las web)

Asegura tu actividad: Con un asesoramiento profesional especializado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »