Entradas

necesidad de un delegado

Efectividad en los nuevos derechos de garantías digitales. Letradox abogados

/en /por

Efectividad en los nuevos derechos de garantías digitales. Letradox abogados

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales. Incorpora a su objeto la importante novedad de dirigirse a “garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución”.

Este contenido se sitúa en el Título final de dicha Ley, el X “Garantía de los derechos digitales”. Compuesto por 19 artículos (del 79 al 97). Divididos en cuatro bloques: Derechos de los ciudadanos en internet (artículos 79 a 82, 96 y 97). Derechos  de los menores y la educación (artículos 83, 84 y 92). Derechos relacionados con el ámbito laboral (artículos. 87 a 91). Y Derechos de la era digital y las comunicaciones: (artículos 79, 85, 86  y 93 a 95).

En particular debemos de mencionar los mas relevantes:

  •  Derecho de rectificación digital (artículo 85 de la LOPDGDD). 

El “derecho a la libertad de expresión en Internet”. Consiste en la práctica de que esta libertad no se vea limitada mediante técnicas de filtrado o bloqueo automático, ataques de denegación de servicio, eliminación de resultados de búsquedas y otros mecanismos ilícitos.

Establece un requisito doble para poder la rectificación:

  • Ha de tratarse de una información inexacta.
  • Información perjudicial al interesado.La ley no obliga a eliminar la información, sino a añadir un aviso visible aclaratorio donde se indique que la noticia no refleja la situación actual de la persona.

También estipula la orden a  “los responsables de redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación”.

Hasta ahora las opiniones no eran objeto de rectificación.  Por tanto, a las redes sociales se les pedirá es que establezcan unos protocolos. Para que puedan recibir peticiones de rectificación.  Y se reenvíen casi automáticamente al titular de la cuenta. Ello tendrá consecuencias negativas para la libertad de expresión en la red. 

  • Derecho a la actualización de informaciones en medios de comunicación digitales (artículo 86 de la LOPDGDD). 

Es el derecho a la actualización en  los medios de comunicación digitales “cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio”. 

Es complicado ponerlo en práctica, ya que muchas opiniones en medios de comunicación son anónimas. También, influye la gran cantidad de medios. Por lo que dificulta la efectividad de las rectificaciones.

Derechos en el ámbito laboral. La ley concede una gran importancia a los derechos digitales en el ámbito laboral:

  • Derecho a la intimidad y uso de dispositivos digitales (artículo 87).

Frente a este derecho que se otorga a los trabajadores. Se establece la obligación de los empleadores de “establecer criterios de utilización”.

También, estipula que el empleador ha de indicar “la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados”. Deberá especificar en su política interna  el uso de los soportes y las posibilidades de acceso por el empleador al contenido de esos dispositivos digitales. 

Es muy importante informar a los trabajadores por escrito. En el caso de que el trabajador haga un uso inadecuado de los dispositivos digitales. Si no se encuentra  estipulado en la política interna de la empresa y tampoco ha informado a su trabajador. No podría auditar los dispositivos y usarlos como prueba ante un despido disciplinario siendo un despido improcedente.

En definitiva, son muy importante las políticas de privacidad internas en una empresa respecto al uso adecuado de los dispositivos digitales.

  • Derecho a la desconexión digital (artículo 88 de la LOPDGDD).

Es el derecho a interrumpir la conectividad y a la implantación de medidas de desconexión. Es el derecho para no ser requerida o localizada a través de internet. Se garantiza el derecho al descanso, intimidad personal y familiar del trabajador.

  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo (artículo 89 de la LOPDGDD). 

Se permite la videovigilancia en el lugar de trabajo. Pero solo “para el ejercicio de las funciones de control de los trabajadores o los empleados públicos”. Se señalan dos importantes obligaciones:

No podrán estar instalados en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos. 

Se ha informar con carácter previo al trabajador de forma expresa, clara y concisa.

Se reconoce a la utilización de sistemas de grabación de sonidos en el lugar de trabajo. Sólo será posible  en caso de riesgos “relevantes” para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y respetando los principios de proporcionalidad e intervención mínima.

  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (artículo. 90 de la LOPDGDD). 

Se permite estos sistemas siempre con la previa obligación de informar al trabajador. Ello esta en plena actualidad a raíz del registro horario.  Ello ha provocado la creación de aplicaciones móviles en la que se solicita el acceso a la geolocalización del dispositivo. 

  • Derecho al olvido (artículos 93 y 94 de la LOPDGDD). 

En el artículo 93 se establece el derecho frente a los motores de búsqueda y en el art. 94 frente a los servicios de redes sociales y servicios de la sociedad de la información equivalentes. 

El primer precepto recoge lo que ya establecío la Justicia europea en el llamado “Caso Costeja”. Los buscadores, como Google, tienen la obligación de desindexar contenidos a petición de terceros.

En el artículo siguiente se trata de la supresión en las redes sociales, para los casos en que:

  • hubiesen sido facilitados por terceros.
  • cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo.
  • O cuando las “circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los datos por el servicio”. Este precepto se extiende ahora a las redes sociales y otros servicios de internet. En última instancia, la decisión de la supresión de datos en redes sociales corresponde a la propia red social que se trate.
  • Derecho al testamento digital (artículo 96 de la LOPDGDD). 

Es el derecho de la persona a la gestión de su identidad y herencia digital con carácter mortis-causa. Tiene la finalidad de establecer mecanismos para la adopción de decisiones sobre la eliminación, rescate o conservación de su legado digital. 

El legado digital se integra por activos digitales, con valor emocional y económico para la persona. Actualmente con el gran auge de las redes sociales e influencers. Tales cuentas son de gran valor económico como:

  • Blogs,
  • Perfiles en redes sociales (Facebook, instagram, twitter donde contiene gran cantidad de seguidores),
  • Cuentas de correo electrónico,
  • Documentos gráficos
  • Fotográficos digitales, etc.

La Ley en su artículo 3 concede a las personas vinculadas al fallecido el ejercicio de los derechos de acceso, utilización o supresión. Siempre que la persona fallecida no lo hubiese prohibido expresamente. Este precepto precisa de un importante desarrollo reglamentario.

Protección de datos. Inconstitucionalidad. Letradox Abogados

/en /por

Protección de datos. Inconstitucionalidad. Letradox Abogados

El Tribunal Constitucional ya se ha pronunciado. Tal y como anticipamos en nuestro vídeo sobre protección de datos y partidos políticos. Ha declarado nulo el art. 58 bis 1 de la LOREG que permitía a partidos políticos recopilar datos personales sobre opiniones políticas de los ciudadanos y hacer perfiles ideológicos.

El Pleno del Tribunal Constitucional por unanimidad ha declarado inconstitucional el artículo 58 bis 1 de la Ley Electoral General. Dicho articulo permitía a los partidos recopilar datos relativos a las opiniones políticas de los ciudadanos. Estima así el recurso presentado por el Defensor del pueblo.

El tribunal considera que la Disposición Final Tercera de la Ley Orgánica de Protección de Datos (LOPDGDD), que añade un nuevo artículo 58 bis a la Ley Orgánica de Régimen Electoral General (LOREG), vulnera derechos fundamentales de la Constitución.

La sentencia señala que “el legislador no ha precisado qué finalidad o bien constitucional justifica la restricción del derecho a la protección de datos personales ni ha determinado en qué supuestos y condiciones puede limitarse, mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias”.

También, indica que el derecho fundamental afectado es el de protección de datos personales. (art.18.4 CE). Siendo este vulnerado en relación con el art. 53.1 CE. La sentencia estipula que la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales. La ley no identifica la finalidad. Por lo que tal tratamiento no habilita a los partidos políticos. Tampoco ha de limitado los presupuestos. Ni ha establecido garantías adecuadas. Con el objetivo de la debida protección del derecho fundamental a la protección de datos personales.

En definitiva, subraya la sentencia, “la indeterminación de la finalidad del tratamiento y la inexistencia de garantías adecuadas o las mínimas exigibles a la ley constituyen en sí mismas injerencias en el derecho fundamental de gravedad similar a la que causaría una intromisión directa en su contenido nuclear”.

En cuanto a los demás apartado del artículo 58 de la LOREG. Sólo se habla de la inconstitucionalidad del apartado 1 de ese artículo. No se habla del apartado segundo. El cual permite el uso de datos personales recopilados de páginas web. Ni tampoco se cuestiona la inconstitucionalidad del apartado tercero del articulo. Dicho artículo permite el ‘spam’ electoral.

Tales apartados quedan muy limitados. De nada sirve realizar spam político si no se ha realizado un perfilado ideológicamente. Por tanto, el impedir el rastreo de las opiniones políticas termina con la habilitación legal para elaborar perfiles políticos. La cual tiene la finalidad de segmentar y personalizar los mensajes de propaganda electoral. Para así, bombardearnos con sus mensajes propagandísticos con un interés personal.

En cuanto al RGPD. En su artículo 9 del RGPD especifica que está prohibido recopilar o tratar datos especialmente protegidos como son las orientaciones políticas, religiosas, de orientación sexual. Por tanto, ello tiene mayor transcendencia. Porque aparte de elaborar perfiles ideológicos, podrían recabar base de datos de otro tipo de datos como datos de indole sexual.

Los ciudadanos tenemos derecho a tener el control de nuestros datos. Es inadmisible la indefensión de derechos tan importantes como son el derecho a la intimidad, a la libertad ideológica y a la participación política.

Para mas información de interés. Ver nuestro video de Los partidos políticos y la protección de datos. Donde abarcamos diversos temas como: Sabías que los partidos políticos pueden revisar las webs y redes sociales y hacer tu perfil ideológico? ¿Se puede producir en España un escándalo como el de Cambridge Analytica?

PYMES y datos

Medidas de seguridad del nuevo reglamento de protección de datos.

/en /por

Medidas de seguridad del nuevo reglamento de protección de datos.

1. Hemos recibido muchas consultas sobre qué medidas de seguridad debemos implementar en las empresas para cumplir con la normativa sobre protección de datos. Si hay que poner contraseñas en los ordenadores, o si necesitamos guardar los documentos bajo llave… ¿Son todas estas medidas obligatorias?

– La nueva normativa sobre protección de datos no recoge un catálogo de medidas tasadas como incluía anteriormente el reglamento de desarrollo de la LOPD.
Responsabilidad proactiva, requiere un enfoque basado en el riesgo: en función del riesgo que presente la empresa, debemos tomar unas medidas de seguridad u otras.
– Garantizarse una seguridad adecuada de los datos (art. 5 RGPD)
– Para saber qué medidas son las más adecuadas: análisis de riesgos y, en su caso, evaluaciones de impacto
– Habrá que tener siempre en cuenta el coste de la técnica, los costes de aplicación, la naturaleza, alcance y fines del tratamiento y los riesgos para los derechos y libertades

2. sin embargo, el Reglamento General de Protección de Datos y la LOPDGDD si recogen algunas medidas como obligatorias. ¿No es así?

– Una serie de medidas que siempre serán obligatorias cuando se den determinadas circunstancias:
Contar con un Delegado de Protección de Datos
Registro de actividades del tratamiento
Evaluaciones de impacto: privacidad desde el diseño
Consultas previas a la autoridad de control
Cumplimiento del deber de informar
Garantizar el cumplimiento de los derechos para los interesados
Informar sobre las brechas de seguridad

3. Entonces, por donde debemos empezar a la hora de implementar las medidas de seguridad dentro de una empresa

– en primer lugar, comenzaremos siempre por una evaluación inicial de la situación y un análisis de riesgos o, en su caso, evaluación de impacto. Del mismo modo, Habrá que identificar las amenazas (accesos ilegítimos, modificación de los datos no autorizada, eliminación de datos)
– Será necesario el asesoramiento de un experto
– Establecer protocolos para el cumplimiento

4. Destacan especialmente las figuras del “Análisis de Riesgos y la Evaluación de Impacto”. ¿Cuándo debemos realizar uno u otro?

– Va a depender en gran medida de la probabilidad de que se produzca un riesgo y la gravedad en caso de producirse
– La evaluación de impacto es una herramienta preventiva que permite identificar, evaluar y tratar los riesgos.
– Algunos supuestos tasados por la ley o Reglamento:

Art. 35: Alto riesgo por su naturaleza, alcance, contexto o fines
(Especialmente si utiliza nuevas tecnologías)
 Evaluación sistemática a gran escala de zonas de acceso público
 Tratamiento a gran escala de datos especialmente protegidos
 Uso de tecnologías invasivas

o LOPDGDD
El Art. 28 considera de especial riesgo determinados tratamientos:

¨ Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
¨ El tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
¨ Cuando el tratamiento afecte de forma no incidental o accesoria a categorías especiales de datos
¨ El tratamiento sirva para crear perfiles
¨ Se traten datos de colectivos especialmente vulnerables
¨ Cuando se realicen tratamientos masivos de datos
¨ Se vayan a transferir los datos a terceros países sin nivel adecuado de protección
¨ O así se prevea en códigos de conducta o esquemas de certificación

– En todo caso, es el responsable quien tendrá que justificar que la evaluación de impacto no era necesaria

5. ¿Puedo seguir aplicando las mismas medidas de seguridad que aplicaba hasta ahora?

– Siempre que hayas realizado el correspondiente análisis de riesgos o evaluación de impacto y del mismo se desprenda que son las más adecuadas.

6. ¿Qué pasa si no cumplo?

– Si se trata de alguna de las medidas obligatorias: posible sanción o Infracción grave

(art. 37.t LOPDGDD) “El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible”.

– Grave riesgo de brechas de seguridad
Perjuicios reputacionales