Entradas

La página web de mi negocio incorpora un botón de “Me gusta” de nuestro perfil de empresa en Facebook, ¿Está permitido por la normativa de europea de protección de datos?

La página web de mi negocio incorpora un botón de “Me gusta” de nuestro perfil de empresa en Facebook, ¿Está permitido por la normativa de europea de protección de datos?

Recientemente hemos conocido el fallo de la Sentencia del Tribunal de Justicia de la Unión Europea (Sala Segunda) de 29 de julio de 2019, en relación al procedimiento prejudicial Nº C- 40/17 .

En este mismo,  se determina que quién incorpora a su página web corporativa un botón de“me gusta” ( Facebook ) estaría haciendo un tratamiento de datos de carácter personal.

Este,  consiste  en recabar determinados datos de esos usuarios y facilitárselos a Facebook, que sería el  corresponsable de dicho tratamiento.

Los antecedentes del caso emergen de  una marca de ropa alemana denominada Fashion ID GmbH & Co. KG. Esta,  disponía en su página web del clásico botón de “me gusta” al cual puede acceder el usuario clicando sobre el mismo, pasando a convertirse en follower.

Además, en el caso de que  el usuario careciese  de perfil personal en Facebook, la empresa domiciliada en Irlanda, recibe determinados datos que después utiliza para finalidades propias.

El objetivo de incorporar esta funcionalidad a la página web de la empresa es claramente comercial, pues con ello podría optimizar la publicidad destinada a sus potenciales clientes, obteniendo con ello un beneficio económico.

Una asociación de consumidores alemana consideró que esta práctica vulneraba tanto la normativa interna del Estado alemán sobre competencia como la legislación europea de protección de datos.

Es por eso que,  acudió a los tribunales alemanes en defensa de los derechos de los consumidores por ellos representados.

El Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania, eleva cuestión prejudicial al Tribunal de Justicia de la Unión Europea.

El objetivo principal es que  resuelva, principalmente, dos puntos esenciales:
– Si una asociación de consumidores es competente para interponer acciones judiciales en materia de protección de datos

– Si la empresa de moda es considerada responsable del tratamiento. Por introducir un “módulo social” de Facebook en su página web. A la luz de la normativa europea sobre protección de datos.

Sobre el primero de estos puntos: dice la Sentencia analizada que no existe normativa europea. Ni que se oponga a “una normativa nacional que permite que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales. Ésta serán contra el presunto autor de una infracción de ese tipo”.

El Reglamento General de Protección de Datos de 2016:  autoriza expresamente en su artículo 80 a los particulares. Lo hace en relación a la protección de sus datos personales.

En este sentido; dicho precepto certifica:

“Dar mandato a una entidad, organización o asociación sin ánimo de lucro. La cual haya sido correctamente constituida con arreglo al Derecho de un Estado miembro. Esto es para que presente en su nombre la reclamación. También para que ejerza en su nombre los derechos”.

Por lo tanto, podemos interpretar lo siguiente. Que la asociación de interés público en defensa de los consumidores que plantea el litigio está perfectamente capacitada para ello. Se entiende que es en el plano procesal.

En relación a la segunda cuestión controvertida. Hemos de tener en cuenta que cuando una empresa inserta en su web un módulo social de Facebook: está permitiendo que la empresa Facebook Ireland ltd acceda a determinados datos de sus usuarios.

Si bien una vez el usuario es redirigido a la red social, la empresa de moda no tiene posibilidad de saber qué se tratamiento se realiza de esos datos.

Según la directiva de 1995, aplicable al caso, es considerado responsable del tratamiento: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales”.

Todo ello, ; “en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o [de la Unión], el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o [de la Unión]”;

Se trata de una definición amplia del concepto de responsable, muchas veces matizado ya por la jurisprudencia del TJUE.  Precisamente se pretende una mayor protección de los particulares frente al tratamiento de sus datos de carácter personal.

Nos encontraríamos en este caso ante una responsabilidad conjunta en determinadas fases del tratamiento,. Esta misma pasará a compartirse  entre la empresa textil y Facebook Ireland ltd.
Sería en las fases de recogida de datos y su comunicación a Facebook donde la empresa de moda sería responsable. Aunque,  sin perjuicio de que existan otras fases del tratamiento  que puedan  realizarse  únicamente por Facebook, sin conocimiento ni intervención de la marca de moda.

Así, reza la sentencia  que: “el administrador de un sitio de Internet  que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante puede ser considerado responsable del tratamiento “.

Será por tanto,  responsable la empresa textil de las fases del tratamiento que realiza, debiendo entonces respetar la normativa en materia de protección de datos. Así como,  cumpliendo con las obligaciones que la legislación impone a los responsables del tratamiento.

Deberá informar al usuario del tratamiento de datos que va a realizarse, es decir, la recogida de los mismos y su posterior comunicación a Facebook. Asimismo, el  modo en el cuál puede ejercitar sus derechos al respecto.

Además, no podrá realizar dicho tratamiento si no está amparado por alguna de las fuentes de legitimación que recoge la normativa en materia.

En definitiva,  las empresas pueden incorporar este botón social en sus páginas web, pero deberán hacerlo con las debidas garantías.

Además, se les exigirá  un escrupuloso respeto a la legislación vigente en materia de protección de datos de carácter personal (Reglamento 2016/679 ).  Para  España, encontramos la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

 

En LETRADOX®ABOGADOS, conocemos de forma experta la materia. Si necesitas resolver cualquier duda, estamos a tu disposición. ¡Protege tus datos con Letradox@Abogados y su equipo de abogados profesionales!

 

Contactar con cita previa:

Despacho en Madrid:
Calle Jorge Juan nº141 Esc.Izd. 3ºA (junto a metro O´Donnell).

Despacho en Alcalá de Henares:
Calle Mayor nº26, 2ºB “Oficina Insula”.
(Contactar para reservar cita previa)

Email: info@letradox.es

Teléfonos: 912980061645958948

 

 

LETRADOX® entrevista al Referente en Asfalto y Carretera, J.J Potti

 

 

En #REFERENTES de LETRADOX®️Abogados entrevistamos al Presidente de ASEFMA. Coincidiendo con los miles de desplazamientos por carretera en verano, qué mejor que conocer al #Referente en #Carretera, asfalto y movilidad, don Juan José Potti.

 

El Presidente de ASEFMA y director de la revista de Asfalto y Pavimentación nos habla de asfalto 4.0, la transformación digital del sector, coches autónomos y mucho más en esta entrevista…

 

Las entrevistas a los #REFERENTES del Derecho y la Empresa , en LETRADOX Abogados. www.Letradox.com

 

Defensa, asesoramiento, formación e información ¡Únete a la Comunidad LETRADOX®️! www.letradox.com Entrevista por Mercedes de Parada y Marián Rojo, abogadas de LETRADOX.

 

#coches #abogados #propiedadintelectual #abogadoscoches #carretera #transformaciondigital @itafec @asefma_es @jjpotti @repsol @aecarretera @Cepsa_ES @eapa_org @fomentogob

LETRADOX® entrevista al Presidente de la Asociación de Delegados de Protección de Datos. Referente en Privacidad.

LETRADOX® entrevista al Presidente ADPD de España

 

LETRADOX® entrevista al Presidente ADPD de España.

🎯Hoy en #Referentes de LETRADOX®️Abogados el Presidente de la Asociación Española de Delegados de Protección de Datos, don Jorge Badiola. El #Referente en Privacidad. 

La AEDPD está integrada por la élite del conocimiento en España en privacidad. 

¡Disfrutad de la entrevista de la letrada Marián Rojo a todo un #Referente! 

Las entrevistas a los #Referentes del mundo del Derecho y de la Empresa, en LETRADOX 

LETRADOX Abogados 

www.letradox.com 

 

#DPD #Abogadosnuevastecnologias #nuevastecnologias #Abogados #Privacidad #ProteccióndeDatos #DelegadoProtecciondedatos #bigdata #Legaltech #Letradox 

Infracciones, multas, sanciones

Guía de actuación ante la sanción de la AEPD. Letradox Abogados

Guía de actuación ante la sanción de la AEPD. Letradox Abogados.

La AEPD cuando recibe una denuncia o reclamación. Solicita los siguientes documentos que sería conveniente que se aportaran ante la AEPD. Con la finalidad de darle respuesta a la solicitud de información formulada por la Agencia.

  1. Si la reclamación esta relacionada con la instalación de cámaras de videovigilancia:
  • Se tiene que facilitar a la Agencia fotografías del cartel o carteles informativos en las que se posible apreciar tanto su ubicación como los datos mostrados.
  • Copia de las comunicaciones informativas remitidas a los trabajadores para informales de la finalidad de la instalación de las cámaras.
  • En el caso de que se haya encargado a un tercero la visualización y tratamiento de las imagines captadas por las cámaras, aportar copia del contrato suscrito.
  • Marca y modelo de las cámaras y lugares donde están instaladas. De forma que se acredite las imágenes captadas por las cámaras.
  • Indicación del plazo de conservación de la imágenes registradas. Medidas adoptadas para garantizar que solo personal autorizado accede a las grabaciones.
  • Copia del registro de actividades del tratamiento en relación al tratamiento realizado.

2. Si la reclamación esta relacionada con la inclusión en un fichero de solvencia patrimonial:

  • Documentos justificativos del requerimiento previo de pago y de su entrega a su destinatario o de su no rechazo.
  • Documento justificativo de la exclusión de fichero de morosidad, en su caso.
  • Contrato con el afectado.
  • Documento acreditativo de la identidad del afectado solicitado en el momento de la contratación.
  • Detalle de los datos del afectado que obran en sus sistemas y origen de los mismos.

3. Si la reclamación esta relacionada con la publicación de datos personales en internet:

  • Datos de la cuenta utilizada para la publicación (correo electrónico, IPS, etc).
  • Política de privacidad e información proporcionada al usuario a la que se refiere el art.13 RGPD.
  • Documento justificativo del consentimiento del afectado para la publicación.
  • Documento justificativo de la eliminación de la información, en su caso.
  • Documento justificativo de la cancelación de los datos, en su caso.
  • Documento justificativo de la corrección del error ( en casos de cruces de datos, por ejemplo).

4. Si la reclamación esta relacionada con publicidad y comunicaciones comerciales o promocionales:

  • Documento acreditativo del consentimiento del afectado. Origen de los datos personales del afectado en sus sistemas y modo de obtención.
  • Documento justificativo de la cancelación de datos personales para tratamiento con fines publicitarios, en su caso.

Una vez que haya aportado la documentación requerida, la agencia adopta:

  • La decisión adoptada a propósito de esta reclamación.
  • En el supuesto de ejercicio de derechos regulados del artículo 15 al 22 del RGPD, acreditación de la respuesta facilitada al reclamante.
  • Informe sobre las causas que han motivado la incidencia que ha originado la presente reclamación.
  • Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares, fecha de implantación de las mismas y controles efectuados para comprobar su eficacia.
  • Cualquier otra que considere relevante.

En cuanto a la forma en la que podrá iniciarse el procedimiento dependerá del tipo de procedimiento.

Puede ser de oficio o a instancia de parte:

  • Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD. En este caso, cuando se presentase ante la AEPD una reclamación. La agencia evalúa su admisibilidad a trámite.  Por tanto, debe tenerse en cuenta que no toda reclamación determina en el inicio automático del procedimiento.
  • Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD y la normativa española de protección de datos. Se iniciará de oficio por la AEPD o por la reclamación interpuesta por el interesado.
  • Por la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la UE de la reclamación formulada ante la agencia.


Plazos de resolución del procedimiento:

Los plazos en los que la AEPD deberá de dictar resolución vendrán determinados por el supuesto de hecho que haya motivado la incoación del procedimiento.

  • En los supuestos en que el procedimiento se refiera exclusivamente a la falta de atención de los artículos 15 a 22 del RGPD. El plazo para resolver el procedimiento será de seis meses. (A contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite).
  • Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD. El procedimiento tendrá una duración máxima de nueve meses.
  • En el caso de que la AEPD recibiese comunicación por parte de la autoridad de control de otro Estado miembro de la UE de la reclamación formulada ante la misma. El plazo será de nueve meses.

Efectos de la ausencia de resolución en el plazo legalmente establecido.

Si la AEPD no cumple con los plazos establecidos. La falta de resolución expresa dentro del plazo establecido. Conlleva a unas diferentes consecuencias:

  • Se considera estimada la reclamación por la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.
    En los procedimientos en los que la AEPD actué de oficio. Transcurridos nueve meses a contar desde la fecha del acuerdo de inicio. Se producirá su caducidad. Lo cual conlleva al archivo de actuaciones.

Las resoluciones de la agencia ponen fin a la vía administrativa. Ello significa que si una persona o entidad no esta conforme con la resolución. Puede recurrirla. Tiene dos vías:

  • Recurso de Reposición ante el Director de la Agencia Española de Protección de Datos
  • Recurso contencioso-administrativo ante la Audiencia Nacional.

Estos dos recursos no son excluyentes entre ellos. Se puede interponer recurso de reposición. En el caso de que la resolución sea negativa, se puede interponer recurso contencioso-administrativo. También, cabría la opción de interponerlo directamente el recurso contencioso-administrativo. Por tanto, si queremos recurrir una resolución de la AEPD tenemos dos opciones.

Recurso de Reposición ante el Director de la Agencia Española de Protección de Datos:

  • El plazo para interponer el recurso de reposición es de un mes a contar desde que se notificase la resolución de la AEPD.
    Contra la resolución de este recurso solo se puede acudir a los Tribunales a través de la interposición de un recurso contencioso-administrativo.
  • El plazo de la AEPD para contestar este recurso es de un mes.

Recurso contencioso-administrativo ante la Sala contencioso-administrativa de la Audiencia Nacional:

  • El plazo para interponer el recurso contencioso administrativo es de dos meses a contar desde que se notifica la resolución de la AEPD.

En caso de que primero se interponga recurso de reposición ante el Director de la AEPD, el plazo para interponer el recurso contencioso ante la Audiencia Nacional será: dos meses desde que se dicte la resolución del recurso de reposición. Sin embargo, si la AEPD no resuelve el recurso de reposición. El plazo es de seis meses a contar desde que debiera haberse resuelto el recurso de reposición.

PYMES y datos

Implantación Protección de datos E-comerce. Letradox Abogados

Implantación Protección de datos E-comerce. Letradox Abogados

La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) es la normativa que regular las condiciones de los negocios online. El hecho de que estas actividades se sitúan en el ámbito del consumo, se ha de aplicar la Ley General para la Defensa de Consumidores y Usuarios. Por lo que se tiene que tener en cuenta las Condiciones Generales de Contratación.
 
Se tiene que indicar la Protección de los datos personales e información acerca de las condiciones de su tratamiento.

– Dar información al usuario de las condiciones de contratación y de los productos o servicios que se ofrecen en la venta online. Al igual que la posibilidad de rescisión del contrato y de las garantías que tenga el producto o servicio.

Ello, en virtud al principio de transparencia obliga a  informar las condiciones de compra, el aviso legal y la política de privacidad,  todos los detalles relacionados con la empresa, su actividad  y las condiciones comerciales. 

– Obtención del consentimiento. El consentimiento tiene que ser una clara acción afirmativa. El consentimiento ha ser expreso, explícito y claro. No cabe la ambigüedad. Para que los usuario s acepten las condiciones tendrán que tener claras las condiciones en las que se recopilan los datos, la finalidad del tratamiento y el plazo de conservación.

También se tendrá que reflejar el derecho que tiene para reivindicar los derechos ARCOPOL, por ejemplo, que se proceda a su eliminación o modificación en cualquier momento de algún dato personal.

Por tanto, para que nuestro usuario de su consentimiento ha de quedar reflejado de forma clara los siguientes puntos muy importantes en una Política de privacidad. Requisitos informativos como:

– Los datos de contacto del Delegado de Protección de Datos (si procede).
– Que datos se recogen, clasificando su categoría de los datos. Si son datos de categorías especiales o datos de carácter básico.
– La base jurídica o legitimación del tratamiento.
– El plazo o los criterios de conservación de la información.
– La existencia de decisiones automatizadas o elaboración de perfiles.
– La previsión de transferencias internacionales a terceros países.
– Los destinatarios de esa información, en el caso de que hayan cesiones de datos a terceros.
– El derecho a presentar una reclamación ante las Autoridades de Control.

En virtud de la LSSI, es muy importante implantar en toda página web, un banner con el AVISO LEGAL.
En el se ha de incluir la información del titular legal del sitio web y sus condiciones de utilización. Las cuales incluyen las propiedades industrial e intelectual y las responsabilidades ante fallos, enlaces y comportamientos.

Muy importante, La política de privacidad, que tiene que estar adaptada de manera estricta a las condiciones establecidas en la LOPDGD. Tendrá que ser comunicada de manera clara y con información exhaustiva acerca de los derechos que asisten a los ciudadanos.

Por último, en relación con la política de cookies. Se solicitará el consentimiento explícito una vez que el usuario navega en la página web.

Se tiene que implantar un procedimiento visible y accesible a los usuarios. También, se debe de informar de forma muy rigurosa acerca de tipo de cookies utiliza el sitio web y las finalidades que tenga en función de la clase de cookies que se ejecute en la web.

Se tiene que estipular:

– El concepto de cookies.

– Autorización para el uso de cookies.

– Tipos de Cookies que se utilizan en la Web.

– Cookies propias insertadas por el Titular.

– Cookies de terceros.

– Cookies de redes sociales: el Titular utiliza cookies de Facebook, Twitter, Linkedin y Google Plus. Para que el usuario pueda compartir contenidos de la Web en las citadas redes sociales. O bien para facilitarle el registro en la Web.

– Cookies para la medición del tráfico en los Portales: el Titular utiliza cookies de Google Analityc, por ejemplo. Para recopilar datos estadísticos de la actividad de los usuarios en el sitio Web. De forma poder mejorar los servicios prestados a los usuarios.

Estas cookies permiten analizar el tráfico de usuarios generando un ID de usuario anónimo. Que se utiliza para medir cuántas veces visita el Sitio un usuario. Asimismo, registra cuándo fue la primera y última vez que visitó la Web, cuándo se ha terminado una sesión y el origen del usuario.

– Cookies publicitarias: El Titular utiliza cookies almacenadas por terceras empresas que gestionan los espacios que sirven publicidad y a las que los usuarios acceden. Estas cookies permiten medir la efectividad dE las campañas online. También, proporciona la información de interés del usuario y le ofrece contenidos publicitarios de su preferencia.

– Configuración del navegador: Para la desactivación de las cookies en los diferentes navegadores.

En definitiva, los elementos legales que deben aparecer el página web a modo de información que el usuario tiene derecho a conocer antes de realizar la compra, sería:

– Aviso legal.

– Política de Privacidad.

– Política de cookies.

– Condiciones de contratación.

– Cláusulas informativas a pié de formulario. Una primera capa informativa que al hacer click en la política de privacidad, nos lleve a una segunda capa informativa done este por completo la política de privacidad.

necesidad de un delegado

Efectividad en los nuevos derechos de garantías digitales. Letradox abogados

Efectividad en los nuevos derechos de garantías digitales. Letradox abogados

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales. Incorpora a su objeto la importante novedad de dirigirse a “garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución”.

Este contenido se sitúa en el Título final de dicha Ley, el X “Garantía de los derechos digitales”. Compuesto por 19 artículos (del 79 al 97). Divididos en cuatro bloques: Derechos de los ciudadanos en internet (artículos 79 a 82, 96 y 97). Derechos  de los menores y la educación (artículos 83, 84 y 92). Derechos relacionados con el ámbito laboral (artículos. 87 a 91). Y Derechos de la era digital y las comunicaciones: (artículos 79, 85, 86  y 93 a 95).

En particular debemos de mencionar los mas relevantes:

  •  Derecho de rectificación digital (artículo 85 de la LOPDGDD). 

El “derecho a la libertad de expresión en Internet”. Consiste en la práctica de que esta libertad no se vea limitada mediante técnicas de filtrado o bloqueo automático, ataques de denegación de servicio, eliminación de resultados de búsquedas y otros mecanismos ilícitos.

Establece un requisito doble para poder la rectificación:

  • Ha de tratarse de una información inexacta.
  • Información perjudicial al interesado.La ley no obliga a eliminar la información, sino a añadir un aviso visible aclaratorio donde se indique que la noticia no refleja la situación actual de la persona.

También estipula la orden a  “los responsables de redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación”.

Hasta ahora las opiniones no eran objeto de rectificación.  Por tanto, a las redes sociales se les pedirá es que establezcan unos protocolos. Para que puedan recibir peticiones de rectificación.  Y se reenvíen casi automáticamente al titular de la cuenta. Ello tendrá consecuencias negativas para la libertad de expresión en la red. 

  • Derecho a la actualización de informaciones en medios de comunicación digitales (artículo 86 de la LOPDGDD). 

Es el derecho a la actualización en  los medios de comunicación digitales “cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio”. 

Es complicado ponerlo en práctica, ya que muchas opiniones en medios de comunicación son anónimas. También, influye la gran cantidad de medios. Por lo que dificulta la efectividad de las rectificaciones.

Derechos en el ámbito laboral. La ley concede una gran importancia a los derechos digitales en el ámbito laboral:

  • Derecho a la intimidad y uso de dispositivos digitales (artículo 87).

Frente a este derecho que se otorga a los trabajadores. Se establece la obligación de los empleadores de “establecer criterios de utilización”.

También, estipula que el empleador ha de indicar “la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados”. Deberá especificar en su política interna  el uso de los soportes y las posibilidades de acceso por el empleador al contenido de esos dispositivos digitales. 

Es muy importante informar a los trabajadores por escrito. En el caso de que el trabajador haga un uso inadecuado de los dispositivos digitales. Si no se encuentra  estipulado en la política interna de la empresa y tampoco ha informado a su trabajador. No podría auditar los dispositivos y usarlos como prueba ante un despido disciplinario siendo un despido improcedente.

En definitiva, son muy importante las políticas de privacidad internas en una empresa respecto al uso adecuado de los dispositivos digitales.

  • Derecho a la desconexión digital (artículo 88 de la LOPDGDD).

Es el derecho a interrumpir la conectividad y a la implantación de medidas de desconexión. Es el derecho para no ser requerida o localizada a través de internet. Se garantiza el derecho al descanso, intimidad personal y familiar del trabajador.

  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo (artículo 89 de la LOPDGDD). 

Se permite la videovigilancia en el lugar de trabajo. Pero solo “para el ejercicio de las funciones de control de los trabajadores o los empleados públicos”. Se señalan dos importantes obligaciones:

No podrán estar instalados en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos. 

Se ha informar con carácter previo al trabajador de forma expresa, clara y concisa.

Se reconoce a la utilización de sistemas de grabación de sonidos en el lugar de trabajo. Sólo será posible  en caso de riesgos “relevantes” para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y respetando los principios de proporcionalidad e intervención mínima.

  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (artículo. 90 de la LOPDGDD). 

Se permite estos sistemas siempre con la previa obligación de informar al trabajador. Ello esta en plena actualidad a raíz del registro horario.  Ello ha provocado la creación de aplicaciones móviles en la que se solicita el acceso a la geolocalización del dispositivo. 

  • Derecho al olvido (artículos 93 y 94 de la LOPDGDD). 

En el artículo 93 se establece el derecho frente a los motores de búsqueda y en el art. 94 frente a los servicios de redes sociales y servicios de la sociedad de la información equivalentes. 

El primer precepto recoge lo que ya establecío la Justicia europea en el llamado “Caso Costeja”. Los buscadores, como Google, tienen la obligación de desindexar contenidos a petición de terceros.

En el artículo siguiente se trata de la supresión en las redes sociales, para los casos en que:

  • hubiesen sido facilitados por terceros.
  • cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo.
  • O cuando las “circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los datos por el servicio”. Este precepto se extiende ahora a las redes sociales y otros servicios de internet. En última instancia, la decisión de la supresión de datos en redes sociales corresponde a la propia red social que se trate.
  • Derecho al testamento digital (artículo 96 de la LOPDGDD). 

Es el derecho de la persona a la gestión de su identidad y herencia digital con carácter mortis-causa. Tiene la finalidad de establecer mecanismos para la adopción de decisiones sobre la eliminación, rescate o conservación de su legado digital. 

El legado digital se integra por activos digitales, con valor emocional y económico para la persona. Actualmente con el gran auge de las redes sociales e influencers. Tales cuentas son de gran valor económico como:

  • Blogs,
  • Perfiles en redes sociales (Facebook, instagram, twitter donde contiene gran cantidad de seguidores),
  • Cuentas de correo electrónico,
  • Documentos gráficos
  • Fotográficos digitales, etc.

La Ley en su artículo 3 concede a las personas vinculadas al fallecido el ejercicio de los derechos de acceso, utilización o supresión. Siempre que la persona fallecida no lo hubiese prohibido expresamente. Este precepto precisa de un importante desarrollo reglamentario.

Drones y protección de datos. Letradox Abogados

Drones y protección de datos. Letradox Abogados

En los últimos años el auge de los drones en la sociedad ha ido en aumento. Desde un uso recreativo a un uso profesional. La problemática surge en materia de protección de datos. Estos dispositivos suelen estar dotados de medios para la grabación y reproducción de imagen y sonido.

Ya el artículo 26 del Real Decreto 1036/2017, de 15 de diciembre. Por el que se regula la utilización civil de las aeronaves pilotadas por control remoto. Prevé la obligación de los operadores de drones de:“adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad”. Pero, ello no fue suficiente ya que surgen muchas dudas respecto al tratamiento de datos.

Por ello, la Agencia Española de Protección de Datos ha publicado la Guía Drones y Protección de Datos. Distingue entre:

  •  Las que no tratan datos.
  • Las que de forma eventual podrían captar información.
  • Aquellas que implica un tratamiento de datos personales (videovigilancia o la grabación de eventos).

La guía no discrimina entre uso privado y profesional. Siendo aplicable en ambos casos. Tanto para los operadores que a través de sus drones registren y/o procesen datos, tales como , imágenes, vídeos, sonidos, datos biométricos, geolocalizaciones, entre otros, relativos a personas identificadas o identificables. 

Tipos de operaciones según el tratamiento de datos

Las operaciones con drones se pueden clasificar en tres categorías según su finalidad:

  • Las que no incluye el tratamiento de datos personales:

Son operaciones con drones con configuraciones muy básicas que pueden o no incluir GPS para asistencia de vuelo pero carecen del uso de captación de imágenes. 

En esta categoría en el ámbito recreativo se incluye el uso de drones con GPS y cámaras. El uso de tales imágenes esta destinado a un uso domestico. O exclusivamente personal que no permite la identificación de personas en las imágenes.  

No se aplica la normativa de protección de datos personales. No obstante,  hay que tener en cuenta la obligación a respetar las zonas privadas (como jardines, patios, terrazas, interior de viviendas, etc).

En caso de que contengan imágenes o datos relativos a personas, matriculas de vehículos, viviendas u objetos que permitan la identificación de personas  habría que anonimizarlo mediante técnicas de difuminado.

  • Las que no incluye el tratamiento de datos personales a priori pero existe riesgo de forma colateral

En operaciones como la inspección de infraestructuras, levantamientos topográficos, inspecciones y/o tratamientos del terreno u otros servicios de fotografía y vídeo (para cine, TV, publicidad, etc.…).

A priori no  incluye el tratamiento  de datos personales porque esa no es su finalidad. Sin embargo, existe el riesgo de que se produzca captura de datos personales de forma no intencionada. Por ejemplo, la captura de imágenes de personas en segundo plano.

Ello podría tener impacto sobre el derecho a la protección de datos y la intimidad de las personas. Para evitarlo aconseja AEPD, minimizar la presencia de personas y objetos que permitan su identificación. Realizando los vuelos de los drones en horarios con poca afluencia de personas o controlando el acceso al lugar del rodaje.

Otra recomendación es minimizar la captura de imágenes a lo realmente necesario. Promover y aplicar características de privacidad desde el diseño, como por ejemplo implantando mecanismos para iniciar y detener la captura de datos en cualquier momento durante la operación. Realizar capturar a mucha distancia para que no sea posible la identificación de personas.

Por ultimo, aplicar el principio de minimización de protección de datos. Es decir, recabar los datos estrictamente necesarios. Evitando el almacenamiento de información innecesaria relativa a personas. Por ejemplo, si las imágenes tienen por finalidad un levantamiento topográfico de una zona de costa, no tiene sentido que se almacene imágenes con los bañistas.

  • Las que tienen tratamiento de datos personales. 

Como es el caso de la videovigilancia o la vigilancia o grabación de eventos.  En estas operaciones de aplicación el RGPD y la LOPDGDD. Cuando un dron realice funciones de captación de imágenes con fines de videovigilancia de lugares privados, le será de aplicación el RGPD.

Implica la obligatoriedad  de cumplir con el deber de información del artículo 13. Pues la realización de un registro de actividades de tratamiento, o la adopción de medidas de seguridad en función del análisis de riesgo realizado. 

El deber de informar sobre el tratamiento de datos personales con fines de seguridad que incluyan captación de imágenes mediante carteles informativos en los accesos a las zonas videovigiladas y de forma visible.

El cartel informativo, debe de indicar:

  • La finalidad,
  • Quien es el responsable del tratamiento
  • La forma en la que los afectados pueden ejercer sus derechos. 

Se deberá de tener en cuenta lo previsto en el artículo 22 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Otro mecanismo para cumplir con el derecho de información. Que se proporcione por medios electrónicos, señalizaciones en el evento, hojas informativas, publicaciones en redes sociales, folletos o pósteres .

Por lo tanto, se debe de encontrar el modo más apropiado de informar a quienes van a verse afectados por el tratamiento de datos.

Tomar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos para los derechos y libertades de las personas. El objetivo es prevenir cualquier tratamiento no autorizado durante la fase de transmisión de los datos capturados.

Otras medidas de seguridad para tales tratamiento. Seria eliminar o anonimizar cualquier dato personal innecesario. Incorporar  el principio de privacidad desde el diseño en la configuración de la acción de videovigilancia y grabación de eventos. Hacer que los drones sean lo más visibles e identificables posibles. Para que el interesado sepa quien es el responsable del tratamiento de datos.

PYMES y datos

Los textos legales gratis, salen caros. Letradox Abogados

Los textos legales gratis, salen caros. Letradox Abogados

Problemas ante la falta de asesoramiento en protección de datos:

La revolución de internet ha conllevado un gran auge de información respecto a cualquier tema. Al igual que mucha desinformación. Por ello, es importante que se tenga en cuenta que el uso de textos legales gratis es inadecuado para tu empresa.

Si buscas asesoramiento para tu página web. No debes de realizar un copia y pega de otra página web. Las políticas de privacidad se han de adaptar a cada empresa. Varía según la actividad de la empresa. Por ello deviene imprescindible un asesoramiento previo de un experto en la materia.

La ausencia de información legal o mejor dicho de desinformación provoca grandes problemas. Es vital que en las páginas web  se adecuen a la normativa. Puesto que es la cara visible de tu empresa cualquier persona puede acceder a ella. 

Por ende, es importante e imprescindible  los requisitos legales  de su pagina web. Ha de tener implantada en la web un aviso legal adecuado, una política adecuada de privacidad  y política de cookies. Se aconseja revisar y redactar correctamente los textos legales que deben de aparecer en su web. Se tiene que tener en cuenta la actividad y las funcionalidades que incorpore a su plataforma online.

Hay muchas reclamaciones  que se producen por la ausencia de tales políticas. O que dichas políticas no sean claras, precisas y  comprensibles. 

En el caso de que su página web venda  productos u oferte sus servicios online. Habrá que diseñar el proceso de contratación online y redactar de forma adecuada las condiciones que está pactando con el consumidor  en virtud de lo dispuesto legalmente por la materia reguladora del comercio electrónico.

La ley es clara en el sentido de que se debe de poner en  conocimiento del usuario la motivación de la aplicación de las cookies. Al igual que la posibilidad de no aceptar las mismas y el procedimiento de desactivación de las cookies.

Una grave consecuencia de copiar textos legales sería la reputación online de la empresa por un uso inadecuado de las políticas de privacidad. El ataque a la reputación de una empresa realizado a través de Internet es difícil de reparar de manera total.  Ello se debe a que la difusión de una información publicada en las redes no tiene límites. Por ejemplo: un usuario denuncia a través de las redes sociales el uso inadecuado de la empresa por copiar textos legales o por  estar inadaptado. Ello causaría un grave perjuicio en la empresa. Provocaría desconfianza entre los usuarios. Por la falta de profesionalidad y rigor de la empresa. Pese a que la información en cuestión sea retirada por contravenir los derechos de la empresa,  siempre se pueden mantener copias, pantallazos o descargas realizados antes de la eliminación de dicha información.

Las empresas han de ser conscientes a lo que se exponen si no se asesoran adecuadamente. Han de considerar que si no adecuan sus políticas de privacidad  les causaría un gran perjuicio tanto reputaciones como económico. El hecho de que las páginas web son fuentes accesibles al público se ha de ser exhaustivo con lo que se pública. Aunque se consiga retirar los comentarios desprestigiando a la empresa, tales datos siempre quedaran ahí.

Es primordial forjar una buena reputación de la empresa. Es preciso que la empresa sea consecuentes con los valores de su marca. Puesto que las comunicaciones que mantengan con los usuarios, clientes o potenciales clientes deben transmitir profesionalidad pero a la vez transparencia y cercanía.  Por ello, contratar un buen servicio de asesoramiento experto en la materia es coherente para tener una buena reputación.  Las empresas han de establecer las bases  de sus políticas internas de procedimiento para  generar confianza y comprobar que las comunicaciones en los diferentes medios empiezan a dar sus frutos.

El uso de textos legales gratis no adaptados pueden causar un gran perjuicio a la reputación de una empresa. Afecta a la imagen y a la identidad de los negocios. 

Otra consecuencia no menos importante, sería las sanciones económicas en caso de denuncia ante la Agencia Española de Protección de Datos, puesto que al no tener de forma adecuada la web  vulneraría el RPGD y la LOPDGDD. 

Si existe un asesoramiento nulo en la materia, no sólo es importante la página web sino la política interna de la empresa. 

La empresa ha de tener un manual de procedimiento. Este documento es de seguridad para la empresa en el se indica todo el protocolo a seguir: en caso de brechas de seguridad, copias de respaldo y  seguridad, control de accesos, control de soportes, medidas adecuadas de seguridad, y ejercicio de derechos los interesados. 

También ha de contar con un análisis de riesgo  de los tratamientos que realice la empresa. Este análisis es exhaustivo, se tiene que realizar paso por paso e ir indicando las vulnerabilidades que se encuentras y las medidas correctoras que procedan, para anular dicha vulnerabilidad. 

Por ultimo, dependiendo de la actividad a que se dedique la empresa, varía los tratamientos de datos personales que llevara a cabo. Tales tratamiento  de datos personales se han de clasificar por la categoría de datos que traten. Si son datos básicos o si están dentro de la categoría de datos especialmente protegidos. 

Ello es importante porque en caso de que se traten datos especialmente protegidos como: datos relativos a la salud o datos referente a menores. Se ha de realizar una evaluación de impacto. Por tanto, la empresa necesita un experto en la materia para poder llevar a cabo todas estas medidas.

No basta con copiar textos legales gratis  si no que el empleador ha de ser proactivo en la implantación del RGPD.  Si no lo lleva acabo de forma adecuado cuando se le notifique una denuncia donde se le requisa el requiera documentación de los tratamientos que se llevan acabo en la empresa, contratos con proveedores, consentimientos, etc. No podrá presentar nada ante la Agencia española de protección de datos, porque no basta con copiar  textos legales.  Pues tendría graves consecuencias  económicas. En definitiva, los textos legales gratis, salen caros.

nuevas tecnologías

Estafa y delitos por internet. Letradox Abogados

Estafa y delitos por internet. Letrados Abogadox

DELITOS INFORMÁTICOS. Delito de estafa de los artículos 248.2 a y 249 C.P.

La estafa informática y/o fraude informático:

Consiste en “la producción de un daño patrimonial cuantificable mediante un comportamiento externo, impropio de un proceso automatizado informático, que altera los datos gestionados por éste, con ánimo lucro y en perjuicio de tercero”. El Código penal establece en su artículo 248.2 a) CP aquella conducta tiene que haber ánimo de lucro y valiéndose de alguna manipulacion informática o artificio semejante, que consiga la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero”.
Los elementos típicos que integran el delito de estafa informática son:
– La manipulación informática y artificio semejante:
– Transferencia patrimonial no consentida por el titular del mismo,
– Animo de lucro
– Perjuicio en tercero.
Formas de comisión de la estafa informática:

Las diferentes formas de comisión de la estafainformática utilizadas por los delincuentes mediante Internet, susceptibles de ser castigadas penalmente.

HACKING

Consiste en el acceso ilícito a datos o programas informáticos que se encuentran en un sistema para acceder a las claves. Acceden sin la autorización de su titular. Cometiendo un delito de intromisión informática. Artículo 197.3 CP.

PHISHING

El phishing es un método que los ciberdelincuentes utilizan para engañar al usuario de internet para conseguir que revele información personal, como contraseñas o datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias. Los medios que utilizan es través del envío de correos electrónicos fraudulentos dirigiéndole a un sitio web falso. También usan otras formas de comunicación online como, las redes sociales, mediante la colocación de posts en Facebook o Twitter.

Otra de las modalidades posibles de obtención de datos y contraseñas del usuario es a través de malware. Consiste en la implantación de programas denominados maliciosos. Tales como troyanos, virus, gusanos, etc.

El medio más utilizado para obtener las claves de la cuenta bancaria es el pharming  que consiste en la simulación de entidad bancaria. Los ciberdelicuentes simulan una página web de un banco donde envía por medio del correo el link con el objetivo de que el cliente acceda a la página de su banco. Los correos electrónicos solicitan que el usuario actualice, valide o confirme la información de una cuenta sugiriendo que hay un problema. Su objetivo es redirigir a una página web falsa para que facilite información sobre su cuenta. En realidad les dirige a la página web simulada donde el destinatario introducirá sus datos de usuario y contraseñas.

El hecho de que el clientes haya picado el ciberdelicuente dispone de las claves de acceso que hayan quedado registradas en la falsa página web. El cuál se introduce en el verdadero sistema informático de la entidad bancaria teniendo acceso total para retirar dinero de la cuenta bancaria de la víctima.

SPEAR PHISHING

Es una modalidad de phishing que se lleva a cabo mediante el envío de correos electrónicos fraudulentos dirigidos a organizaciones o pequeñas y medianas empresas con la intención de tener acceso a información confidencial. El estafador se dirige personalmente al representante de la organización. Suplanta la identidad de alguno de los miembros de la empresa para la comisión del delito.

MISHING

Otra modalidad de phishing. Consiste en el envío de SMS a las víctimas indicando que se han dado de alta en un determinado servicio. En el se estipula que se cobrará cierta cantidad a menos que cancele su petición. La forma de cancelar es llamando al número de teléfono que indican en el SMS o accediendo a un sitio web concreto. El objetivo es que la victima introduzca sus datos bancarios para efectuar “el reembolso”.

VISHING

Ofrece un número de teléfono a la victima para que se comunique. Los delincuentes hacen uso de sistemas de telefónica IP o voz automatizada. Se realizan llamadas aleatoriamente a diversos números. Consiste en que se le ofrece a la víctima una tarjeta de crédito o que una cuenta bancaria está siendo utilizada fraudulentamente. Por lo que le suministran un numero de teléfono donde deberá llamar a un número específico de su entidad bancaria donde les solicitaran los datos personales.

SPYWARE
Es una aplicación o programa informático que los delincuentes han conseguido entrar en el ordenador de la víctima o han instalado en su PC sin su consentimiento . Por lo que una vez que el troyano esté alojado en el ordenador de la víctima. Este se ejecutara automáticamente a través de controles. Enviando datos del equipo informático. Datos como claves de acceso que se envían al equipo del defraudaror. Al igual que el hacking, este tipo de conducta es ilegal suele ir asociada a otras conductas como puede ser en este caso la estafa informática.

KEYLOGGERS
Es una aplicación o software instalada en el ordenador de la víctima sin su consentimiento, que registra las combinaciones de teclas pulsadas por los usuarios en su teclado, las almacena para obtener datos confidenciales como claves bancarias u otras contraseñas, nombres de usuario en distintos servicios y demás información que pueda ser utilizada por el delincuente para fines fraudulentos.

SCAM

Otra modalidad de phishing, la cual consiste en el envío masivo de correos electrónicos con falsas ofertas de trabajo o la creación de páginas web fraudulentas. Su objetivo es captar a ciertas personas denominadas “muleros” cuyo trabajo consistirá en realizar las funciones de “gestor financiero” desde su propia casa. Siendo utilizado como intermediario para blanquear el dinero que ha sido obtenido fraudulentamente por el falso empresario. El trabajo del mulero consiste en recibir transferencias bancarias en su cuenta bancaria. Las cuales deberá remitir al falso empresario, tras quedarse con una comisión.

Protección de datos. Inconstitucionalidad. Letradox Abogados

Protección de datos. Inconstitucionalidad. Letradox Abogados

El Tribunal Constitucional ya se ha pronunciado. Tal y como anticipamos en nuestro vídeo sobre protección de datos y partidos políticos. Ha declarado nulo el art. 58 bis 1 de la LOREG que permitía a partidos políticos recopilar datos personales sobre opiniones políticas de los ciudadanos y hacer perfiles ideológicos.

El Pleno del Tribunal Constitucional por unanimidad ha declarado inconstitucional el artículo 58 bis 1 de la Ley Electoral General. Dicho articulo permitía a los partidos recopilar datos relativos a las opiniones políticas de los ciudadanos. Estima así el recurso presentado por el Defensor del pueblo.

El tribunal considera que la Disposición Final Tercera de la Ley Orgánica de Protección de Datos (LOPDGDD), que añade un nuevo artículo 58 bis a la Ley Orgánica de Régimen Electoral General (LOREG), vulnera derechos fundamentales de la Constitución.

La sentencia señala que “el legislador no ha precisado qué finalidad o bien constitucional justifica la restricción del derecho a la protección de datos personales ni ha determinado en qué supuestos y condiciones puede limitarse, mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias”.

También, indica que el derecho fundamental afectado es el de protección de datos personales. (art.18.4 CE). Siendo este vulnerado en relación con el art. 53.1 CE. La sentencia estipula que la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales. La ley no identifica la finalidad. Por lo que tal tratamiento no habilita a los partidos políticos. Tampoco ha de limitado los presupuestos. Ni ha establecido garantías adecuadas. Con el objetivo de la debida protección del derecho fundamental a la protección de datos personales.

En definitiva, subraya la sentencia, “la indeterminación de la finalidad del tratamiento y la inexistencia de garantías adecuadas o las mínimas exigibles a la ley constituyen en sí mismas injerencias en el derecho fundamental de gravedad similar a la que causaría una intromisión directa en su contenido nuclear”.

En cuanto a los demás apartado del artículo 58 de la LOREG. Sólo se habla de la inconstitucionalidad del apartado 1 de ese artículo. No se habla del apartado segundo. El cual permite el uso de datos personales recopilados de páginas web. Ni tampoco se cuestiona la inconstitucionalidad del apartado tercero del articulo. Dicho artículo permite el ‘spam’ electoral.

Tales apartados quedan muy limitados. De nada sirve realizar spam político si no se ha realizado un perfilado ideológicamente. Por tanto, el impedir el rastreo de las opiniones políticas termina con la habilitación legal para elaborar perfiles políticos. La cual tiene la finalidad de segmentar y personalizar los mensajes de propaganda electoral. Para así, bombardearnos con sus mensajes propagandísticos con un interés personal.

En cuanto al RGPD. En su artículo 9 del RGPD especifica que está prohibido recopilar o tratar datos especialmente protegidos como son las orientaciones políticas, religiosas, de orientación sexual. Por tanto, ello tiene mayor transcendencia. Porque aparte de elaborar perfiles ideológicos, podrían recabar base de datos de otro tipo de datos como datos de indole sexual.

Los ciudadanos tenemos derecho a tener el control de nuestros datos. Es inadmisible la indefensión de derechos tan importantes como son el derecho a la intimidad, a la libertad ideológica y a la participación política.

Para mas información de interés. Ver nuestro video de Los partidos políticos y la protección de datos. Donde abarcamos diversos temas como: Sabías que los partidos políticos pueden revisar las webs y redes sociales y hacer tu perfil ideológico? ¿Se puede producir en España un escándalo como el de Cambridge Analytica?