Entradas

LETRADOX® entrevista al Referente en Asfalto y Carretera, J.J Potti

 

 

En #REFERENTES de LETRADOX®️Abogados entrevistamos al Presidente de ASEFMA. Coincidiendo con los miles de desplazamientos por carretera en verano, qué mejor que conocer al #Referente en #Carretera, asfalto y movilidad, don Juan José Potti.

 

El Presidente de ASEFMA y director de la revista de Asfalto y Pavimentación nos habla de asfalto 4.0, la transformación digital del sector, coches autónomos y mucho más en esta entrevista…

 

Las entrevistas a los #REFERENTES del Derecho y la Empresa , en LETRADOX Abogados. www.Letradox.com

 

Defensa, asesoramiento, formación e información ¡Únete a la Comunidad LETRADOX®️! www.letradox.com Entrevista por Mercedes de Parada y Marián Rojo, abogadas de LETRADOX.

 

#coches #abogados #propiedadintelectual #abogadoscoches #carretera #transformaciondigital @itafec @asefma_es @jjpotti @repsol @aecarretera @Cepsa_ES @eapa_org @fomentogob

LETRADOX® entrevista al Presidente de la Asociación de Delegados de Protección de Datos. Referente en Privacidad.

LETRADOX® entrevista al Presidente ADPD de España

 

LETRADOX® entrevista al Presidente ADPD de España.

🎯Hoy en #Referentes de LETRADOX®️Abogados el Presidente de la Asociación Española de Delegados de Protección de Datos, don Jorge Badiola. El #Referente en Privacidad. 

La AEDPD está integrada por la élite del conocimiento en España en privacidad. 

¡Disfrutad de la entrevista de la letrada Marián Rojo a todo un #Referente! 

Las entrevistas a los #Referentes del mundo del Derecho y de la Empresa, en LETRADOX 

LETRADOX Abogados 

www.letradox.com 

 

#DPD #Abogadosnuevastecnologias #nuevastecnologias #Abogados #Privacidad #ProteccióndeDatos #DelegadoProtecciondedatos #bigdata #Legaltech #Letradox 

Infracciones, multas, sanciones

Guía de actuación ante la sanción de la AEPD. Letradox Abogados

Guía de actuación ante la sanción de la AEPD. Letradox Abogados.

La AEPD cuando recibe una denuncia o reclamación. Solicita los siguientes documentos que sería conveniente que se aportaran ante la AEPD. Con la finalidad de darle respuesta a la solicitud de información formulada por la Agencia.

  1. Si la reclamación esta relacionada con la instalación de cámaras de videovigilancia:
  • Se tiene que facilitar a la Agencia fotografías del cartel o carteles informativos en las que se posible apreciar tanto su ubicación como los datos mostrados.
  • Copia de las comunicaciones informativas remitidas a los trabajadores para informales de la finalidad de la instalación de las cámaras.
  • En el caso de que se haya encargado a un tercero la visualización y tratamiento de las imagines captadas por las cámaras, aportar copia del contrato suscrito.
  • Marca y modelo de las cámaras y lugares donde están instaladas. De forma que se acredite las imágenes captadas por las cámaras.
  • Indicación del plazo de conservación de la imágenes registradas. Medidas adoptadas para garantizar que solo personal autorizado accede a las grabaciones.
  • Copia del registro de actividades del tratamiento en relación al tratamiento realizado.

2. Si la reclamación esta relacionada con la inclusión en un fichero de solvencia patrimonial:

  • Documentos justificativos del requerimiento previo de pago y de su entrega a su destinatario o de su no rechazo.
  • Documento justificativo de la exclusión de fichero de morosidad, en su caso.
  • Contrato con el afectado.
  • Documento acreditativo de la identidad del afectado solicitado en el momento de la contratación.
  • Detalle de los datos del afectado que obran en sus sistemas y origen de los mismos.

3. Si la reclamación esta relacionada con la publicación de datos personales en internet:

  • Datos de la cuenta utilizada para la publicación (correo electrónico, IPS, etc).
  • Política de privacidad e información proporcionada al usuario a la que se refiere el art.13 RGPD.
  • Documento justificativo del consentimiento del afectado para la publicación.
  • Documento justificativo de la eliminación de la información, en su caso.
  • Documento justificativo de la cancelación de los datos, en su caso.
  • Documento justificativo de la corrección del error ( en casos de cruces de datos, por ejemplo).

4. Si la reclamación esta relacionada con publicidad y comunicaciones comerciales o promocionales:

  • Documento acreditativo del consentimiento del afectado. Origen de los datos personales del afectado en sus sistemas y modo de obtención.
  • Documento justificativo de la cancelación de datos personales para tratamiento con fines publicitarios, en su caso.

Una vez que haya aportado la documentación requerida, la agencia adopta:

  • La decisión adoptada a propósito de esta reclamación.
  • En el supuesto de ejercicio de derechos regulados del artículo 15 al 22 del RGPD, acreditación de la respuesta facilitada al reclamante.
  • Informe sobre las causas que han motivado la incidencia que ha originado la presente reclamación.
  • Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares, fecha de implantación de las mismas y controles efectuados para comprobar su eficacia.
  • Cualquier otra que considere relevante.

En cuanto a la forma en la que podrá iniciarse el procedimiento dependerá del tipo de procedimiento.

Puede ser de oficio o a instancia de parte:

  • Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD. En este caso, cuando se presentase ante la AEPD una reclamación. La agencia evalúa su admisibilidad a trámite.  Por tanto, debe tenerse en cuenta que no toda reclamación determina en el inicio automático del procedimiento.
  • Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD y la normativa española de protección de datos. Se iniciará de oficio por la AEPD o por la reclamación interpuesta por el interesado.
  • Por la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la UE de la reclamación formulada ante la agencia.


Plazos de resolución del procedimiento:

Los plazos en los que la AEPD deberá de dictar resolución vendrán determinados por el supuesto de hecho que haya motivado la incoación del procedimiento.

  • En los supuestos en que el procedimiento se refiera exclusivamente a la falta de atención de los artículos 15 a 22 del RGPD. El plazo para resolver el procedimiento será de seis meses. (A contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite).
  • Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD. El procedimiento tendrá una duración máxima de nueve meses.
  • En el caso de que la AEPD recibiese comunicación por parte de la autoridad de control de otro Estado miembro de la UE de la reclamación formulada ante la misma. El plazo será de nueve meses.

Efectos de la ausencia de resolución en el plazo legalmente establecido.

Si la AEPD no cumple con los plazos establecidos. La falta de resolución expresa dentro del plazo establecido. Conlleva a unas diferentes consecuencias:

  • Se considera estimada la reclamación por la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.
    En los procedimientos en los que la AEPD actué de oficio. Transcurridos nueve meses a contar desde la fecha del acuerdo de inicio. Se producirá su caducidad. Lo cual conlleva al archivo de actuaciones.

Las resoluciones de la agencia ponen fin a la vía administrativa. Ello significa que si una persona o entidad no esta conforme con la resolución. Puede recurrirla. Tiene dos vías:

  • Recurso de Reposición ante el Director de la Agencia Española de Protección de Datos
  • Recurso contencioso-administrativo ante la Audiencia Nacional.

Estos dos recursos no son excluyentes entre ellos. Se puede interponer recurso de reposición. En el caso de que la resolución sea negativa, se puede interponer recurso contencioso-administrativo. También, cabría la opción de interponerlo directamente el recurso contencioso-administrativo. Por tanto, si queremos recurrir una resolución de la AEPD tenemos dos opciones.

Recurso de Reposición ante el Director de la Agencia Española de Protección de Datos:

  • El plazo para interponer el recurso de reposición es de un mes a contar desde que se notificase la resolución de la AEPD.
    Contra la resolución de este recurso solo se puede acudir a los Tribunales a través de la interposición de un recurso contencioso-administrativo.
  • El plazo de la AEPD para contestar este recurso es de un mes.

Recurso contencioso-administrativo ante la Sala contencioso-administrativa de la Audiencia Nacional:

  • El plazo para interponer el recurso contencioso administrativo es de dos meses a contar desde que se notifica la resolución de la AEPD.

En caso de que primero se interponga recurso de reposición ante el Director de la AEPD, el plazo para interponer el recurso contencioso ante la Audiencia Nacional será: dos meses desde que se dicte la resolución del recurso de reposición. Sin embargo, si la AEPD no resuelve el recurso de reposición. El plazo es de seis meses a contar desde que debiera haberse resuelto el recurso de reposición.

PYMES y datos

Implantación Protección de datos E-comerce. Letradox Abogados

Implantación Protección de datos E-comerce. Letradox Abogados

La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) es la normativa que regular las condiciones de los negocios online. El hecho de que estas actividades se sitúan en el ámbito del consumo, se ha de aplicar la Ley General para la Defensa de Consumidores y Usuarios. Por lo que se tiene que tener en cuenta las Condiciones Generales de Contratación.
 
Se tiene que indicar la Protección de los datos personales e información acerca de las condiciones de su tratamiento.

– Dar información al usuario de las condiciones de contratación y de los productos o servicios que se ofrecen en la venta online. Al igual que la posibilidad de rescisión del contrato y de las garantías que tenga el producto o servicio.

Ello, en virtud al principio de transparencia obliga a  informar las condiciones de compra, el aviso legal y la política de privacidad,  todos los detalles relacionados con la empresa, su actividad  y las condiciones comerciales. 

– Obtención del consentimiento. El consentimiento tiene que ser una clara acción afirmativa. El consentimiento ha ser expreso, explícito y claro. No cabe la ambigüedad. Para que los usuario s acepten las condiciones tendrán que tener claras las condiciones en las que se recopilan los datos, la finalidad del tratamiento y el plazo de conservación.

También se tendrá que reflejar el derecho que tiene para reivindicar los derechos ARCOPOL, por ejemplo, que se proceda a su eliminación o modificación en cualquier momento de algún dato personal.

Por tanto, para que nuestro usuario de su consentimiento ha de quedar reflejado de forma clara los siguientes puntos muy importantes en una Política de privacidad. Requisitos informativos como:

– Los datos de contacto del Delegado de Protección de Datos (si procede).
– Que datos se recogen, clasificando su categoría de los datos. Si son datos de categorías especiales o datos de carácter básico.
– La base jurídica o legitimación del tratamiento.
– El plazo o los criterios de conservación de la información.
– La existencia de decisiones automatizadas o elaboración de perfiles.
– La previsión de transferencias internacionales a terceros países.
– Los destinatarios de esa información, en el caso de que hayan cesiones de datos a terceros.
– El derecho a presentar una reclamación ante las Autoridades de Control.

En virtud de la LSSI, es muy importante implantar en toda página web, un banner con el AVISO LEGAL.
En el se ha de incluir la información del titular legal del sitio web y sus condiciones de utilización. Las cuales incluyen las propiedades industrial e intelectual y las responsabilidades ante fallos, enlaces y comportamientos.

Muy importante, La política de privacidad, que tiene que estar adaptada de manera estricta a las condiciones establecidas en la LOPDGD. Tendrá que ser comunicada de manera clara y con información exhaustiva acerca de los derechos que asisten a los ciudadanos.

Por último, en relación con la política de cookies. Se solicitará el consentimiento explícito una vez que el usuario navega en la página web.

Se tiene que implantar un procedimiento visible y accesible a los usuarios. También, se debe de informar de forma muy rigurosa acerca de tipo de cookies utiliza el sitio web y las finalidades que tenga en función de la clase de cookies que se ejecute en la web.

Se tiene que estipular:

– El concepto de cookies.

– Autorización para el uso de cookies.

– Tipos de Cookies que se utilizan en la Web.

– Cookies propias insertadas por el Titular.

– Cookies de terceros.

– Cookies de redes sociales: el Titular utiliza cookies de Facebook, Twitter, Linkedin y Google Plus. Para que el usuario pueda compartir contenidos de la Web en las citadas redes sociales. O bien para facilitarle el registro en la Web.

– Cookies para la medición del tráfico en los Portales: el Titular utiliza cookies de Google Analityc, por ejemplo. Para recopilar datos estadísticos de la actividad de los usuarios en el sitio Web. De forma poder mejorar los servicios prestados a los usuarios.

Estas cookies permiten analizar el tráfico de usuarios generando un ID de usuario anónimo. Que se utiliza para medir cuántas veces visita el Sitio un usuario. Asimismo, registra cuándo fue la primera y última vez que visitó la Web, cuándo se ha terminado una sesión y el origen del usuario.

– Cookies publicitarias: El Titular utiliza cookies almacenadas por terceras empresas que gestionan los espacios que sirven publicidad y a las que los usuarios acceden. Estas cookies permiten medir la efectividad dE las campañas online. También, proporciona la información de interés del usuario y le ofrece contenidos publicitarios de su preferencia.

– Configuración del navegador: Para la desactivación de las cookies en los diferentes navegadores.

En definitiva, los elementos legales que deben aparecer el página web a modo de información que el usuario tiene derecho a conocer antes de realizar la compra, sería:

– Aviso legal.

– Política de Privacidad.

– Política de cookies.

– Condiciones de contratación.

– Cláusulas informativas a pié de formulario. Una primera capa informativa que al hacer click en la política de privacidad, nos lleve a una segunda capa informativa done este por completo la política de privacidad.

necesidad de un delegado

Efectividad en los nuevos derechos de garantías digitales. Letradox abogados

Efectividad en los nuevos derechos de garantías digitales. Letradox abogados

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales. Incorpora a su objeto la importante novedad de dirigirse a “garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución”.

Este contenido se sitúa en el Título final de dicha Ley, el X “Garantía de los derechos digitales”. Compuesto por 19 artículos (del 79 al 97). Divididos en cuatro bloques: Derechos de los ciudadanos en internet (artículos 79 a 82, 96 y 97). Derechos  de los menores y la educación (artículos 83, 84 y 92). Derechos relacionados con el ámbito laboral (artículos. 87 a 91). Y Derechos de la era digital y las comunicaciones: (artículos 79, 85, 86  y 93 a 95).

En particular debemos de mencionar los mas relevantes:

  •  Derecho de rectificación digital (artículo 85 de la LOPDGDD). 

El “derecho a la libertad de expresión en Internet”. Consiste en la práctica de que esta libertad no se vea limitada mediante técnicas de filtrado o bloqueo automático, ataques de denegación de servicio, eliminación de resultados de búsquedas y otros mecanismos ilícitos.

Establece un requisito doble para poder la rectificación:

  • Ha de tratarse de una información inexacta.
  • Información perjudicial al interesado.La ley no obliga a eliminar la información, sino a añadir un aviso visible aclaratorio donde se indique que la noticia no refleja la situación actual de la persona.

También estipula la orden a  “los responsables de redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación”.

Hasta ahora las opiniones no eran objeto de rectificación.  Por tanto, a las redes sociales se les pedirá es que establezcan unos protocolos. Para que puedan recibir peticiones de rectificación.  Y se reenvíen casi automáticamente al titular de la cuenta. Ello tendrá consecuencias negativas para la libertad de expresión en la red. 

  • Derecho a la actualización de informaciones en medios de comunicación digitales (artículo 86 de la LOPDGDD). 

Es el derecho a la actualización en  los medios de comunicación digitales “cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio”. 

Es complicado ponerlo en práctica, ya que muchas opiniones en medios de comunicación son anónimas. También, influye la gran cantidad de medios. Por lo que dificulta la efectividad de las rectificaciones.

Derechos en el ámbito laboral. La ley concede una gran importancia a los derechos digitales en el ámbito laboral:

  • Derecho a la intimidad y uso de dispositivos digitales (artículo 87).

Frente a este derecho que se otorga a los trabajadores. Se establece la obligación de los empleadores de “establecer criterios de utilización”.

También, estipula que el empleador ha de indicar “la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados”. Deberá especificar en su política interna  el uso de los soportes y las posibilidades de acceso por el empleador al contenido de esos dispositivos digitales. 

Es muy importante informar a los trabajadores por escrito. En el caso de que el trabajador haga un uso inadecuado de los dispositivos digitales. Si no se encuentra  estipulado en la política interna de la empresa y tampoco ha informado a su trabajador. No podría auditar los dispositivos y usarlos como prueba ante un despido disciplinario siendo un despido improcedente.

En definitiva, son muy importante las políticas de privacidad internas en una empresa respecto al uso adecuado de los dispositivos digitales.

  • Derecho a la desconexión digital (artículo 88 de la LOPDGDD).

Es el derecho a interrumpir la conectividad y a la implantación de medidas de desconexión. Es el derecho para no ser requerida o localizada a través de internet. Se garantiza el derecho al descanso, intimidad personal y familiar del trabajador.

  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo (artículo 89 de la LOPDGDD). 

Se permite la videovigilancia en el lugar de trabajo. Pero solo “para el ejercicio de las funciones de control de los trabajadores o los empleados públicos”. Se señalan dos importantes obligaciones:

No podrán estar instalados en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos. 

Se ha informar con carácter previo al trabajador de forma expresa, clara y concisa.

Se reconoce a la utilización de sistemas de grabación de sonidos en el lugar de trabajo. Sólo será posible  en caso de riesgos “relevantes” para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y respetando los principios de proporcionalidad e intervención mínima.

  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (artículo. 90 de la LOPDGDD). 

Se permite estos sistemas siempre con la previa obligación de informar al trabajador. Ello esta en plena actualidad a raíz del registro horario.  Ello ha provocado la creación de aplicaciones móviles en la que se solicita el acceso a la geolocalización del dispositivo. 

  • Derecho al olvido (artículos 93 y 94 de la LOPDGDD). 

En el artículo 93 se establece el derecho frente a los motores de búsqueda y en el art. 94 frente a los servicios de redes sociales y servicios de la sociedad de la información equivalentes. 

El primer precepto recoge lo que ya establecío la Justicia europea en el llamado “Caso Costeja”. Los buscadores, como Google, tienen la obligación de desindexar contenidos a petición de terceros.

En el artículo siguiente se trata de la supresión en las redes sociales, para los casos en que:

  • hubiesen sido facilitados por terceros.
  • cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo.
  • O cuando las “circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los datos por el servicio”. Este precepto se extiende ahora a las redes sociales y otros servicios de internet. En última instancia, la decisión de la supresión de datos en redes sociales corresponde a la propia red social que se trate.
  • Derecho al testamento digital (artículo 96 de la LOPDGDD). 

Es el derecho de la persona a la gestión de su identidad y herencia digital con carácter mortis-causa. Tiene la finalidad de establecer mecanismos para la adopción de decisiones sobre la eliminación, rescate o conservación de su legado digital. 

El legado digital se integra por activos digitales, con valor emocional y económico para la persona. Actualmente con el gran auge de las redes sociales e influencers. Tales cuentas son de gran valor económico como:

  • Blogs,
  • Perfiles en redes sociales (Facebook, instagram, twitter donde contiene gran cantidad de seguidores),
  • Cuentas de correo electrónico,
  • Documentos gráficos
  • Fotográficos digitales, etc.

La Ley en su artículo 3 concede a las personas vinculadas al fallecido el ejercicio de los derechos de acceso, utilización o supresión. Siempre que la persona fallecida no lo hubiese prohibido expresamente. Este precepto precisa de un importante desarrollo reglamentario.

Drones y protección de datos. Letradox Abogados

Drones y protección de datos. Letradox Abogados

En los últimos años el auge de los drones en la sociedad ha ido en aumento. Desde un uso recreativo a un uso profesional. La problemática surge en materia de protección de datos. Estos dispositivos suelen estar dotados de medios para la grabación y reproducción de imagen y sonido.

Ya el artículo 26 del Real Decreto 1036/2017, de 15 de diciembre. Por el que se regula la utilización civil de las aeronaves pilotadas por control remoto. Prevé la obligación de los operadores de drones de:“adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad”. Pero, ello no fue suficiente ya que surgen muchas dudas respecto al tratamiento de datos.

Por ello, la Agencia Española de Protección de Datos ha publicado la Guía Drones y Protección de Datos. Distingue entre:

  •  Las que no tratan datos.
  • Las que de forma eventual podrían captar información.
  • Aquellas que implica un tratamiento de datos personales (videovigilancia o la grabación de eventos).

La guía no discrimina entre uso privado y profesional. Siendo aplicable en ambos casos. Tanto para los operadores que a través de sus drones registren y/o procesen datos, tales como , imágenes, vídeos, sonidos, datos biométricos, geolocalizaciones, entre otros, relativos a personas identificadas o identificables. 

Tipos de operaciones según el tratamiento de datos

Las operaciones con drones se pueden clasificar en tres categorías según su finalidad:

  • Las que no incluye el tratamiento de datos personales:

Son operaciones con drones con configuraciones muy básicas que pueden o no incluir GPS para asistencia de vuelo pero carecen del uso de captación de imágenes. 

En esta categoría en el ámbito recreativo se incluye el uso de drones con GPS y cámaras. El uso de tales imágenes esta destinado a un uso domestico. O exclusivamente personal que no permite la identificación de personas en las imágenes.  

No se aplica la normativa de protección de datos personales. No obstante,  hay que tener en cuenta la obligación a respetar las zonas privadas (como jardines, patios, terrazas, interior de viviendas, etc).

En caso de que contengan imágenes o datos relativos a personas, matriculas de vehículos, viviendas u objetos que permitan la identificación de personas  habría que anonimizarlo mediante técnicas de difuminado.

  • Las que no incluye el tratamiento de datos personales a priori pero existe riesgo de forma colateral

En operaciones como la inspección de infraestructuras, levantamientos topográficos, inspecciones y/o tratamientos del terreno u otros servicios de fotografía y vídeo (para cine, TV, publicidad, etc.…).

A priori no  incluye el tratamiento  de datos personales porque esa no es su finalidad. Sin embargo, existe el riesgo de que se produzca captura de datos personales de forma no intencionada. Por ejemplo, la captura de imágenes de personas en segundo plano.

Ello podría tener impacto sobre el derecho a la protección de datos y la intimidad de las personas. Para evitarlo aconseja AEPD, minimizar la presencia de personas y objetos que permitan su identificación. Realizando los vuelos de los drones en horarios con poca afluencia de personas o controlando el acceso al lugar del rodaje.

Otra recomendación es minimizar la captura de imágenes a lo realmente necesario. Promover y aplicar características de privacidad desde el diseño, como por ejemplo implantando mecanismos para iniciar y detener la captura de datos en cualquier momento durante la operación. Realizar capturar a mucha distancia para que no sea posible la identificación de personas.

Por ultimo, aplicar el principio de minimización de protección de datos. Es decir, recabar los datos estrictamente necesarios. Evitando el almacenamiento de información innecesaria relativa a personas. Por ejemplo, si las imágenes tienen por finalidad un levantamiento topográfico de una zona de costa, no tiene sentido que se almacene imágenes con los bañistas.

  • Las que tienen tratamiento de datos personales. 

Como es el caso de la videovigilancia o la vigilancia o grabación de eventos.  En estas operaciones de aplicación el RGPD y la LOPDGDD. Cuando un dron realice funciones de captación de imágenes con fines de videovigilancia de lugares privados, le será de aplicación el RGPD.

Implica la obligatoriedad  de cumplir con el deber de información del artículo 13. Pues la realización de un registro de actividades de tratamiento, o la adopción de medidas de seguridad en función del análisis de riesgo realizado. 

El deber de informar sobre el tratamiento de datos personales con fines de seguridad que incluyan captación de imágenes mediante carteles informativos en los accesos a las zonas videovigiladas y de forma visible.

El cartel informativo, debe de indicar:

  • La finalidad,
  • Quien es el responsable del tratamiento
  • La forma en la que los afectados pueden ejercer sus derechos. 

Se deberá de tener en cuenta lo previsto en el artículo 22 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Otro mecanismo para cumplir con el derecho de información. Que se proporcione por medios electrónicos, señalizaciones en el evento, hojas informativas, publicaciones en redes sociales, folletos o pósteres .

Por lo tanto, se debe de encontrar el modo más apropiado de informar a quienes van a verse afectados por el tratamiento de datos.

Tomar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos para los derechos y libertades de las personas. El objetivo es prevenir cualquier tratamiento no autorizado durante la fase de transmisión de los datos capturados.

Otras medidas de seguridad para tales tratamiento. Seria eliminar o anonimizar cualquier dato personal innecesario. Incorporar  el principio de privacidad desde el diseño en la configuración de la acción de videovigilancia y grabación de eventos. Hacer que los drones sean lo más visibles e identificables posibles. Para que el interesado sepa quien es el responsable del tratamiento de datos.

PYMES y datos

Los textos legales gratis, salen caros. Letradox Abogados

Los textos legales gratis, salen caros. Letradox Abogados

Problemas ante la falta de asesoramiento en protección de datos:

La revolución de internet ha conllevado un gran auge de información respecto a cualquier tema. Al igual que mucha desinformación. Por ello, es importante que se tenga en cuenta que el uso de textos legales gratis es inadecuado para tu empresa.

Si buscas asesoramiento para tu página web. No debes de realizar un copia y pega de otra página web. Las políticas de privacidad se han de adaptar a cada empresa. Varía según la actividad de la empresa. Por ello deviene imprescindible un asesoramiento previo de un experto en la materia.

La ausencia de información legal o mejor dicho de desinformación provoca grandes problemas. Es vital que en las páginas web  se adecuen a la normativa. Puesto que es la cara visible de tu empresa cualquier persona puede acceder a ella. 

Por ende, es importante e imprescindible  los requisitos legales  de su pagina web. Ha de tener implantada en la web un aviso legal adecuado, una política adecuada de privacidad  y política de cookies. Se aconseja revisar y redactar correctamente los textos legales que deben de aparecer en su web. Se tiene que tener en cuenta la actividad y las funcionalidades que incorpore a su plataforma online.

Hay muchas reclamaciones  que se producen por la ausencia de tales políticas. O que dichas políticas no sean claras, precisas y  comprensibles. 

En el caso de que su página web venda  productos u oferte sus servicios online. Habrá que diseñar el proceso de contratación online y redactar de forma adecuada las condiciones que está pactando con el consumidor  en virtud de lo dispuesto legalmente por la materia reguladora del comercio electrónico.

La ley es clara en el sentido de que se debe de poner en  conocimiento del usuario la motivación de la aplicación de las cookies. Al igual que la posibilidad de no aceptar las mismas y el procedimiento de desactivación de las cookies.

Una grave consecuencia de copiar textos legales sería la reputación online de la empresa por un uso inadecuado de las políticas de privacidad. El ataque a la reputación de una empresa realizado a través de Internet es difícil de reparar de manera total.  Ello se debe a que la difusión de una información publicada en las redes no tiene límites. Por ejemplo: un usuario denuncia a través de las redes sociales el uso inadecuado de la empresa por copiar textos legales o por  estar inadaptado. Ello causaría un grave perjuicio en la empresa. Provocaría desconfianza entre los usuarios. Por la falta de profesionalidad y rigor de la empresa. Pese a que la información en cuestión sea retirada por contravenir los derechos de la empresa,  siempre se pueden mantener copias, pantallazos o descargas realizados antes de la eliminación de dicha información.

Las empresas han de ser conscientes a lo que se exponen si no se asesoran adecuadamente. Han de considerar que si no adecuan sus políticas de privacidad  les causaría un gran perjuicio tanto reputaciones como económico. El hecho de que las páginas web son fuentes accesibles al público se ha de ser exhaustivo con lo que se pública. Aunque se consiga retirar los comentarios desprestigiando a la empresa, tales datos siempre quedaran ahí.

Es primordial forjar una buena reputación de la empresa. Es preciso que la empresa sea consecuentes con los valores de su marca. Puesto que las comunicaciones que mantengan con los usuarios, clientes o potenciales clientes deben transmitir profesionalidad pero a la vez transparencia y cercanía.  Por ello, contratar un buen servicio de asesoramiento experto en la materia es coherente para tener una buena reputación.  Las empresas han de establecer las bases  de sus políticas internas de procedimiento para  generar confianza y comprobar que las comunicaciones en los diferentes medios empiezan a dar sus frutos.

El uso de textos legales gratis no adaptados pueden causar un gran perjuicio a la reputación de una empresa. Afecta a la imagen y a la identidad de los negocios. 

Otra consecuencia no menos importante, sería las sanciones económicas en caso de denuncia ante la Agencia Española de Protección de Datos, puesto que al no tener de forma adecuada la web  vulneraría el RPGD y la LOPDGDD. 

Si existe un asesoramiento nulo en la materia, no sólo es importante la página web sino la política interna de la empresa. 

La empresa ha de tener un manual de procedimiento. Este documento es de seguridad para la empresa en el se indica todo el protocolo a seguir: en caso de brechas de seguridad, copias de respaldo y  seguridad, control de accesos, control de soportes, medidas adecuadas de seguridad, y ejercicio de derechos los interesados. 

También ha de contar con un análisis de riesgo  de los tratamientos que realice la empresa. Este análisis es exhaustivo, se tiene que realizar paso por paso e ir indicando las vulnerabilidades que se encuentras y las medidas correctoras que procedan, para anular dicha vulnerabilidad. 

Por ultimo, dependiendo de la actividad a que se dedique la empresa, varía los tratamientos de datos personales que llevara a cabo. Tales tratamiento  de datos personales se han de clasificar por la categoría de datos que traten. Si son datos básicos o si están dentro de la categoría de datos especialmente protegidos. 

Ello es importante porque en caso de que se traten datos especialmente protegidos como: datos relativos a la salud o datos referente a menores. Se ha de realizar una evaluación de impacto. Por tanto, la empresa necesita un experto en la materia para poder llevar a cabo todas estas medidas.

No basta con copiar textos legales gratis  si no que el empleador ha de ser proactivo en la implantación del RGPD.  Si no lo lleva acabo de forma adecuado cuando se le notifique una denuncia donde se le requisa el requiera documentación de los tratamientos que se llevan acabo en la empresa, contratos con proveedores, consentimientos, etc. No podrá presentar nada ante la Agencia española de protección de datos, porque no basta con copiar  textos legales.  Pues tendría graves consecuencias  económicas. En definitiva, los textos legales gratis, salen caros.

nuevas tecnologías

Estafa y delitos por internet. Letradox Abogados

Estafa y delitos por internet. Letrados Abogadox

DELITOS INFORMÁTICOS. Delito de estafa de los artículos 248.2 a y 249 C.P.

La estafa informática y/o fraude informático:

Consiste en “la producción de un daño patrimonial cuantificable mediante un comportamiento externo, impropio de un proceso automatizado informático, que altera los datos gestionados por éste, con ánimo lucro y en perjuicio de tercero”. El Código penal establece en su artículo 248.2 a) CP aquella conducta tiene que haber ánimo de lucro y valiéndose de alguna manipulacion informática o artificio semejante, que consiga la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero”.
Los elementos típicos que integran el delito de estafa informática son:
– La manipulación informática y artificio semejante:
– Transferencia patrimonial no consentida por el titular del mismo,
– Animo de lucro
– Perjuicio en tercero.
Formas de comisión de la estafa informática:

Las diferentes formas de comisión de la estafainformática utilizadas por los delincuentes mediante Internet, susceptibles de ser castigadas penalmente.

HACKING

Consiste en el acceso ilícito a datos o programas informáticos que se encuentran en un sistema para acceder a las claves. Acceden sin la autorización de su titular. Cometiendo un delito de intromisión informática. Artículo 197.3 CP.

PHISHING

El phishing es un método que los ciberdelincuentes utilizan para engañar al usuario de internet para conseguir que revele información personal, como contraseñas o datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias. Los medios que utilizan es través del envío de correos electrónicos fraudulentos dirigiéndole a un sitio web falso. También usan otras formas de comunicación online como, las redes sociales, mediante la colocación de posts en Facebook o Twitter.

Otra de las modalidades posibles de obtención de datos y contraseñas del usuario es a través de malware. Consiste en la implantación de programas denominados maliciosos. Tales como troyanos, virus, gusanos, etc.

El medio más utilizado para obtener las claves de la cuenta bancaria es el pharming  que consiste en la simulación de entidad bancaria. Los ciberdelicuentes simulan una página web de un banco donde envía por medio del correo el link con el objetivo de que el cliente acceda a la página de su banco. Los correos electrónicos solicitan que el usuario actualice, valide o confirme la información de una cuenta sugiriendo que hay un problema. Su objetivo es redirigir a una página web falsa para que facilite información sobre su cuenta. En realidad les dirige a la página web simulada donde el destinatario introducirá sus datos de usuario y contraseñas.

El hecho de que el clientes haya picado el ciberdelicuente dispone de las claves de acceso que hayan quedado registradas en la falsa página web. El cuál se introduce en el verdadero sistema informático de la entidad bancaria teniendo acceso total para retirar dinero de la cuenta bancaria de la víctima.

SPEAR PHISHING

Es una modalidad de phishing que se lleva a cabo mediante el envío de correos electrónicos fraudulentos dirigidos a organizaciones o pequeñas y medianas empresas con la intención de tener acceso a información confidencial. El estafador se dirige personalmente al representante de la organización. Suplanta la identidad de alguno de los miembros de la empresa para la comisión del delito.

MISHING

Otra modalidad de phishing. Consiste en el envío de SMS a las víctimas indicando que se han dado de alta en un determinado servicio. En el se estipula que se cobrará cierta cantidad a menos que cancele su petición. La forma de cancelar es llamando al número de teléfono que indican en el SMS o accediendo a un sitio web concreto. El objetivo es que la victima introduzca sus datos bancarios para efectuar “el reembolso”.

VISHING

Ofrece un número de teléfono a la victima para que se comunique. Los delincuentes hacen uso de sistemas de telefónica IP o voz automatizada. Se realizan llamadas aleatoriamente a diversos números. Consiste en que se le ofrece a la víctima una tarjeta de crédito o que una cuenta bancaria está siendo utilizada fraudulentamente. Por lo que le suministran un numero de teléfono donde deberá llamar a un número específico de su entidad bancaria donde les solicitaran los datos personales.

SPYWARE
Es una aplicación o programa informático que los delincuentes han conseguido entrar en el ordenador de la víctima o han instalado en su PC sin su consentimiento . Por lo que una vez que el troyano esté alojado en el ordenador de la víctima. Este se ejecutara automáticamente a través de controles. Enviando datos del equipo informático. Datos como claves de acceso que se envían al equipo del defraudaror. Al igual que el hacking, este tipo de conducta es ilegal suele ir asociada a otras conductas como puede ser en este caso la estafa informática.

KEYLOGGERS
Es una aplicación o software instalada en el ordenador de la víctima sin su consentimiento, que registra las combinaciones de teclas pulsadas por los usuarios en su teclado, las almacena para obtener datos confidenciales como claves bancarias u otras contraseñas, nombres de usuario en distintos servicios y demás información que pueda ser utilizada por el delincuente para fines fraudulentos.

SCAM

Otra modalidad de phishing, la cual consiste en el envío masivo de correos electrónicos con falsas ofertas de trabajo o la creación de páginas web fraudulentas. Su objetivo es captar a ciertas personas denominadas “muleros” cuyo trabajo consistirá en realizar las funciones de “gestor financiero” desde su propia casa. Siendo utilizado como intermediario para blanquear el dinero que ha sido obtenido fraudulentamente por el falso empresario. El trabajo del mulero consiste en recibir transferencias bancarias en su cuenta bancaria. Las cuales deberá remitir al falso empresario, tras quedarse con una comisión.

Protección de datos. Inconstitucionalidad. Letradox Abogados

Protección de datos. Inconstitucionalidad. Letradox Abogados

El Tribunal Constitucional ya se ha pronunciado. Tal y como anticipamos en nuestro vídeo sobre protección de datos y partidos políticos. Ha declarado nulo el art. 58 bis 1 de la LOREG que permitía a partidos políticos recopilar datos personales sobre opiniones políticas de los ciudadanos y hacer perfiles ideológicos.

El Pleno del Tribunal Constitucional por unanimidad ha declarado inconstitucional el artículo 58 bis 1 de la Ley Electoral General. Dicho articulo permitía a los partidos recopilar datos relativos a las opiniones políticas de los ciudadanos. Estima así el recurso presentado por el Defensor del pueblo.

El tribunal considera que la Disposición Final Tercera de la Ley Orgánica de Protección de Datos (LOPDGDD), que añade un nuevo artículo 58 bis a la Ley Orgánica de Régimen Electoral General (LOREG), vulnera derechos fundamentales de la Constitución.

La sentencia señala que “el legislador no ha precisado qué finalidad o bien constitucional justifica la restricción del derecho a la protección de datos personales ni ha determinado en qué supuestos y condiciones puede limitarse, mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias”.

También, indica que el derecho fundamental afectado es el de protección de datos personales. (art.18.4 CE). Siendo este vulnerado en relación con el art. 53.1 CE. La sentencia estipula que la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales. La ley no identifica la finalidad. Por lo que tal tratamiento no habilita a los partidos políticos. Tampoco ha de limitado los presupuestos. Ni ha establecido garantías adecuadas. Con el objetivo de la debida protección del derecho fundamental a la protección de datos personales.

En definitiva, subraya la sentencia, “la indeterminación de la finalidad del tratamiento y la inexistencia de garantías adecuadas o las mínimas exigibles a la ley constituyen en sí mismas injerencias en el derecho fundamental de gravedad similar a la que causaría una intromisión directa en su contenido nuclear”.

En cuanto a los demás apartado del artículo 58 de la LOREG. Sólo se habla de la inconstitucionalidad del apartado 1 de ese artículo. No se habla del apartado segundo. El cual permite el uso de datos personales recopilados de páginas web. Ni tampoco se cuestiona la inconstitucionalidad del apartado tercero del articulo. Dicho artículo permite el ‘spam’ electoral.

Tales apartados quedan muy limitados. De nada sirve realizar spam político si no se ha realizado un perfilado ideológicamente. Por tanto, el impedir el rastreo de las opiniones políticas termina con la habilitación legal para elaborar perfiles políticos. La cual tiene la finalidad de segmentar y personalizar los mensajes de propaganda electoral. Para así, bombardearnos con sus mensajes propagandísticos con un interés personal.

En cuanto al RGPD. En su artículo 9 del RGPD especifica que está prohibido recopilar o tratar datos especialmente protegidos como son las orientaciones políticas, religiosas, de orientación sexual. Por tanto, ello tiene mayor transcendencia. Porque aparte de elaborar perfiles ideológicos, podrían recabar base de datos de otro tipo de datos como datos de indole sexual.

Los ciudadanos tenemos derecho a tener el control de nuestros datos. Es inadmisible la indefensión de derechos tan importantes como son el derecho a la intimidad, a la libertad ideológica y a la participación política.

Para mas información de interés. Ver nuestro video de Los partidos políticos y la protección de datos. Donde abarcamos diversos temas como: Sabías que los partidos políticos pueden revisar las webs y redes sociales y hacer tu perfil ideológico? ¿Se puede producir en España un escándalo como el de Cambridge Analytica?

necesidad de un delegado

ABOGADOS protección de datos. Preguntas frecuentes

Preguntas en protección de datos. Letradox Abogados

En entorno laboral:

¿La empresa en la que trabajas puede acceder al historial de navegación del ordenador de los empleados?

Si, siempre y cuando exista una política interna de privacidad.Tiene que estipular unas de instrucciones claras y demostrables sobre el uso de dispositivos puestos al servicio del trabajador. Se ha de informar al trabajar de los criterios establecidos. Dicha información ha de ser con carácter previo y explícita  sobre el uso restrictivo de los medios informáticos. Si no es así, conllevaría la vulneración del derecho a intimidad y el secreto de las comunicaciones de los trabajadores.  

En virtud del artículo 87 LOPDGDD. (Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral). La empresa deberá establecer criterios de utilización de los dispositivos digitales. Respetando los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. Asimismo, el acceso por el empleador al contenido de dispositivos digitales. Respecto de los que haya admitido su uso con fines privados. Requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores.

Tales como: la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.
Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado.

¿Se puede instalar GPS en los coches de empresa que utilizan los trabajadores?

Si, la legitimación que permite este tratamiento de datos personales sería en virtud del art. 6 RGPD. También el artículo 20.3 del Estatuto de los trabajadores. Establece que el empresario podrá adoptar las medidas que estime mas oportunas de vigilancia y control. Para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

La existencia de esta legitimación legitima que no es necesario el consentimiento previo del trabajador. Ello no excluye del cumplimiento del derecho de información del articulo 13 del RGPD. Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos de la existencia y características de estos dispositivos de GPS. Igualmente deberán informales acerca del posible ejercicio de los derechos de acceso, rectificación, limitación y supresión del tratamiento.

¿Se puede recoger la huella dactilar de un trabajador como sistema de fichaje para el registro horario?

En el tratamiento de la huella deben aplicarse los principios de finalidad y minimización. La huella dactilar es un dato biométrico. Dato especialmente protegido por el RGPD. Calificado como “categoría especial”.
Se deben establecer algunas garantías como la autorización del cifrado, el almacenamiento de esos datos biométricos en un dispositivo personal. Pero no en un almacenamiento centralizado o en el sistema. Como garantía para legitimar el control horario.

El sistema biométricos utilizado debería tener en cuenta que la reutilización de los datos para otros fines, no procede. Están diseñados de tal forma que se pueda revocar el vínculo de identidad.
También se podrán utilizar formatos y tecnologías que impidan la conexión de base de datos biométricos y la divulgación de datos no comprobadas.

El Gabinete Jurídico de la AEPD en su informe 65/2015. Señala que en base a los principios de proporcionalidad y minimización. Lo ideal sería que esos datos biométricos se incorporasen a una tarjeta inteligente en poder del usuario.

De ese modo para acceder a las instalaciones utilizaría la tarjeta y posicionaría su huella sobre el lector. El sistema informático central no almacenaría el algoritmo que estaría en la tarjeta personal.

En cuanto a la custodia de los datos que los trabajadores. Desde la AEPD indican que teniendo como base el articulo 34 del Estatuto de los Trabajadores y el RDLEy 8/2019. Los datos deberán guardarse durante cuatro años.

Se ha de tener en cuenta que si el sistema lo ha instalado una empresa tercera. Deberá firmar un contrato de encargado de tratamiento que defina claramente estas particularidades.

Por último, el artículo 9 del Reglamento General de Protección de Datos establece:

Que el tratamiento sea necesario para el cumplimento de obligaciones previamente establecidas. Para ejercer los derechos en protección de datos. Este es el supuesto por el que el control de la huella digital para la asistencia al puesto de trabajo estará autorizado. Habida cuenta que se busca comprobar que el trabajador cumple con su jornada laboral. En ningún caso este dato debe ser usado para otra finalidad.

Entorno web:

¿Cuáles son las obligaciones a tener en cuenta en el envío de comunicaciones publicitarias a empresas o personas que aparecen en las guías telefónicas? ¿Pueden enviar comunicaciones comerciales por email a esos destinatarios?

No, puesto que La normativa de protección de datos requiere el consentimiento para el tratamiento de la información. Pero no exigía un consentimiento expreso. En el ámbito de la LSSI (y la LGTel) se requiere que quien envíe una comunicación comercial esté en disposición de demostrar que está tratando esos datos una vez ha obtenido el consentimiento expreso.

Para el envió de comunicaciones comerciales debe tenerse en cuenta el medio por el que va a llevarse a cabo la publicidad, en tanto que la realizada por comunicaciones electrónicas resulta de aplicación la LSSICE, exigiendo consentimiento expreso.

Este consentimiento, tiene que ser expreso y previo. Es decir, al tratamiento de datos para el envío del mensaje debe precederle la autorización expresa de su receptor. A través de una manifestación activa de su voluntad consiente el uso de sus datos con dichas finalidades. Dicho de otra forma, para el uso de datos con fines publicitarios en estos dos sectores. No será posible obtener el consentimiento de forma tácita del artículo 14.2 RLOPD. Sino como prevé el RGPD de forma expresa o indubitada.

¿Podrían enviar comunicaciones comerciales a sus contactos de Linkedin? ¿Por qué?

No. Puesto que el envío de correos electrónicos publicitarios no deseados a contactos de linkedin es contrario a LOPDGDD. También a las condiciones de uso de los usuarios de Linkedin. Se ha de obtener expreso consentimiento del receptor para aceptar la recepción de dichos correos comerciales o publicitarios.

Por otra parte, se tiene que tener en cuenta que LinkedIn es una red social. No una base de datos pública.
Como tal red social, no se puede considerar como “datos manifiestamente públicos (art. 45 RDLOPD)”. Por tanto, es fundamental tener el consentimiento del receptor.

También, indicar que la AEPD en su informe jurídico 0342-2008 indica que internet es una fuente de acceso público. Sin embargo, aunque estos datos estén disponibles públicamente, no pueden ser considerados como fuente accesible al público.

¿Podrían comerciar con los datos de sus usuarios y comunicarlos a una los datos a una tercera empresa? ¿Qué aspectos legales tendría que tener en cuenta?

En virtud del informe 2011-0241 sobre la utilización de la red social con fines publicitarios.
En dicho informe señala que, en el ámbito de la red social, el hecho de abrir una cuenta no es equiparable a la de los usuarios que forman parte de ella actuando en un ámbito puramente personal o familiar, ya que aquí la finalidad es otra.

La exención domestica no resulta aplicable. Tal y como señala el Grupo de Trabajo del artículo 29, en su Dictamen 5/2009, sobre redes sociales:

– Si un usuario del servicio de redes sociales actúa en nombre de una empresa o una asociación o utiliza la red principalmente como una plataforma con fines comerciales, políticos o sociales asume todas las obligaciones de un responsable de datos que está revelando datos personales a otro responsable de datos (el servicio de redes sociales) y a terceros (otros usuarios de Servicios de Redes Sociales o, potencialmente, otros responsables de datos con acceso a los mismos) En estas circunstancias, el usuario necesita el consentimiento de las personas concernidas.

En cuanto a la información que aparece en el perfil de los usuarios de redes sociales, con carácter general, revela sus intereses y actividades a todos aquellos que tengan la condición de amigos o a todos los demás usuarios si el perfil se encuentra abierto, ahora bien, la utilización de dichos datos, incluso en el ámbito de la propia red, con fines comerciales exige que dicho tratamiento de datos sea conocido y consentido por el interesado.

En cuanto al envío de correos comerciales por terceros. La utilización del servicio de mensajería de la red social resulta igualmente de aplicación lo previsto en el artículo 21 de la LSSICE. Aquellas opciones planteadas por la red social que permiten importar datos desde otros ficheros de que disponga el consultante. Dicha importación de datos supondrá una cesión de datos al servicio de red social. Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal.

Por tanto, la inexistencia de consentimiento de los afectados por el tratamiento para la cesión de datos a la red social dará lugar a una vulneración de lo previsto en la LOPDGDD.

¿Qué información tienen que trasladar a los usuarios para la instalación de cookies en sus terminales?

En virtud del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos. Por consiguiente, la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán. La información sobre cómo revocar el consentimiento y eliminar las cookies deberá de estar a disposición del usuario de forma accesible y permanente.

La Guía AEPD establece diferentes fórmulas para mostrar la información. Una de las fórmulas es la información por capas:

En la primera capa de información:

Se ha de mostrar cuando se accede a la página web— se ha de exponer la información más importante, claramente identificada, pidiendo el consentimiento para instalar las cookies en el navegador. En aquellos casos en que se pretenda obtener un «consentimiento tácito», será necesario advertir en este punto al usuario que si sigue navegando se considerará que ha prestado su consentimiento a la instalación de tales cookies.

El aviso deberá ofrecer la posibilidad de desactivar las cookies mediante un link que dirija a una segunda capa en la que, además, encuentre la restante información requerida por la normativa.

Información a incluir en la primera capa:

– Advertencia del uso de cookies no exceptuadas que se instalan al navegar por dicha página o al utilizar el servicio solicitado.
– Identificación de las finalidades de las cookies que se instalan.
– Información sobre si la instalación y uso de las cookies será solo del editor responsable de la web, o también de terceros asociados a él.
– En su caso, advertencia de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.
– Un enlace a una segunda capa informativa en la que se incluye una información más detallada

Información a incluir en una segunda capa de información:

– Información sobre la definición y función de las diferentes cookies
– Información y posibilidad sobre la forma de desactivar cada uno de esos tipos de cookies enunciados de forma sencilla

¿Qué modalidades tiene la página web para requerir el consentimiento de los usuarios?

El consentimiento expreso en la recogida de datos, podría cumplirse a través de la inclusión de una casilla en una web o el envío de un correo electrónico a la persona que se ha registrado en una web para que confirme dicho registro.

Esta casilla no debe estar premarcada, ya que de esta forma no realiza una manifestación activa de su voluntad.

Este consentimiento, para que sea válido, deberá ir precedido por la información que, si se recaba a través de una página web, estará en la cláusula de privacidad y habrá de recoger los siguientes elementos:

– Quién es el responsable (identidad y datos de contacto).
– Categorías exactas de datos personales que se recogerán y tratarán.
– Finalidades determinadas, explícitas, legítimas y relacionadas con la actividad publicitaria.
– Posibles comunicaciones de datos (sectores específicos y concretos de actividad respecto de los que podrá recibir mensajes publicitarios).
– Derechos del interesado.
– Menores.
– Consentimiento (expreso para la remisión de comunicaciones comerciales).

Sobre la forma de pedirlo, dos tipos de casillas relacionadas con el consentimiento del interesado:

Casilla Opt In:

Casilla no premarcada. Que se deberá incluir en el formulario de registro de datos con la finalidad de que el interesado pueda consentir:

– El tratamiento de sus datos con la finalidad de recibir, por medios electrónicos, comunicaciones comerciales sobre productos y/o servicios que no son similares a los contratados.
– La cesión de sus datos a terceros cuando se vayan a remitir comunicaciones comerciales por medios electrónicos.

Casilla de Opt Out:

Para casos en los que haya una relación contractual previa, se hubieran obtenido los datos lícitamente y sean para productos o servicios de la propia empresa similares a los que fueron objeto de contratación. Casilla no premarcada que se deberá incluir en el formulario de registro de datos con la finalidad de que el interesado se pueda oponer al:
– Tratamiento de los datos con motivo de las finalidades indicadas en el formulario.
– Envío de comunicaciones promocionales por medios no electrónicos.
– Por medios electrónicos sobre productos y/o servicios similares a los contratados.