//
Archivos

Legislación

Esta categoría contiene 16 entradas

El RGPD regula el denominado Registro de Actividades de Tratamiento ¿Cuándo es obligatorio implementar este Registro?

Los responsables y encargados deben mantener este registro por escrito, incluso en formato electrónico, en el que se incluya una descripción de los tratamientos de datos que realicen con la siguiente información:

-Nombre y datos de contacto del responsable, y en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.

-Fines del tratamiento, descripción de categorías de interesados y de categorías de los datos personales.

-Categorías de destinarios a quien se comuniquen los datos personales, incluidos destinatarios de terceros países u organizaciones internacionales.

-Transferencias internacionales.

-Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos, así como las medidas técnicas y organizativas de seguridad adoptadas.
En el caso de los encargados de tratamiento, la información será similar a la indicada anteriormente, pero adecuada a la prestación de servicios de tratamientos de datos que realizan en favor del responsable.

Por ejemplo, se incluirá sus datos de contacto y del responsable de por cuenta que actúan, o las categorías de tratamientos efectuados por cuenta de cada responsable.

Según el RGPD, este registro de actividades no será obligatorio si la empresa u organización emplea a menos de 250 trabajadores, salvo que los tratamientos que realicen supongan un riesgo para los derechos o libertades de los interesados, no sean ocasionales o incluyan categorías especiales de datos (pj…opiniones políticas, raza, afiliación sindical, datos genéticos, biométricos, salud) o datos relativos a condenas e infracciones penales.

AEPD.

Para más información:

Sección web del RGPD

Guía del Reglamento General de Protección de Datos para responsables del tratamiento

Anuncios

Adecuación a la LSSI – II: ámbito de aplicación

Imagen de adorno

Para comprender el ámbito de aplicación de la LSSI, es necesario conocer el concepto de prestador y servicio de la sociedad de la información.

INTRODUCCIÓN

Para muchos usuarios y empresas la Ley de Servicios de la Sociedad de la Información está enfocada fundamentalmente a regular el comercio electrónico en Internet, pero en realidad, como su nombre indica, su ámbito de aplicación es más amplio, y es una ley que hace referencia todo tipo de servicios de la sociedad de la información y a los distintos prestadores de los mismos.

Por otro lado y en relación con lo anterior, la ley abarca un conjunto de temáticas, las cuales se describen a continuación:

  • La prestación de servicios de la sociedad de la información, definiendo aspectos tan importantes como el concepto de prestador y las características del mismo para el cual aplica la ley.
  • Las obligaciones y régimen de los prestadores de servicios de la sociedad de la información, en relación sus obligaciones, el régimen de responsabilidad y los códigos de conducta.
  • Las comunicaciones comerciales por vía electrónica, con aspectos tan importantes como la información exigida en las comunicaciones comerciales, ofertas promocionales y concursos, o los derechos de los destinatarios.
  • La contratación por vía electrónica, en relación con la validez y eficacia de los contratos celebrados por vía electrónica, obligaciones previas a la contratación, etc.
  • La solución judicial y extrajudicial de conflictos, en relación con aquellas conductas contrarias a esta ley y que lesionen los intereses de los consumidores.
  • La información y control, en relación con la posibilidad de solicitar información por parte de los destinatarios de los servicios y los prestadores que podrán dirigirse a las distintas administraciones para obtener información o para la realización de diversos trámites.
  • Las infracciones y sanciones, en relación con la presente ley y en cuyo contenido se describe los responsables, las infracciones, las sanciones, etc.

Como se observa en los anteriores apartados, los dos primeros, están enfocados en la figura del prestador de servicios. En realidad, la ley se desarrolla en torno al concepto de prestador de servicios de la sociedad de la información, y su ámbito de aplicación está directamente relacionado con los aspectos que definen el concepto de prestador en la ley.

PRESTADOR

Según la norma, podemos clasificar los prestadores de servicios de la sociedad de la información en tres tipos principales, atendiendo a sus obligaciones:

  • PSSI o Prestadores de Servicios de la Sociedad de la Información, en general, que ofrecen algún tipo de servicio de la sociedad de la información, entre los que indica la norma.
  • PSI o Prestadores de Servicios de Intermediación, que es como se denomina a aquellos prestadores que ofrecen servicios de operadores de red, proveedores de acceso, de alojamiento, de motores de búsqueda, etc.
  • PSSI que realizan comercio electrónico. Que hace referencia a un tipo concreto de prestador, cuya actividad está enmarcada en el comercio electrónico.

SERVICIO

Tal y como se indica en la norma en el anexo de definiciones, se define Servicio de la Sociedad de la Información como Servicios de la sociedad de la información o servicios: todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario, es decir, todo servicio prestado de forma no gratuita, que precisa de una contraprestación, a distancia, por vía electrónica y a petición individual del destinatario.

Lo servicios incluidos son:

  • La contratación de bienes y servicios por vía electrónica.
  • La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
  • La gestión de compras en la red por grupos de personas.
  • El suministro de información por vía telemática.
  • El vídeo bajo demanda, entendido como distribución de contenidos previa petición individual del destinatario.

Además de lo anterior, existe también una lista de servicios excluidos del ámbito de aplicación de la ley, que están incluidas en la propia norma.

Suponiendo que una organización, empresa o usuario entra en la categoría de PSSI y que además ofrece alguno de los servicios que se han indicado, sería necesario determinar si dicha organización está sujeta a la ley en cuanto a su localización geográfica o desde el punto de vista del lugar desde el cual se desarrolla la actividad.

En este sentido, y de forma general, quedan sujetas a la presente ley:

  • Las entidades establecidas o personas físicas residentes en España.
  • Las o personas físicas residentes en un Estado miembro de la UE o del Espacio Económico Europeo.
  • Las entidades establecidas o personas físicas residentes en un país tercero, siempre que dirijan sus servicios específicamente al territorio español.

Fuente: Inteco.


Las autoridades europeas de protección de datos han adoptado un dictamen sobre la exención a la obtención del consentimiento para el uso de cookies

Las autoridades europeas de protección de datos, reunidas en el Grupo de Trabajo del artículo 29, han adoptado un dictamen sobre la exención a la obtención del consentimiento para el uso de cookies durante su sesión plenaria de los días 6 y 7 de junio de 2012 en Bruselas. El dictamen explica cómo la Directiva revisada sobre la privacidad y las comunicaciones electrónicas afecta al uso de las cookies y tecnologías similares. Más concretamente, en su dictamen las autoridades europeas de protección de datos han analizado las exenciones del requisito de obtener el consentimiento informado en este contexto. El dictamen aborda las cookies que se puede colocar en determinadas circunstancias sin la necesidad de contar con el consentimiento informado. Además, proporciona directrices para decidir si una cookie está exenta del principio del consentimiento informado.

El Artículo 5.3 revisado (la llamada “Ley de cookies”) de la Directiva sobre la privacidad y las comunicaciones electrónicas ha reforzado la protección de los usuarios de redes y servicios de comunicaciones electrónicas al establecer como requisito la obtención del consentimiento informado antes de que se almacene o se acceda a la información en el dispositivo terminal del usuario (o del abonado). El requisito se aplica a todos los tipos de información que se almacena o a la que se accede en el dispositivo terminal del usuario, aunque la mayor parte del análisis se ha centrado en el uso de las cookies.

El Artículo 5.3 permite que algunas cookies queden exentas del requisito de obtener el consentimieno informado, si cumplen uno de los siguientes criterios:

1.- Que la cookie se utilice “al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas”.

2.- “en la medida de lo estrictamente necesario a fin de que le proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario”.

En su dictamen, el Grupo de Trabajo del artículo 29 se ha concentrado en estas exenciones al principio del consentimiento informado  en el contexto de las cookies y tecnologías relacionadas. Las autoridades europeas de protección de datos ya habían examinado anteriormente los requisitos para la obtención del consentimiento informado de forma detallada en los dictámenes que emitieron sobre la publicidad en línea basada en el comportamiento (WP 171) y en la recomendación de buenas prácticas de EASA/IAB Europe sobre publicidad en línea basada en el comportamiento (WP 188).

El análisis de este dictamen muestra que algunas cokies pueden quedar exentas del requisito de obtener consentimiento informado en determinadas circunstancias si no se utilizan para fines adicionales. Estas cookies incluyen por ejemplo las cookies de “entrada del usuario” (que se emplean para hacer un seguimiento de los datos introducidos por el usuario  cuando rellena formularios en línea o utiliza un carrito de la compra), también conocidas como cookies de identificación de sesión, las cookies de las sesiones de los reproductores multimedia y las cookies de la personalización de la interfaz del usuario (por ejemplo, las cookies de preferencia de idioma que permiten recordar el idioma seleccionado por el usuario).

No es probable que las cookies analíticas de primera parte generen un riesgo para la privacidad cuando se limitan estrictamente a fines de recopilación de información estadística agregada sobre los interesados, ni cuando las utilizan sitios web que ya proporcionan información clara sobre estas cookies en sus políticas de privacidad, así como salvaguardias de protección de la privacidad. Se espera que dichas salvaguardias incluyan un mecanismo de fácil utilización para que los usuarios puedan inhabilitar cualquier recopilación de datos y mecanismos de anonimización exhaustivos que se aplican a otra información recopilada identificable, como las direcciones IP.

Las autoridades europeas de protección de datos desean subrayar que para poder decidir si una cookie está exenta del principio de consentimiento informado es importante comprobar cuidadosamente si cumple uno de los criterios de exención que se definen en el Artículo 5.3 de la Directiva sobre la privacidad y las comunicaciones electrónicas. En caso de duda, los operadores de los sitios web siempre pueden, por supuesto, pedir el consentimiento del usuario, evitando así cualquier incertidumbre jurídica.

“Grupo de Trabajo del Artículo 29”

El grupo de autoridades europeas de protección de datos- Grupo de trabajo del Artículo 29- es el grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea. Está facultado para examinar cualquier cuestión que esté relacionada con la aplicación de las directivas en materia de protección de datos para contribuir a la aplicación uniforme de las mismas. Desempeña sus funciones emitiendo recomendaciones, dictámenes y documentos de trabajo sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.

Fuente: AEPD

Nota de prensa. Versión AEPD (ES)

Nota de prensa del Grupo de Autoridades Europeas de Protección de Datos (EN)

Dictamen del Grupo de Autoridades Europeas de Protección de Datos sobre “cookies exentas de consentimiento” 

Aplicación trasnacional del derecho de la UE en protección de datos

El portal http://www.legaltoday.com ha publicado un interesantísimo artículo sobre la aplicación trasnacional del derecho de la UE en protección de datos.

En el mismo, en paralelo a dos columnas, nos presentan la cara y la cruz de esta aplicación trasnacional. Su lectura es muy recomendable y las conclusiones presentadas son dignas de reflexión.

Puedes seguir la lectura en el siguiente enlace: http://www.legaltoday.com/opinion/la-cara-y-la-cruz/aplicacion-trasnacional-del-derecho-de-la-ue-en-proteccion-de-datos

Fuente: Legaltoday.com

Prevención de blanqueo de capitales y protección de datos personales.

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su artículo 10.4, establece que será posible la cesión de datos de carácter personal sin contar con el consentimiento del interesado cuando “la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente”.

En este sentido la entrada en vigor de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, recoge la obligación de los sujetos enumerados en su artículo 2, de establecer requisitos de control y conservación de documentos en operación que excedan de 15.000 euros, en una o varias operaciones siempre que el pago se efectúe en metálico, cheques bancarios al portador o pagos electrónicos que tengan la consideración de pago al portador; identificando a cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones, realizando una comprobación previa, mediante documentos fehacientes.

Quedan fuera del sometimiento a las obligaciones, como sujetos obligados, los abogados, en relación al entablar relaciones de negocio, comunciación por indicio y colaboración con el SEPBLAC, con respecto a la información que éstos tengan de sus clientes al defenderles en procedimientos judiciales.

La Ley incorpora a nuestro sistema normativo la Directiva 2005/60/CE del Parlamento europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo, desarrollada por la Directiva 2006/70/CE de la Comisión, de 1 de agosto de 2006, por la que se establecen disposiciones de aplicación de la citada Directiva, en lo relativo a la definición de personas del medió político y a los criterio técnicos aplicables en los procedimientos simplificados de diligencia debida con respecto al cliente así como en lo que atañe a la exención por razones de actividad financiera ocasional o muy limitada.

La citada Ley establece como obligaciones dentro del control citado, la identificación formal de la persona física o jurídica que realice la operación, la realización de un examen de comportamientos y operaciones complejas que puedan tener relación con el blanqueo de capitales o financiación del terrorismo, la obligatoriedad de comunicar cualquier indicio al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), estableciendo la prohibición de revelación de dichas comunicaciones a terceras personas; en la medida de los posible se abstendrán de ejecutar dichas operaciones, así mismo se establece la obligación de conservar dicha información diez años.

En lo relativo a la conservación, tratamiento y comunicación de datos de carácter personal, el artículo 32 somete el cumplimiento de la norma a la Ley Orgánica 15/1999,d e 13 de diciembre, de protección de datos de carácter personal y normativa de desarrollo. Especificando que no se requerirá, como es lógico, el consentimiento del interesado para el tratamiento de los datos necesarios para el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales, ni para las obligadas comunicaciones el SEPBLAC, estableciéndose una excepción legal al deber de información recogido en el artículo 5 de la citada Ley Orgánica. Existiendo una prohibición expresa de revelar a los propios clientes o terceros que su informaciçon ha sido comunicada al SEPBLAC o que la misma esta siendo objeto de exámen .

Como se desprende del espíritu de la Ley 10/2010, la excepción al deber de información se amplia al ejercicio de derechos de acceso, rectificación, cancelación y oposición por el afectado, debiendo los sujetos obligados, informarle en los términos del artículo 32.3.

La Ley otorga la condición de encargados de tratamiento a los órganos centralizados de prevención, y eleva al nivel alto de seguridad las medidas aplicables a los ficheros que contengan datos de prevención de blanqueo de capitales y financiación del terrorismo.

La Ley, así mismo se centra en el intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude, cuando concurran circunstancias excepcionales que se determinen reglamentariamente, pudiendo la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, acordar dicho intercambio de información, referida a determinado tipo de operaciones distintas o a clientes sujetos a determinadas circunstancias, siempre que se encuentren en la categorías de sujetos obligados, previstas en el artículo 2 de la Ley.

La Ley establece, además, la obligación de los sujetos obligados de establecer medidas en las operaciones con personas que desempeñen o hayan desempeñado responsabilidades públicas, tanto en otros Estados miembro de la Unión Europea, como en terceros países, así como sus damiliares y personas con la consideraciíon de allegados.

Los sujetos obligados podrán intercambiar información relativa a las operaciones con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o financiación del terrorismo cuando las características y operativa del supuesto, implique la posibilidad de que una vez rechazada por el sujeto obligado, al operación pueda llevarse a cavo, con otro sujeto obligado, con idéntico desarrollo u operativa.

Los sujetos obligados y las autoridades judiciales, policiales y administrativas competentes podrán consultar la información contenida en los ficheros siempre que el acceso fuese necesario para el cumplimento de las obligaciones recogidas en la Ley. Dicho acceso deberá quedar limitado a los órganos de control interno y las unidades técnicas de control creadas en el ámbito de los sujetos obligados.

En relación a la conservación de documentos, el artículo 25 de la Ley establece que los sujetos obligados conservarán durante un periodo de diez años la documentación en que se formalice el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales y financiación del terrorismo, así como el lo referente a la investigación o análisis, en materia de posibles casos infractores, especificando el artículo que documentos se deben conservar. Dicha conservación se realizar, preferiblemente, en soportes ópticos, magnéticos o electrónicos, que garanticen su integridad, la correcta lectura, la imposibilidad de manipulación y su adecuada conservación y localización.

De los citados preceptos de la Ley 10/2010, deducimos la obligatoriedad por parte de los sujetos obligados, de creación e inscripción del correspondiente Fichero de datos de carácter personal ante la Agencia Española de Protección de Datos; quedando clara su finalidad (la prevención del blanqueo de capitales y financiación del terrorismo), el Responsable del Fichero y encargado de tratamiento, así como las medidas aplicables (nivel alto de seguridad) y los destinatarios de cesiones y comunicaciones, así como los propios usuarios del sujeto obligado que podrán acceder a la información con la correspondiente obligatoriedad de llevar los necesarios registros de acceso a la información, así como los registros destinados al inventariado de los soportes que la contienen.

En relación al registro de personas con responsabilidad pública, se faculta a los sujetos obligados, para la creación de gficheros, aún cuando no se mantengan con ellos relaciones negociales, pudiendo los sujetos obligados, recabar toda la información necesaria sin necesidad de tener el previo consentimiento, sólo pudiendo ser utilizada la información para el cumpliento de las medidas previstas en la Ley 10/2010.

Fuente:http://www.dlcarballo.com/2012/02/prevencion-blanqueo-capitales-y-lopd/

Las Autoridades europeas de protección de datos aprueban un Dictamen sobre las propuestas de reforma de la normativa europea protección de datos

(Madrid, 30 de marzo de 2012). El grupo de autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) ha aprobado, durante su sesión plenaria del 22 y 23 de marzo celebrada en Bruselas con la participación del director de la AEPD, José Luis Rodríguez Álvarez, un dictamen sobre las propuestas de reforma del marco normativo europeo de protección de datos de la Comisión Europea.

El Grupo de autoridades ofrece en el dictamen sus conclusiones generales tras el análisis de las propuestas y pone de relieve las áreas de preocupación y sugerencias de mejora.

En líneas generales el Grupo de autoridades europeas de protección de datos da la bienvenida a las propuestas presentadas por el Comisión Europea, que buscan reforzar los derechos de los interesados, para mejorar la responsabilidad de las empresas y fortalecer la posición de las autoridades de protección de datos, a nivel nacional e internacional.

El dictamen señala que, sin perjuicio de seguir mejorando, las normas propuestas pueden reducir significativamente la fragmentación existente y reforzar la protección de datos en Europa. El Grupo de Trabajo hace un llamamiento al Consejo y los miembros del Parlamento Europeo para aprovechar la oportunidad para mejorar las propuestas y la protección de los datos personales en la Unión Europea.

El Grupo de Trabajo, en particular, acoge con satisfacción la inclusión de disposiciones que incentiven a los responsables a invertir en materia de protección de datos (como en evaluaciones de impacto para la privacidad, privacidad en el diseño y en la privacidad por defecto), así como las propuestas de clarificar los principios de responsabilidad y la rendición de cuentas en el tratamiento de los datos personales.

El Grupo de Autoridades se muestra a favor de desarrollar el concepto de “ventanilla única” para las empresas, con una “autoridad líder” designada en función del lugar en el que la compañía tenga su establecimiento principal en Europa. Al mismo tiempo, acoge también favorablemente la existencia de una clara obligación para las autoridades de protección de datos de cooperar entre sí y de utilizar el “mecanismo de consistencia” previsto en el Reglamento para asegurar que éste se aplica coherentemente en los casos en que ciudadanos de varios Estados Miembros pueden verse afectados por operaciones de tratamiento de datos. Ello debe conducir a una interpretación y aplicación consistente del marco legal de la UE y, consecuentemente, creará seguridad jurídica.

Sin embargo, el Grupo entiende que para que el modelo pueda funcionar, debe aclararse el modo en que se determina el país en que una compañía multinacional tiene su establecimiento principal. Esta determinación es importante, porque la noción de “establecimiento principal” tiene como principal finalidad la de poder establecer qué autoridad nacional de protección de datos debe actuar como “autoridad líder” en un caso particular o para una compañía concreta. Asimismo, hay que definir mejor las competencias de las demás autoridades de protección de datos implicadas. Debe quedar claro en todo caso que la competencia de una autoridad líder no es exclusiva. Ello significa que la competencia de la autoridad líder está sometida a las obligaciones de cooperar, proporcionar y aceptar asistencia recíproca, hacer uso del mecanismo de consistencia y actuar de acuerdo con las demás autoridades de protección de datos.

El Grupo de Autoridades también manifiesta preocupación sobre el papel protagonista que asume la Comisión en las propuestas, tanto a través del uso de actos delegados o de ejecución como en casos individuales que deben ser tratados por las autoridades de supervisión en el Consejo Europeo de Protección de Datos en el marco del mecanismo de consistencia.

En relación con la Directiva sobre protección de datos en el ámbito policial y judicial penal, el Grupo de Autoridades lamenta la falta de ambición de la Comisión y subraya la necesidad de unas disposiciones más rigurosas. El Grupo está particularmente preocupado ante la ausencia de la Directiva de principios de protección de datos tan importantes como la limitación de los periodos de retención, transparencia y exactitud y los datos personales.

El Grupo de Trabajo, en la Opinión, trata también el ámbito de aplicación de la propuesta de Directiva y su coherencia con el Reglamento, entre otros temas en relación con los derechos de los interesados y las obligaciones de los responsables. Además, el Grupo valora el régimen de transferencias internacionales y la introducción de posibilidades muy amplias para excluir la aplicación de este régimen.

Por último, el Grupo de Autoridades demanda una evaluación independiente del incremento de los costes para las autoridades de protección de datos con vistas a asegurar que estas autoridades pueden desarrollar eficazmente las más amplias funciones que tanto el Reglamento como la Directiva les atribuyen.

Fuente: AEPD

Nota de prensa

Dictamen del grupo de Autoridades Europeas de Protección de Datos sobre las propuestas de reforma de la normativa europea de protección de datos (EN) 

 

Propuesta para endurecer las leyes de seguridad informática en Europa

El Comité Europeo de Libertades Civiles quiere que se debatan en el Parlamento Europeo modificaciones legislativas que endurecerían las penas contra los hackers.
Entre las propuestas estaría la consideración del “hackeo” como un delito penal, de forma que los usuarios que se aprovechen de vulnerabilidades de seguridad con propósitos maliciosos sean considerados criminales y puedan acabar en la cárcel.
En total, la pena mínima será de 2 años para aquellos casos menos importantes y de un total de 5 años si se emplearon herramientas específicamente diseñadas para ataques a gran escala, como por ejemplo las conocidas como botnets.
Otro tema que aborda la nueva ley es la suplantación de direcciones IP, práctica conocida como “Spoofing”, que se plantea que conlleve una pena de hasta tres años en los casos más graves.
Por otro lado, si los ataques han atentado contra sistemas de vital importancia como las plantas de energía, o generado importantes pérdidas en el terreno económico, se aumentarían las penas.
La propuesta del Comité también desea que se apliquen mayores penas para los ataques realizados por parte de grupos organizados de cibercriminales, y señala además, que el mero hecho de poseer herramientas para realizar “hackeos” o los planes para distribuirlas serán perseguidos.

Vínculos SlashGear

Visto en  www.theinquirer.es

El apercibimiento en la LOPD entra en escena con la reforma del Título VII.

La Agencia Española de Protección de datos ya está aplicando la figura del apercibimiento regulada en el artículo 45.6 de la LOPD. Esta figura fue introducida por la Ley 3/2011, de Economía Sostenible que modificó el régimen sancionador de la Ley de Protección de Datos. Faculta a la Agencia, en casos excepcionales, para no abrir procedimiento sancionador frente al infractor y en su lugar apercibirle, entiéndase como hacerle un reproche, por los incumplimientos leves o graves que el infractor hubiese cometido, obligándole a adoptar las medidas correctoras que se estimen convenientes para restituir la situación inicial, en el plazo indicado por la Agencia, y que no se vuelva a producir el incumplimiento de la Ley por los mismos motivos.

Si no se restituyese la situación en el plazo indicado, la Agencia continuaría con la apertura del procedimiento sancionador.

Para la aplicación de esta nueva figura se exigen unos requisitos previos o principales, que son que el infractor no fuese sancionado o apercibido con anterioridad y que los hechos fuesen constitutivos como infracción leve o grave según la propia Ley; y unos requisitos accesorios, que no por ello menos importantes, regulados en el art. 45.4 y 45.5 de la misma Ley como pudieran ser el reconocimiento de la responsabilidad, la intencionalidad, volumen de negocio, beneficios obtenidos, regularización de la situación irregular de forma diligente…

La Audiencia Nacional por su parte también está reconociendo la aplicación de esta figura, cuando la Agencia Española no lo ha hecho, y se cumplen los requisitos exigidos en la Ley (Sentencia de 17 de junio de 2011).

El procedimiento a seguir sería el siguiente:

La AEPD recibe denuncia sobre posible vulneración del derecho a la protección de datos de carácter personal. Abre expediente sobre comprobación de los hechos, previa a la apertura del expediente sancionador. En fase de comprobación la AEPD puede solicitar al presunto infractor cuanta documentación estime pertinente. Aunque la LOPD no indica nada sobre el derecho de defensa del presunto infractor, en aplicación del art. 79 de la Ley 30/92 del Procedimiento Administrativo, éste podrá realizar cuantas alegaciones estime conveniente; y realizar comprobaciones presenciales, y en este caso el inspector redactará un acta que será ofrecida para la firma del investigado donde éste podrá efectuar también alegaciones. Como motivos de defensa, en ambos casos, además de los materiales, podríamos aludir a motivos formales o de procedimiento, como pudieran ser los de prescripción de los hechos.

Si se comprueba que efectivamente se está vulnerando el derecho, la Agencia puede actuar de dos modos diferentes.

1º Aplicar la figura del apercibimiento. Para ello deberá comprobar la concurrencia de los requisitos exigidos comentados anteriormente para que se aplique. En este punto, y recordando que uno de los requisitos aplicables es la no sanción o apercibimiento anterior, indicar que si anteriormente el infractor hubiese sido sancionado, o apercibido con anterioridad, se debería comprobar que la sanción hubiere prescrito, en cuyo caso se podría aplicar nuevamente el apercibimiento.

Se le concederá plazo para que realice las medidas correctoras propuestas, y en el caso de que no las aplicara se abriría expediente sancionador.

2º Abrir expediente sancionador, en cuyo caso y si al término del mismo se impusiera sanción calificada como leve o grave el sancionado podría recurrir ante la Audiencia Nacional solicitando la aplicación de la figura del apercibimiento, si se diesen los presupuestos habilitantes.

La aplicación de esta figura supone una nueva oportunidad para la empresa infractora de adaptarse a los requerimientos de la normativa vigente en materia de protección de datos, pero no olvidemos que en teoría sólo se puede aplicar una vez, por lo que lo deseable es que no se tenga que recurrir a ella nunca.

Fuente: El derecho informático
Fecha: 06/09/2011

Guía de protección de datos de carácter personal para los centros de enseñanza

Gracias al uso cada vez extendido de las TIC (Tecnologías de la Información y Comunicación) en las aulas cada día hay más posibilidades de hacer llegar las actividades que se desarrollan en estas o en su entorno a más gente, en especial usando Internet.

Esto es, sin lugar a dudas, una oportunidad increíble, pero no está exenta de problemas, pues hay que tener muy en cuenta cosas como si se pueden publicar contenidos audiovisuales en los que salgan menores, etc, por no hablar de la necesidad de que en los centros educativos se traten adecuadamente los datos que se manejan de estos y de sus familias.

Para ello la Guía de protección de datos de carácter personal para los centros de enseñanza, editada por la Consejería de Educación de la Junta de Andalucía, y disponible apara su descarga gratuita en formato PDF, es un recurso que seguro que vendrá bien a los que lidian con estos temas.

Cubre la legislación actual vigente en España, a saber, la Ley Orgánica 15/1999, de 13 de diciembre, y Real Decreto 1720/2007, de 21 de diciembre.

La Consejería de Educación  de la Junta de Andalucía pone a disposición de la comunidad educativa esta “Guía de protección de datos de carácter personal para los centros de enseñanza”.

En ella se pueden encontrar aclaraciones sobre la aplicación de los principios de la Ley Orgánica de protección de datos al ámbito educativo, así como recomendaciones para el correcto tratamiento de ficheros no automatizados que contengan datos de carácter personal y preguntas frecuentes sobre la aplicación de la normativa de protección de datos de carácter personal en los centros de enseñanza .

El uso de redes sociales y la amplia presencia en Internet que día a día tienen las actividades, recursos y documentación audiovisual que se desarrollan en los centros educativos, muchas veces crean dudas sobre el principio jurídico fundamental que debe regir el tratamiento de los datos de los menores – el interés superior de los mismos- consagrado en la Convención de las Naciones Unidas sobre los Derechos del Niño y legislado en distintas normas.

Por otra parte, el tratamiento de los datos personales y escolares, tanto informático como físico, también require de su correcta aplicación, para lo que esta publicación puede ser de referencia.

Se trata, por lo tanto, de una interesante Guía para la consulta en el entorno educativo que clarifica la interpretación de la legislación actual: Ley Orgánica 15/1999, de 13 de diciembre, y Real Decreto 1720/2007, de 21 de diciembre.

Fuente. Junta de Andalucía.

https://www.juntadeandalucia.es/educacion/portalseneca/web/seneca/guia-lopd

Las redes sociales y el derecho al olvido… una cuestión pendiente.

El derecho al olvido se ha convertido en los últimos tiempos en el caballo de batalla del derecho a la privacidad en Europa. Este clamor alcanza su máximo exponente en las redes sociales, ¿por es así? ¿por qué le cuesta olvidar a las redes sociales?. Este artículo de El Mundo es merecedor de una lectura pausada.

A las redes sociales les cuesta ‘olvidar’

Es complicado, pero se puede dejar atrás la cuenta de Facebook, de Google+, de Tuenti o de Twitter. Otra cosa es comprobar si nuestros datos realmente se han borrado de sus servidores.

La cuestión no es menor: los datos son la verdadera riqueza de Internet, un maná que las redes sociales han sabido aprovechar dado que el mercado publicitario en la Red está en manos de quienes dispongan de los mejores datos sobre los usuarios.

La prueba de ello se encuentra, precisamente, en las noticias que generan compañías como Facebook, camino de salir a Bolsa con unosamplios márgenes de beneficio gracias a la publicidad y los videojuegos ‘online’, y que ha visto cómo su valoración se dispara hasta los más de 100.000 millones de dólares.

Recientemente, Google anunciaba la unificación y simplificación de sus políticas de privacidad de cerca de 60 servicios diferentes, tales como Gmail, YouTube o Picasa. En la práctica, la compañía informa de que a partir del 1 de marzo podrá cruzar los datos de sus usuarios, integrar y ‘aprender’ más de ellos, con lo cual “mejorarán los anuncios”. Esa información es, por tanto, extremadamente valiosa.

La legislación española prevé, especialmente a través del ejercicio delderecho de cancelación, que un ciudadano pueda solicitar el borrado de todos aquellos datos personales cuya retención no esté amparada por otro derecho. En el caso de una red social, los datos que voluntariamente publicamos en nuestros perfiles deberían ser borrados una vez retiramos nuestro consentimiento.

¿Se borran los datos?

En realidad, es muy complicado saber con certeza si una red social ha borrado realmente los datos de una cuenta que el usuario cancela. El amparo con el que cuenta el ciudadano es, por tanto, limitado, debido a la propia naturaleza de Internet y su carácter global.

La propia comisaria de Justicia de la UE y principal impulsora de la armonización de la protección de datos, Viviane Reding, confiesa que “jamás puedes estar seguro de que los datos se han borradoefectivamente, teniendo en cuenta la ‘nube’ y dónde están localizados los servidores”. Las leyes sobre protección de datos tienen una aplicación territorial, mientras que Internet no conoce fronteras.

El caso del estudiante austriaco Max Schrems que denunció a Facebook por incumplir la legislación europea en materia de protección de datos se ha convertido en un auténtico paradigma, según Reding, “de lo que funciona y de lo que no”. Schrems, una auténtica ‘china’ en el zapato de la red social más grande del mundo, demostró el pasado año que Facebook guarda una gran cantidad de información que, en teoría, debería estar borrada. Al final, su investigación se tradujo en 22 denuncias interpuestas ante las autoridades regulatorias de Irlanda, país en donde Facebook tiene sus oficinas europeas.

“No estamos regulando sobre servidores o la nube, sino sobre compañías con representación legal en Europa”, asegura Reding, “así que si quiere hacer negocios en Europa tienen que responder ante un regulador nacional, que deberá operar bajo una norma que será igual para todos los estados de la UE, ya no habrá sitios donde ‘esquivar’ esto en la UE porque la ley se aplicará igual en todas partes”.

¿Se puede comprobar si realmente los datos son borrados a petición de un usuario? Para el director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, las autoridades “pueden realizar inspecciones para verificar el efectivo cumplimiento, pero no es la regla”. Y el ciudadano no tiene derecho a reclamar estas verificaciones. Si existe un indicio de incumplimiento, el propio director de la AEPD puede ordenar una comprobación. No obstante, recuerda que no hay medios para comprobar cada caso, aunque remarca “un incumplimiento o un engaño ante una resolución de la AEPD tiene consecuencias gravísimas, con sanciones muy altas”.

“Yo me cuestiono si deben o no borrarlos”, afirma por su parteRafael Gimeno-Bayon del Molino, jurista experto en reputación ‘online’. “Nadie ha obligado a que masivamente como sociedad entremos en las redes sociales, y creo que debemos también ser responsables de nuestra intervención en el mundo digital”. El abogado recuerda que “hemos realizado un contrato con la Red (por cierto, en el caso de Faceboock, con una empresa de EEUU que cotiza en bolsa) en el que le venimos a decir: ‘Yo te doy mi vida digital y tu estudias mi información para hacerte rico'”.

¿Quién es responsable?

En un reciente postPeter Fleischman, director de privacidad de Google, se mostraba a favor de que las plataformas que alojan contenidos de los usuarios (YouTube, Facebook…) borren los contenidos a petición de los usuarios pero “no necesariamente de forma instantánea por una serie de limitaciones prácticas” como, por ejemplo, “evitar la eliminación masiva de contenidos cuando una cuenta ha sido comprometida”.

Lo cierto es que la reproducción y republicación de una imagen o de una serie de datos puede realizarse en cuestión de segundos, y esto quedaría fuera del ámbito de poder de la red social: no podría borrar contenidos duplicados en otra plataforma, razona Fleischman, quien recuerda además que las obras colaborativas no deberían poder borrarse a petición de uno solo de los autores.

Sucede además que algunos datos no se guardan en servidores de la propia compañía sino que se subcontrata espacio de almacenamiento digital a terceros. De esta manera se podría tener acceso a una foto publicada en Facebook aunque el perfil haya sido eliminado, porque esa imagen no está en un servidor de dicha red social.

En cuanto a los motores de búsqueda, Google defiende su ‘derecho a enlazar’ y propone “proporcionar medios para que los webmaster puedan acelerar la eliminación de su sitio web de los índices de búsqueda”. Es decir, para el gigante de la Red, “la responsabilidad de eliminar el contenido publicado en línea debe recaer en la persona o entidad que lo publicó”.

Una visión ligeramente diferente es la que tiene Richard Allan, director de privacidad de Facebook en Europa. Ya el pasado año criticó los planes de Bruselas para impulsar una regulación sobre el ‘derecho al olvido’ que, a su juicio, se basaban en algunos casos concretos. Según él, los casos concretos que han generado polémica en relación con el ‘derecho al olvido’ tienen su origen en contenidos indexados por los buscadores, almacenados como caché.

Por su parte, la red social española Tuenti, adquirida por Telefónica el pasado año, es rotunda en cuanto al borrado de datos. “Cuando un usuario decide dar de baja su perfil en Tuenti, procedemos al borrado físico de todos los datos e información concerniente a su persona de nuestros servidores”, asegura Óscar Casado, su director jurídico y de privacidad. “En Tuenti nuestros usuarios son quienes deciden y controlan cuándo y por cuánto tiempo están disponibles sus datos en la red social”, afirma.

Fuente: www.elmundo.es

http://www.elmundo.es/elmundo/2012/02/20/navegante/1329751557.html?cid=GNEW970103

Estadística del blog

  • 116,240 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: