seguridad información

Lo que la LOPD se llevó

    Guardado en Categoria Modelo, Nueva LOPD, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

Cuando una nueva ley entra en vigor se produce todo un maremoto de rumores y alarmas que es convenientemente aprovechado para generar negocio. Pero, ¿cuánto me cambia la vida la nueva LOPD? ¿Es realmente nueva? ¿Cómo me afecta si ya he realizado una adaptación al Reglamento europeo?

Lo primero que debemos destacar es la influencia de Internet y más concretamente de las redes sociales en el articulado. No solo por la inclusión expresa de los derechos digitales, sino también porque el uso generalizado de estas redes ha planteado nuevas situaciones que carecían de una respuesta legal satisfactoria, como es el caso de las publicaciones de personas ya fallecidas.

Por otra parte, esta ley sustituye y concreta el contenido del Reglamento Europeo, notablemente ambiguo en su redacción, y que ya había suprimido la exigencia del registro de ficheros de datos personales. Así por ejemplo, todo lo relativo a las definiciones y principios relativos al tratamiento de datos personales son un trasunto de la normativa europea, al igual que los derechos de los interesados. Por tanto, todas las empresas y entidades que ya hayan realizado una adecuada adaptación al Reglamento Europeo no van a ver alterada sustancialmente su operativa más allá de algunos retoques en sus políticas  o protocolos internos o la obligatoria designación de un delegado de protección de datos.

También se ha destacado el elevado número de leyes que se han visto modificadas por la aparición de la nueva Ley Orgánica 3/2018, de 5 de diciembre, desde la Ley Orgánica 5/1985 del Régimen Electoral General – y su ya muy conocido artículo 58.bis, que será objeto de otro post – a las leyes procesales, como la Ley de Enjuiciamiento Civil o de la Jurisdicción Contencioso Administrativa. Centrándonos hoy en el sector sanitario, destacan las previsiones en lo relativo a la gestión de las historias clínicas.

En la Ley 14/1986, de 25 de abril, General de Sanidad se introduce un nuevo articulo 105 bis en el Capítulo II relativo al tratamiento de datos de la investigación en salud:El tratamiento de datos personales en la investigación en salud se regirá por lo dispuesto en la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Por su parte, la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica se ve modificada en su artículo 16.3 relativo a los usos de la historia clínica»

  1. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y enla Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clinicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clinicoasistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.

En este ámbito sanitario, nuestra LOPD da un paso más en relación con la exigencia del nombramiento de un Delegado de Protección de Datos y así, mientras el Reglamento europeo nada especificaba en su artículo 37 , nuestra LOPD obliga a su designación para:

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

Por tanto, todos los centros sanitarios están obligados a nombrar un delegado de protección de datos en los términos de los artículos 34 y siguientes, salvo que ejerzan su actividad a título individual.

Más allá de los titulares: análisis de la Sentencia del Tribunal Constitucional sobre derecho a la intimidad en el trabajo

    Guardado en BLOG, EMPRESA, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

Despido por uso indebido de correo electrónico corporativo

Despido por uso indebido de correo electrónico corporativo

Esta semana los titulares de los diversos medios anunciaban que el Tribunal Constitucional  más que dictar sentencia, había sentenciado el derecho a la intimidad de los trabajadores. Pero ¿qué dice realmente la Sentencia del Tribunal Constitucional de fecha 7 de octubre y dónde radica su novedad?

El supuesto de hecho es bien conocido; un trabajador es despedido de una empresa por enviar información sensible y confidencial  a la competencia, utilizando para ello el teléfono móvil y el correo electrónico corporativo.

Ante la sospecha de que así era, a requerimiento de la empresa, se había personado en su sede un notario, al que, por un lado, se pone a su disposición un teléfono móvil propiedad de la empresa, comprobándose el contenido de los mensajes SMS, y por otro, se le entrega en depósito un ordenador portátil, también propiedad de la empresa. Se procede después en la notaría y por parte de un técnico, a identificar el disco  duro y a efectuar una copia del mismo, sin posibilidad de modificación de datos.

Sobre la base de tal prueba, la empresa despide al trabajador, pero para éste la información extraída del ordenador se obtuvo por la empresa contraviniendo la doctrina contenida en la Sentencia del Tribunal Supremo de 26 de septiembre de 2007, que establece determinados límites para el registro del ordenador asignado empresarialmente a un trabajador, a fin de que no se afecte una expectativa razonable de intimidad, razón por la que considera que los correos electrónicos constituyen una prueba ilegítimamente obtenida que debe declararse nula.

El Juzgado de lo Social núm. 16 de Madrid desestimó la petición de nulidad de la prueba pericial aportada por la empresa en relación con los correos electrónicos, dado que su práctica, fundada en las sospechas de un comportamiento irregular del trabajador, quedaba amparada por el art. 20.3 de la Ley del Estatuto de los Trabajadores (LET), aduciendo además  – y esto es importante – que el Convenio colectivo aplicable sancionaba como falta leve la utilización de los medios informáticos propiedad de la empresa para usos distintos de los relacionados con la prestación laboral.

No obstante lo anterior, la Sentencia estimó la demanda y declaró el despido improcedente, por considerar desproporcionada la sanción impuesta frente a la gravedad de los hechos acreditados en el juicio recurso de suplicación por la empresa.

El trabajador denunció que la interceptación de mensajes SMS obtenidos del teléfono móvil constituye una vulneración del derecho constitucional al secreto de las comunicaciones reconocido en el art. 18.3 CE, y asimismo, en relación con los correos electrónicos extraídos del ordenador, indicó que en la empresa no existía protocolo ni instrucciones sobre los límites y condiciones de utilización de los ordenadores ni tampoco sobre los procedimientos de control de su contenido, exigencias que derivan de la doctrina contenida en la Sentencia del Tribunal Supremo de 26 de septiembre de 2007.  La Sala de lo Social del Tribunal Superior de Justicia de Madrid estimó el recurso de suplicación de la empresa, declarando procedente el despido.

A partir de la doctrina sentada por la Sentencia del Tribunal Supremo de 26 de septiembre de 2007 sobre control empresarial del uso de los ordenadores por los trabajadores, el Tribunal Superior de Justicia toma en consideración que el art. 59.11 del Convenio colectivo de la Industria Química aplicable a las partes tipificaba como falta leve sancionable la utilización de los medios informáticos propiedad de la empresa para fines distintos de los relacionados con la prestación laboral. Dado que esta prohibición del Convenio no hacía referencia a los  teléfonos móviles, la Sentencia entendió que, al no haber establecido previamente la empresa las reglas sobre su uso y control, las pruebas obtenidas de los mensajes de texto del teléfono móvil proporcionado al trabajador debían ser rechazadas por resultar contrarias a su derecho a la intimidad. Por el contrario, la citada prohibición convencional sí alcanzaba al uso del correo electrónico.

La controversia a resolver versa, por tanto, sobre la necesaria delimitación de bienes e intereses de relevancia constitucional en el marco de las relaciones laborales: los derechos del trabajador a la intimidad y al secreto de las comunicaciones (arts. 18.1 y 18.3 CE), y el poder de dirección del empresario. “

Por lo que se refiere, en primer lugar, al derecho al secreto de las comunicaciones, objeto directo de protección del art. 18.3 CE es el proceso de comunicación en libertad y no por sí solo el mensaje transmitido, cuyo contenido puede ser banal o de notorio interés público.

Establece la STC que en su labor de delimitación del ámbito de cobertura del derecho, se ha precisado que “el art. 18.3 CE protege únicamente ciertas comunicaciones: las que se realizan a través de determinados medios o canales cerrados―quedan fuera de la protección constitucional aquellas formas de envío de la correspondencia que se configuran legalmente como comunicación abierta, esto es, no secreta. Así ocurre―cuando es legalmente obligatoria una declaración externa de contenido, o cuando bien su franqueo o cualquier otro signo o de igual forma, en la STC 241/2012, de 17 de diciembre (FJ 7), también hemos excluido la protección constitucional de comunicaciones abiertas, que se realizan en un canal del que no puede predicarse su confidencialidad.

En la misma Sentencia seprecisa que, aun cuando la atribución de espacios individualizados o exclusivos -como la asignación de cuentas personales de correo electrónico a los trabajadores –puede tener relevancia sobre la actuación fiscalizadora de la empresa, ha de tenerse en cuenta que los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin.

En el supuesto enjuiciado, las partes del proceso quedaban dentro del ámbito de aplicación del XV Convenio colectivo de la industria química, acordado por la Federación Empresarial de la Industria Química Española. En su art. 59.11 se tipificaba como falta leve la utilización de los medios informáticos propiedad de la empresa (correo electrónico, Intranet, Internet, etc.) para fines distintos de los relacionados con el contenido de la prestación laboral.

En atención al carácter vinculante de esta regulación colectivamente pactada, cabe concluir que, en su relación laboral, sólo estaba permitido al trabajador el uso profesional del correo electrónico de titularidad empresarial; en tanto su utilización para fines ajenos al contenido de la prestación laboral se encontraba tipificada como infracción sancionable por el empresario, regía pues en la empresa una prohibición expresa de uso extralaboral, no constando que dicha prohibición hubiera sido atenuada por la entidad.

Siendo este el régimen aplicable, el poder de control de la empresa sobre las herramientas informáticas de titularidad empresarial puestas a disposición de los trabajadores podía legítimamente ejercerse, ex art. 20.3 ET. De acuerdo con la doctrina constitucional expuesta, cabe entender también que no podía existir una expectativa fundada y razonable de confidencialidad respecto al conocimiento de las comunicaciones mantenidas por el trabajador a través de la cuenta de correo proporcionada por la empresa y que habían quedado registradas en el ordenador de propiedad empresarial.

En el supuesto analizado la remisión de mensajes enjuiciada se llevó pues a cabo a través de un canal de comunicación que, conforme a las previsiones legales y convencionales indicadas, se hallaba abierto al ejercicio del poder de inspección reconocido al empresario; sometido en consecuencia a su posible fiscalización, con lo que, de acuerdo con nuestra doctrina, quedaba fuera de la protección constitucional del art. 18.3 CE.

Rechazada la conculcación de este derecho fundamental ex art. 18.3 CE, expresamente hemos afirmado que el derecho a la intimidad es aplicable al ámbito de las relaciones laborales (SSTC 98/2000, de 10 de abril, FFJJ 6 a 9; 186/2000, de 10 de julio, FJ 5). Respecto a si la cobertura de este derecho fundamental se extiende al contenido de los mensajes electrónicos, en nuestra STC 173/2011, de 7 de noviembre, hemos puesto de manifiesto que el cúmulo de información que se almacena por su titular en un ordenador personal–entre otros datos sobre su vida privada y profesional–forma parte del ámbito de la intimidad constitucionalmente protegido. Nuestra doctrina ha establecido también ciertas matizaciones en cuanto al alcance de la protección del derecho a la intimidad reconocido en el art. 18.1 CE; el ámbito de cobertura de este derecho fundamental viene determinado por la existencia en el caso de una expectativa razonable de privacidad o confidencialidad.

Resumiendo, aun en defecto de política empresarial sobre el uso de medios tecnológicos en la empresa, como establecía hasta ahora la doctrina de la STS de 26 de septiembre de 2007, el Convenio Colectivo que tipifica como falta leve su utilización para fines distintos de los laborales viene a suplirla en tanto es conocido y vinculante para el trabajador.

No existe vulneración del art. 18.3 CE, porque la comunicación se realiza en lo que se considera el correo corporativo un canal abierto o no secreto, ni tampoco del art. 18.1 CE porque el trabajador no podía tener una expectativa razonable de confidencialidad al usar este medio.


«Image courtesy of Stuart Miles/ FreeDigitalPhotos.net».

Guía de Cloud Computing para despachos de abogados

    Guardado en BLOG, CLOUD COMPUTING, INTERNET, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

ID-100132579El Consejo General de la Abogacía en colaboración con la Agencia Española de Protección de Datos ha elaborado un informe que pretende constituir una guía para los despachos de abogados a la hora de utilizar el cloud computing. Y es que las ventajas de la gestión del despacho y sus expedientes en la nube son innegables, pero ello no debe hacernos olvidar la obligación no sólo de cumplir con la normativa de protección de datos, sino también de preservar el secreto profesional.

A lo largo de cinco puntos, este informe aborda cuestiones tan trascendentes como cuál sería la jurisdicción competente en caso de conflicto cuando los servidores en los que se alojan nuestros expedientes se ubican en países diferentes al nuestro. ¿Es competente el estado en el que físicamente se encuentran los servidores o aquel en el que radica nuestro despacho?

En este punto la respuesta es clara: la normativa aplicable es la ley del Estado donde está ubicado el responsable del tratamiento del fichero, en este caso el despacho de abogados. Por ello, los abogados deberán cerciorarse de que los proveedores de ‘cloud computing’ cumplen la normativa española de protección de datos personales (art. 20.2 del RLOPD). Las garantías exigibles son las establecidas en la LOPD y su reglamento de desarrollo y en ningún caso se podrá pactar la aplicación de una normativa distinta ni excluir la competencia de la AEPD.

Además debemos tener en cuenta que la normativa europea considera transferencia de datos personales la comunicación a países terceros – excepto en el territorio del Espacio Económico Europeo – y  señala que la transferencia ha de limitarse a naciones en las que los datos cuenten con lo que se define como “un nivel de protección adecuado”, salvo que se obtenga, previa la aportación de garantías adecuadas, la autorización del Director de la AEPD.

En el frecuente caso de que ese tercer país no comunitario sea Estados Unidos, si el proveedor se ha adherido voluntariamente al acuerdo de “puerto seguro”(safeharbor) en virtud del cual se obligan a cumplir requisitos equivalentes a los europeos en materia de protección de datos, no será necesaria la citada autorización, si bien siempre será necesario suscribir un contrato de prestación de servicios conforme a la LOPD (FAQ nº 10 de la Decisión 2000/520/CE).

¿Cómo conciliar las utilidades del cloud computing  con el cumplimiento del deber de secreto profesional? El artículo 9.1de la LOPD dispone que “El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado (…)” y a ese deber genérico de conservación se une el deber específico de secreto profesional por parte de los abogados.

Además es frecuente que por el tipo de asuntos profesionales gestionados en nuestros expedientes se encuentren  datos especialmente protegidos, entre los que se encuentran los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas. Por eso, los despachos de abogados deberán exigir a su proveedor el cumplimiento de las medidas de seguridad previstas en los art. 89 y siguientes del RD 1720/2007.

Por tanto, no sólo se debe cumplir con la normativa de protección de datos y suscribir el correspondiente contrato de encargado de tratamiento con el proveedor de servicios cloud (art. 12 LOPD), sino que además debemos incluir ciertas cláusulas relativas a aspectos esenciales para garantizar que el servicio se recibe con todas las garantías técnicas y legales y con pleno respeto al derecho a la protección de datos de carácter personal:

          Régimen de datos

          Cumplimiento de la normativa de protección de datos de carácter personal

          Seguridad en el acceso exclusivamente por los miembros del despacho

          Conservación e integridad de la información

          Disponibilidad del servicio

          Portabilidad de la totalidad de la información almacenada al término del servicio

          Consecuencias en caso de incumplimiento

 

 

 

Image courtesy of [image creator name] / FreeDigitalPhotos.net

Guía para el uso de cookies

    Guardado en BLOG, INTERNET, MARKETING ONLINE, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios
Guía uso de cookies

Cupcakes vs Cookies

A estas alturas todo el mundo sabe que las cookies han sido destronadas en el mundo de la repostería por los cupcakes. Tanto es así que su acepción más común se ha trasladado al universo de Internet, donde reinan sin competencia y se conocen como los archivos que se descargan desde el servidor en el terminal del usuario con la finalidad de recolectar información sobre la navegación del mismo, ya sea su usuario y contraseña, ya sean sus hábitos de navegación.  Pero, ¿saben los prestadores de servicios cuáles son los límites para utilizarlas en sus webs? ¿Conocen los internautas cómo controlar la descarga de cookies?

La aprobación del Real Decreto-ley 13/2012, por el cual se modifica el artículo 22 de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, supuso la obligación de exigir el consentimiento del usuario al instalar cookies.

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

Así pues, la primera conclusión es que no podremos utilizar cookies si no hemos obtenido el consentimiento, previa información adecuada, del destinatario. En concreto, debemos facilitar de forma clara y completa información sobre los siguientes extremos:

-Existencia de cookies y fines de su utilización y tratamiento

– Procedimiento para revocar el consentimiento y, en su caso, eliminar las cookies.

Por tanto, debemos incorporar estos extremos a los clausulados informativos  o avisos legales de las páginas web y debemos  hacerlo de forma “clara”, es decir, visible, fácil de encontrar y de entender. Sin conocimiento no hay consentimiento válido. Necesitamos un consentimiento informado.

Ahora bien, existen cookies exentas de la obligación de información y consentimiento en determinadas circunstancias y siempre que no se utilicen para fines adicionales. Así lo determinó el Grupo de Trabajo del artículo 29 en un dictamen sobre la exención a la obtención del consentimiento para el uso de cookies el pasado mes de junio de 2012 en Bruselas;

1- Cuando se utilice «al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas«;

2-  «en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario”.

Por ejemplo, las cookies de identificación de sesión, las cookies de las sesiones de los reproductores multimedia y las cookies de personalización de la interfaz del usuario.

Dada la necesidad de conciliar el respeto al derecho a la privacidad con los legítimos intereses de la industria digital y la publicidad online, la Agencia de Protección de Datos en colaboración con Adigital, IAB Interactive Advertising Bureau, Autocontrol y la Asociación Española de Anunciantes ha elaborado la “Guía sobre el uso de las Cookies”, que hoy mismo ve la luz.  En esta se abordan de manera sencilla desde cuestiones terminológicas hasta la explicitación de qué  información y cómo debe ofrecerse al usuario, así como las modalidades de obtención de su consentimiento para el uso de las cookies. Constituye, por tanto, una lectura obligada tanto para los internautas como, muy especialmente, para los editores, anunciantes y agencias de medios, de análisis y de medición.

Para todos ellos:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf

Image courtesy of [image creator name] / FreeDigitalPhotos.net

Aspectos legales de las apps

    Guardado en BLOG, PRIVACIDAD, PROPIEDAD INTELECTUAL, PROTECCION DATOS, seguridad información    |    Sin comentarios

Legalidad y apps para móviles

Pese a que la palabra del año será “privacidad” – con el permiso de “crisis”, claro está – y que ello se debe en buena medida a la generalización de los smartphones  y sus variadas aplicaciones, resulta curioso comprobar cómo desde la perspectiva legal sus desarrolladores bajan la guardia. A la hora de crear y diseñar una página web o un programa de software surge la necesidad y la duda de cómo adaptarla a las exigencias legales en sus distintas vertientes, tanto para proteger el trabajo del programador como para evitar sanciones por el incumplimiento de normativas como protección de datos o comercio electrónico.

Sin embargo, este resorte no parece funcionar con la misma efectividad cuando se trata de las aplicaciones para móviles conocidas como apps. Parece que mientras por los usuarios se da por hecho que su gratuidad se debe al coste en privacidad, por los desarrolladores  a veces se asumen sus carencias casi como una marca de serie.

Sin embargo, a la hora de crear una aplicación para móviles las exigencias legales no difieren de las propias del software; propiedad intelectual, protección de datos, consideración de servicio de la sociedad de la información, comercio electrónico, etc.

Recientemente leíamos un estudio revelador; únicamente un 5% de todas las aplicaciones para dispositivos móviles tienen una política de privacidad en vigor que explique cómo se almacenan, se usan y se comparten los datos personales de los usuarios.

Por otra parte, las “grandes” – Apple, Microsoft, Google, Amazon, Black Berry y Hewlett- Packard – han aceptado en las últimas semanas someterse a los principios recogidos en la norma California Online Privacy Protection Act para fijar unos mínimos en materia de protección de datos para las aplicaciones en sus plataformas móviles. Puede que su motivación no sea la preocupación por nuestra privacidad, sino presentarse como garantes de la confidencialidad para fomentar la confianza de los usuarios, ya de por sí confiados, y con ello las descargas, pero aquí podría decirse eso de que bien está lo que bien acaba.

No existe por tanto razón alguna por la que los requisitos legales que debe cumplir un programa de software o una página web no sean extensibles a las apps. De este modo, a la hora de desarrollar estas aplicaciones deberemos plantearnos la siguiente checklist legal:

–          Privacidad y datos personales.  En este punto es frecuente entender que siendo datos facilitados voluntariamente por el usuario, podemos saltarnos la mayoría de las formalidades legales, tales como el deber de información – cuando no se copia sin más de otras aplicaciones, ignorando que ni son los mismos datos, ni la misma finalidad, ni el mismo deber de seguridad…-,  el registro de los correspondientes ficheros, la redacción del documento de seguridad, contratos con terceros que presten servicios accediendo a los datos,  etc. También existe una creencia errónea sobre qué datos debemos considerar personales y cuáles no. Aquí debemos recordar que serán no sólo los que identifiquen directamente a la persona, sino también aquellos que la hagan identificable.

Como ya comentamos, si en algún terreno los fallos de privacidad saltan a los titulares con la consiguiente erosión del valor de la marca y desconfianza de consumidores y usuarios ese terreno es éste.

–          Nombre de la aplicación. Su denominación, como marca o nombre comercial, el registro del dominio correspondiente en su caso o el diseño de un logo característico son aspectos de la comercialización de la aplicación que deben protegerse y tenerse en cuenta.

–          La autoría de la aplicación. Como programa informático o software, la aplicación se encuentra protegida por la ley y los derechos de propiedad intelectual que nos permitirán no sólo ser reconocidos como creadores, sino también beneficiarnos de las prerrogativas de su explotación comercial y protegernos frente a posteriores intentos de plagio.

–          La aplicación como servicio de la Sociedad de la Información y la consiguiente aplicación de la LSSI-CE.

Por tanto, estos son los aspectos mínimos que a la hora de desarrollar y comercializar las aplicaciones móviles creadas deberemos tener en cuenta no sólo para obtener los beneficios buscados, sino también para evitar los perjuicios indeseados.

Image: suphakit73 / FreeDigitalPhotos.net

La futura legislación europea sobre Protección de Datos versus Patriot Act

    Guardado en BLOG, CLOUD COMPUTING, INTERNET, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

EUROPA VERSUS USA EN PRIVACIDADEs de todos conocida la brecha existente en ambos lados del Atlántico en relación con el concepto de privacidad y los límites que el respeto a ésta impone, por ejemplo, frente la injerencia estatal.

En el caso de Estados Unidos, esta capacidad de injerencia gubernativa sobre la información que de los ciudadanos manejan las empresas norteamericanas tiene su fundamento legal en la conocida como Patriot Act. De este modo, toda empresa norteamericana está obligada a facilitar a las agencias gubernamentales que lo soliciten los datos personales de sus clientes o de los usuarios de sus servicios. Basta para ello el mero requerimiento, sin necesidad de justificación ni aviso alguno a los interesados ni, por supuesto, su consentimiento, ya sean éstos ciudadanos americanos o europeos.

Fue precisamente el fenómeno del Cloud Computing el que el año pasado obligó a Microsoft a pronunciarse sobre la garantía de la privacidad en sus servicios en nube. Microsoft optó por ponerse la venda antes que la herida al advertir que, como empresa norteamericana que es, podría verse obligada a facilitar información sobre sus clientes europeos al Gobierno americano sin que éstos sean informados. Así que advertidos quedan de que no les puede garantizar la protección de sus datos personales alojados en la nube. Gordon Frazer, director general de Microsoft en el Reino Unido, explicaba que ninguna empresa podía garantizar la confidencialidad de los datos europeos si se utilizaba la Patriot Act sobre una compañía norteamericana;

En un número limitado de casos, en Microsoft puede que tengamos que revelar información sin su consentimiento previo, incluyendo cuando sea necesario para satisfacer los requisitos legales o para proteger los derechos o la propiedad de Microsoft a terceros (incluyendo el cumplimiento de los acuerdos o políticas que rigen en el uso del servicio). Aún así, como regla general los datos del cliente no serán transferidos a los centros de datos fuera de esa región (…)”

Por su parte, Google admitió que se habían entregado datos de ciudadanos europeos a las agencias de inteligencia americanas en cumplimiento de la Patriot Act.

La cuestión es cómo conciliar esta cesión de datos personales amparada en Estados Unidos por la Patriot Act con la prohibición que impone la normativa europea en protección de datos a esta comunicación y cómo hacerlo en aquellos casos en los que la empresa es americana, pero tiene centros de tratamiento de datos en Europa (Amazon, Google, Microsoft, etc.).

Viviane Reding, vicepresidenta de la Comisión Europea de la Justicia, Derechos Fundamentales y Ciudadanía, anunció que la Comisión actualizaría las legislaciones sobre protección de datos, fijando para enero de 2012 la difusión de más detalles al respecto. Al parecer, algunos de esos detalles han sido filtrados y se han conocido las líneas que seguiría la nueva normativa europea en materia de protección de datos, sustituyendo a la actual Directiva 95/46/CE y, por tanto, a las legislaciones de los estados miembros, proceso normativo que en todo caso no duraría menos de dos o tres años. Parece que será en el Foro Económico Mundial de este mes donde se desvelarán más detalles. De entre las propuestas se destaca:

  • Total armonización entre todas las normativas de protección de datos en el futuro.
  • Las empresas de fuera de Europa que procesen, almacenen y gestionen datos personales a través de sus servicios en la nube estarán bajo las mismas obligaciones que el resto de las empresas europeas si tienen oficinas con sede en Europa o clientes europeos.
  • Se requerirá el consentimiento expreso de los interesados para cualquier tratamiento de sus datos personales con finalidad de marketing.
  • Se sancionará el conocido como “derecho al olvido”.
  • Si una empresa sufre una pérdida de datos deberá informarse en un plazo de 24 horas tanto a la autoridad de protección de datos personales como a los interesados afectados.
  • Todas las empresas públicas y las empresas privadas de más de 250 empleados deberán tener agentes de protección de datos internos.
  • Previsión de sanciones económicas en casos de incumplimiento que podrían alcanzar el 5% de la facturación anual mundial de la entidad infractora.

Si esto se hace realidad, las empresas americanas que tratan datos personales de ciudadanos europeos ya no podrán alegar la Patriot Act para respaldar la cesión de datos personales al Gobierno americano, pero ¿podrán Google o Microsoft alegar la normativa europea ante el Gobierno americano para justificar su negativa a la hora de facilitar dicha información? Sin duda, será muy interesante presenciar el duelo entre la Patriot Act y la futura normativa europea sobre protección de datos. En definitiva, se trata de la lucha entre dos conceptos muy distintos de privacidad y lo que está en juego son nuestros datos personales, nuestra intimidad y la garantía de nuestra privacidad tal y como hasta ahora la hemos conocido.

Image: Danilo Rizzuti / FreeDigitalPhotos.net

Participando en la consulta pública sobre Cloud Computing

    Guardado en BLOG, CLOUD COMPUTING, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    1 Comentario

cloud computing

Agencia española de proteccion de datos y consulta abieta sobre cloud computing

No todos los días se tiene la oportunidad de participar en un trabajo sobre Cloud Computing o Computación en Nube con la Agencia Española de Protección de Datos, así que cuando esta oportunidad se presenta simplemente no se puede dejar pasar.

No es necesario ser un profesional  del sector o un prestador de servicios cloud, sino que cualquier usuario interesado en el Cloud Computing puede aportar su visión y experiencia. La democratización del sistema de investigación resulta tan atrayente como innovadora en nuestro país, donde la realización de sesudos estudios e informes suele corresponder a los expertos en boga o en nómina.

Hace algo más de un año que el término Cloud Computing empezó a generalizarse, pero la utilización de la nube por parte de los internautas es muy anterior. No me detendré en la explicación de lo que Cloud Computing significa, pero sí en la reflexión de que cualquiera que tuviese una cuenta de correo electrónico de Gmail, por ejemplo, estaba ya utilizando la nube. Así pues cualquier internauta disfrutaba ya de todas las ventajas de tener su correo electrónico, sus contenidos y adjuntos, sus contactos, desde cualquier ordenador o dispositivo con acceso a Internet, es decir, estaba ya utilizando la nube como Saas, como Software as a Service.

La cuestión es si más allá de las indudables utilidades del correo web el usuario se planteaba  la  existencia de algún inconveniente. Si a la ventaja de no necesitar un programa o software de correo electrónico, ni tener que abonar su correspondiente licencia de uso, ni tener que preocuparse por las copias de seguridad, ni temer la pérdida de información,  etc. se unía al menos alguna reticencia. Por ejemplo, la duda sobre dónde están realmente mis datos, en qué país, bajo qué legislación, qué empresa los guarda, quién garantiza la confidencialidad de mis comunicaciones electrónicas, de mis contactos,  si mis datos personales son utilizados por alguien más para alguna otra cosa, etc.

Así, la generalización del Cloud Computing obliga a dar respuesta a estas dudas y tal contestación no siempre es uniforme ni coincidente en el terreno legal, entrando en conflicto con otros derechos como la privacidad, cuya valoración tampoco es unívoca en todos los países.

Por eso, el usuario no experto, pero sobradamente capaz de plantearse esas y otras preguntas puede acceder a la consulta pública de la Agencia de Protección de Datos para indicar qué servicios en nube utiliza, si le preocupa la seguridad o la privacidad de su información, si le inquieta el cómo y a quién dirigirse para ejercitar los derechos que como interesado le corresponden y deben seguir correspondiéndole, si cree que sus datos como administrado deben recibir igual o mayor protección que sus datos como consumidor, imponiendo a las Administraciones Públicas unas garantías especiales, etc.

El contenido de esta consulta pública resulta también especialmente interesante para quienes desempeñan otros papeles en el tratamiento de datos. Así, por ejemplo, para quienes ocupan la posición de responsables de ficheros tratados en la nube, ya que su limitado control sobre las eventuales subcontrataciones puede tener consecuencias directas sobre su responsabilidad de acuerdo con la legislación española y europea. También para quienes serán encargados del tratamiento de los datos personales contenidos en los ficheros de terceros y podrían verse sometidos a la supervisión y auditoría del responsable del fichero o a la eventual exigencia legal de obtener un certificado de seguridad de los servicios cloud que presta.

No cabe duda de que la regulación sobre Cloud Computing que permita aprovechar al máximo las prerrogativas de este sistema y ofrecer las máximas garantías para los usuarios será el difícil resultado de la apasionante labor de adaptar el Derecho, tan lento de reflejos él, a la trepidante evolución de las tecnologías de la comunicación. En esta dirección tenemos la oportunidad de aportar nuestro granito de arena: http://www.servicios.agpd.es/AGPD/portal-AGPD-CLOUD

Image: scottchan / FreeDigitalPhotos.net

NFC, el medio de pago del futuro…año

    Guardado en BLOG, INTERNET, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

NFC, EL MEDIO DE PAGO DEL FUTURO...AÑO

SMARTPHONES CON NFC, EL NUEVO MEDIO DE PAGO

A principios de este año se comenzó a hablar de NFC (Near Field Communication), tecnología de comunicación inalámbrica que constituye una evolución de una tecnología ya ampliamente utilizada, RFID (Radio Frequency Identification). Así podemos encontrar la identificación mediante radiofrecuencia en el chip de nuestro perro, en los peajes que cruzamos, en nuestra ropa, en las pulseras de identificación en resorts de todo incluido u hospitales, en los pasaportes americanos, etc. De la tecnología RFID hablamos anteriormente en este blog (6 de abril de 2011) y ya entonces se abordaba el conflicto existente entre las innumerables ventajas de la utilización de etiquetas RFID – comodidad, bajo coste, etc.- y el riesgo que para la privacidad puede suponer.

También entonces la tecnología NFC se estaba probando como medio de pago en Estados Unidos, en las ciudades de Nueva York y San Francisco, obteniendo una gran acogida por el público privilegiado que tuvo la oportunidad de utilizar alguno de los terminales habilitados con su chip, como el Samsung Wave 578 o el Nexus S. En tales pruebas su uso se limitaba a pequeñas compras que no superasen los cien dólares y en ciertos establecimientos y cadenas comerciales adheridas al proyecto.

En España, los primeros ensayos se realizaron en medios de transporte, como las pruebas piloto de Vodafone en Murcia, y al parecer Telefónica la probó entre sus empleados, pudiendo realizar pagos con sus móviles dentro del lugar de trabajo, para lo que se les suministró terminales con el chip habilitante. En aquellos momentos se comentaba el posible acuerdo entre Movistar, Vodafone y Orange para adquirir terminales compatibles con la tecnología NFC y de que Google pretendía incorporarlo al Nexus S mediante su propio sistema de pago (hoy ya presentado como Google Wallet en alianza con Citybank y Mastercard). Recuerdo que entonces pensé que estos terminales serían el regalo estrella de estas Navidades…

En los últimos días las noticias sobre NFC en su funcionalidad como medio de pago han proliferado como si de una campaña viral se tratase e imagino que en unas semanas habremos incorporado este término a nuestro tecno-lenguaje habitual. Pero ¿sabemos qué es NFC?

Imaginemos salir a la calle sin cartera, sin dinero, sin tarjetas, sin documentación (con perdón de la Ley Orgánica 1/1992 sobre Protección de la Seguridad Ciudadana). Imaginemos entrar y salir de tiendas, establecimientos de hostelería, medios de transporte, etc., sin sacar dinero ni mostrar nuestra identificación. Bastará con confirmar la autorización que nuestro smartphone nos pedirá para abonar el producto o servicio de que se trate. Listo, nuestro móvil se encargará de identificarnos y pagar por nosotros. Eso sí, con cargo a nuestra cuenta.

Para ello se incorpora un chip a la propia tarjeta SIM de nuestro teléfono con nuestra identificación y datos de crédito, de modo que cualquiera podrá disfrutar de sus ventajas, pero, como se puede suponer, también asumir sus riesgos…

En este punto, la elección del medio para confirmar la autorización será determinante del grado de seguridad, desde la marcación tradicional de un PIN – otro más – a la identificación mediante un patrón de huella digital o de iris.

Sea como sea, la vinculación de información personal con artículos o servicios y medios de pago obligará a considerar seriamente la normativa sobre protección de datos y privacidad por parte de los implicados en la recogida, el tratamiento y la conservación de dichos datos.

Tribunal de Justicia de la Unión Europea, no me sentencies que no te leo

    Guardado en BLOG, INTERNET, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    1 Comentario

tribunal justicia union europeaEn estos momentos en los que los términos Europa y europeo copan los titulares de las noticias y se discute la viabilidad de la subsistencia de la Unión Europea, parece que es precisamente en esa instancia donde aún podemos esperar Justicia. Pero desde España parece que podemos seguir esperando…sentados.

La pasada semana la Unión Europea a través de su Tribunal de Justicia hizo públicas dos sentencias que afectan de forma directa nada menos que a nuestros derechos fundamentales; el derecho a la privacidad,  el derecho a la información y al secreto de las comunicaciones. En ambos casos, estas sentencias tienen trascendencia en nuestro país.

Por una parte, el Tribunal de Justicia de la Unión Europea sentenció que un órgano institucional no puede imponer a un proveedor de servicios de acceso a Internet la obligación de supervisar si las descargas que hace un cliente de Internet son legales o no. Dicha sentencia vino a resolver el recurso presentado por una operadora belga a la que un juzgado obligó a impedir cualquier forma de envío o de recepción por sus clientes mediante programas peer-to-peer de archivos, en concreto música del repertorio de SABAM, entidad demandante y equivalente belga de nuestra SGAE.

Conclusión, es contrario al Derecho Comunitario cualquier requerimiento judicial que ordene a un proveedor de acceso a Internet establecer un sistema de filtrado de todas las comunicaciones electrónicas. Y es que dicha conducta vulnera los derechos fundamentales a la privacidad y secreto de las comunicaciones, así como las Directivas 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000 relativa a determinados aspectos jurídicos del comercio electrónico en el mercado interior  y la Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones.

Sin duda esto debería considerarse a la hora de aprobar el futuro reglamento de la conocida como Ley Sinde – Disposición Final Segunda de la Ley de Economía Sostenible -.

Por otra parte, el pasado mes de junio nuestro Tribunal Supremo derivó al Tribunal de Justicia de la Unión Europeo una decisión prejudicial sobre la interpretación del artículo 7. f) de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos.

La sentencia de la Sala Tercera del Tribunal de Justicia de la Unión Europea  de  24 de noviembre manifiesta que las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros en el tratamiento de datos personales pueden impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro, constituyendo un obstáculo para el ejercicio de actividades económicas en el ámbito comunitario y falsear así la competencia.

Y es que en España la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) que adapta el Derecho nacional a la Directiva 95/46  supedita el tratamiento de los datos a la prestación del consentimiento inequívoco del afectado. Su artículo 6. 2 dispone que no será preciso el consentimiento «cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado«.

Es decir, la normativa española añade al requisito del interés legítimo como presupuesto del tratamiento de los datos sin consentimiento del titular otro más que no está presente en la Directiva 95/46 y es que tales datos consten en fuentes accesibles al público.

Resumiendo,  el Tribunal de Justicia de la Unión Europea le ha dicho claramente a España que su Reglamento 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal se ha extralimitado al restringir la legitimación para el tratamiento de estos datos personales y afirma que no puede “imponer exigencias adicionales” a las ya establecidas en la Directiva.

Lo que el Tribunal Europeo ha dicho es que las disposiciones más restrictivas de la normativa española vulneran la legislación comunitaria, que considera «ilegal» que la normativa española de protección de datos exija que las informaciones personales figuren en fuentes accesibles al público para poder ser procesadas.

Pese a la claridad del fallo de esta sentencia, la Agencia Española de Protección de Datos, ente público que debe velar precisamente por el cumplimiento de la normativa sobre protección de datos personales, emitió una nota de prensa sorprendente, en la que parece restar importancia al fallo declarando la ilegalidad de la legislación que debe aplicar:

de la sentencia no parece derivarse una alteración sustancial del marco vigente ni que el fallo comporte una merma en el grado de protección de los derechos de los ciudadanos, si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto para decidir sobre la legitimidad del tratamiento”.

Nota: Mis agradecimientos a José Guillo Sánchez- Galiano, de paraprofesionales.com, por sus aportaciones.

Image: dan / FreeDigitalPhotos.net

Dime qué compras y te diré quién eres: Publicidad Online basada en el Comportamiento

    Guardado en BLOG, INTERNET, MARKETING ONLINE, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

Eso es lo que deben pensar Visa Inc. y MasterCard Inc., ya que están planeando muy seriamente utilizar lo que saben de nosotros a raíz de las compras que efectuamos con sus tarjetas de pago para que recibamos publicidad online ajustada a nuestro perfil (Wall Street Journal 25/10/11). De este modo, nuestros hábitos y preferencias de consumo en el mundo real servirán para crear una imagen de nosotros como objetivo de la publicidad de terceras empresas a las que simplemente venderían el acceso a su colosal base de datos.

Esta es una muestra más de la radical disparidad que existe en la consideración del concepto de privacidad a un lado y otro del Atlántico. Por ejemplo, incorporarse a la reciente estrella de la constelación de las redes sociales, Google +, supone aceptar que Google puede utilizar mis datos para personalizar el contenido y los anuncios en sitios que no sean de Google. Y en este caso, la política de la empresa americana tiene traducción al refranero español;  “como las lentejas, si quieres las tomas o si no las dejas”.

Otra evidencia del enfrentamiento entre ambas interpretaciones de la privacidad es el litigio que actualmente mantienen Google y la Agencia Española de Protección de Datos (AEPD) debido a la negativa de la firma estadounidense a retirar de su buscador cierto contenido. “Buscadores como Yahoo! atienden los mandatos de la agencia y bloquean los enlaces. Google se niega a cumplir nuestras resoluciones y las impugna ante los tribunales”, señaló José Luis Rodríguez Álvarez, director de la Agencia Española de Protección de Datos, durante su participación en la 33ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada la semana pasada en Méjico.

Dado que casi todos nosotros llevamos en la cartera al menos una tarjeta de las entidades citadas, ¿es cierto que somos lo que compramos?, ¿es posible que en la vieja Europa se hagan realidad los audaces planes de Visa y Mastercard? ¿Estamos indefensos ante la posibilidad de que nuestros hábitos de consumo sean utilizados por empresas con las que no tenemos relación para hostigarnos con su propaganda a medida?

La respuesta ha de ser negativa. Debemos recordar que en nuestro país, cualquier envío de comunicaciones comerciales o publicitarias deberá respetar lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (art. 30), en el  Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo (Cap. III) y  en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (Cap. III Tít. III). Estas mismas disposiciones constituyen nuestra protección como usuarios de Internet y posibles objetivos de publicidad no siempre deseada.

Además, cumpliendo con el compromiso adquirido precisamente con las Autoridades Europeas de Protección de Datos, el Interactive Advertising Bureau Europe (IAB), asociación que representa al sector de la publicidad digital en Europa, publicó el pasado mes de abril su Código de autorregulación para la publicidad online basada en el comportamiento (Online Behavioural Advertising, OBA, www.iabeurope.eu). Este Código establece un conjunto de buenas prácticas encaminadas a dotar de transparencia al sector y, lo que es más importante, a facilitar el control por parte de los consumidores.

Especialmente interesante es la creación de una web específica en la que el usuario puede informarse sobre qué es la publicidad basada en comportamiento y darse de baja en los sistemas publicitarios que la utilizan: www.youronlinechoices.com/es/

Sin embargo,  la efectividad de este compromiso tiene algunos límites. El primero es que tiene el valor de un “pacto entre caballeros”, ya que sólo es vinculante para las empresas adheridas a este Código.  El segundo es que el plazo límite para su implantación en las empresas vinculadas será junio del 2012. Confiemos en que, además de buenas prácticas, tengan buena fe.

Image: digitalart / FreeDigitalPhotos.net