Publicado el

¿QUÉ ES UNA “COMUNICACIÓN COMERCIAL”?. ¿PUEDO REALIZAR COMUNICACIONES COMERCIALES?

La definición de “comunicación comercial“ se ha traído directamente de la Directiva de Comercio Electrónico:

“Se considera comunicación comercial todas las formas de comunicación destinadas a proporcionar directa o indirectamente bienes o servicios o imagen de una empresa…”

Pero tiene dos excepciones  (Letra F del Anexo de la LSSI):

  1. No se consideran comunicaciones comerciales los datos que permitan acceder directamente a la actividad de una empresa, organización o persona, (concretamente el nombre de dominio o la dirección de correo electrónico), lo que permite que en todos los casos en los que un mensaje -que puede tener un contenido, por lo menos indirectamente publicitario, pero que lo que hace es señalar un enlace al que el usuario, si quiere, va o no va- está excluido del ámbito de aplicación de este sistema de garantías reforzadas de la LSSI.
  2. Y otra, que es una excepción muy relevante (…) se podrán realizar comunicaciones comerciales electrónicas a aquellas personas que hayan sido clientes de una organización siempre que se trate de productos y servicios de la misma empresa y similares a los que se contrató. (…) y con el ejercicio de un derecho de oposición en el momento de facilitar los datos o en las sucesivas comunicaciones que se vayan haciendo a aquellas personas.

En cambio, en los borradores del Reglamento de “ePrivacy”, no se contempla ninguna de dichas excepciones. Lo que no quiere decir que, en su redacción final, sí tengan cabida.

Publicado el

QUE NO SE LE ATRAGANTEN LAS “COOKIES” DE SU SITIO WEB…

PRESTE MUCHA ATENCIÓN AL REDACTADO DE  SU POLÍTICA DE COOKIES EN SU SITIO WEB. Y AL REDACTADO DEL BANNER INICIAL DE COOKIES

El redactado legal informativo de las cookies en su sitio web no es un tema baladí; y la aceptación en bloque de todas ellas no sólo no es correcto, sino que puede ser sancionable. Aquello de: “…si sigue usted navegando por él, entenderemos que acepta” en el banner inicial es incorrecto.

La Agencia Española de Protección de Datos ha emitido el pasado mes de septiembre la Resolución de dar por terminado el procedimiento sancionador contra Vueling, al constatar que:

“…si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de éstas en el dispositivo o de cualquier otra cookie, sino que se remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador”.

https://www.aepd.es/resoluciones/PS-00300-2019_ORI.pdf

REVISE SU POLÍTICA DE COOKIES, O CONSÚLTENOS SOBRE CÓMO NO INFRINGIR LAS NORMATIVAS QUE REGULAN SU USO

Publicado el

SESIÓN DE FORMACIÓN / INFORMACIÓN RGPD: Muchas preguntas… tenemos las respuestas

Tanto si ya ha finalizado el proceso de adecuación del nuevo Reglamento europeo de protección de datos (RGPD), como si está en plena fase de implantación, o todavía lo tiene en cartera , le interesará saber que:

Los días 29 y 30 de octubre impartiremos 4 sesiones de Formación-Información RGPD

sobre la realidad del día a día de las empresas conviviendo con el Reglamento (UE) 2016/679 de protección de datos (RGPD). 15 meses después de su plena aplicación.

Martes 29 ( 09:30 a 11:00 ó 11:30 a 13:00 ) –

Miércoles 30 ( 09:30 a 11:00 ó 11:30 a 13:00 )

Reserve ya su plaza para cualquiera de las cuatro sesiones aquí indicándonos a cuál de ellas quiere asistir.

¿Qué ha supuesto para las empresas?.

Dudas y dificultades habituales a la hora de la implantación efectiva y cómo solventarlas – Si su empresa está al día, pero en la anterior LOPD ¿tienes que hacer “borrón y cuenta nueva”? – La responsabilidad proactiva en el nuevo Reglamento – Análisis de riesgos y evaluaciones de impacto – ¿Tengo que nombrar a un Delegado de Protección de Datos? – ¿Qué es “obligado” y qué es “depende de” en el RGPD? – ¿Qué hay que tener en cuenta de la nueva LOPDGDD a la hora de implementar el RGPD? – Sanciones de la Agencia Española de Protección de Datos ya con el RGPD y la LOPDGG

Lugar: ESPAI 114 c/. Francesc Layret, 114 – BADALONA

Precio por asistente: 95 euros +IVA

Publicado el

EXCEPCIONES A LA OBLIGACIÓN DE REALIZAR EVALUACIONES DE IMPACTO DE PROTECCIÓN DE DATOS

El art. 35 del Reglamento General de Protección de Datos (RGPD) establece la obligación de realizar Evaluaciones de Impacto de Protección de Datos (EIPD). Será necesaria llevarla a cabo sobre aquellos tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas -en particular si utilizan nuevas tecnologías-, por su naturaleza, alcance, contexto o fines. En cualquier caso, será imprescindible siempre que el tratamiento consista en:

  1. La evaluación sistemática y exhaustiva que se base en un tratamiento automatizado de aspectos personales de personas físicas, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  2. El tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales,
  3. La observación sistemática a gran escala, mediante sistemas audiovisuales, de una zona de acceso público.

Las excepciones con respecto a los tratamientos de datos de salud, o de condenas e infracciones penales, se establecen en el Considerando 91 del RGPD:

“No se considerará un tratamiento a gran escala, el tratamiento de datos de salud (…) por un médico u otro profesional de la salud, a título de autónomo o empresario individual, o los datos de condenas e infracciones penales (…) por un solo abogado, quedando estas actividades de tratamiento exentas de realizar la Evaluación de Impacto.”

Del mismo modo, la AEPD ha publicado un listado de tratamientos que no requieren de EIPD en el que incluyen esta excepción del mencionado Considerando 91, eximiendo de realización de EIPD a médicos, profesionales de salud o abogados autónomos en el ejercicio de su labor profesional, siempre que estos tratamientos no cumplan con dos o más criterios derivados del listado de actividades del tratamiento que requieren de EIPD publicada por la misma AEPD.

Por lo tanto, en lo relativo al resto de tratamientos de datos realizados por médicos, profesionales de la salud o abogados autónomos, y que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, la EIPD continuará siendo obligatoria, del mismo modo que la realización del análisis de riesgos que determinará la necesidad o no de realizar dichas EIPD.

Los tratamientos que requerirán de EIPD en cualquier caso, ya se realicen por médicos, abogados o cualquier otro profesional podrán ser, por ejemplo: los sistemas de identificación y control horario mediante huella dactilar o reconocimiento facial (tratamiento de datos biométricos); el tratamiento de datos genéticos; el tratamiento automatizado de datos para la toma de decisiones sobre los sujetos interesados; la aplicación de sistemas o aplicaciones que requieran de nuevas tecnologías que resulten invasivas (como la teleconsulta); así como el resto de tratamientos incluidos en los listados de la Agencia Española de Protección de Datos u otras Autoridades de Protección de Datos Europeas.

No dudes en contactar con nosotros para cualquier consulta al respecto (correo electrónico a consultor@logicdataconsulting.com )

Publicado el

BRECHAS DE SEGURIDAD: ALGUNAS TIPOLOGÍAS DE CASOS QUE PUEDEN DAR LUGAR A UN INCIDENTE

0-day (vulnerabilidad no conocida): Vulnerabilidad que permite a un atacante el acceso a los datos en la medida en que es una vulnerabilidad desconocida. Esta vulnerabilidad estará disponible hasta que el fabricante o desarrollador la resuelva.

APT (ataque dirigido): Se refiere a diferentes tipos de ataques dirigidos normalmente a recabar información fundamental que permita continuar con ataques más sofisticados. En esta categoría se encuadraría por ejemplo una campaña de envío de email con software malintencionado a empleados de una empresa hasta conseguir que alguno de ellos lo instale en su equipo y proporcione una puerta de entrada al sistema.

Denegación de servicio (DoS/DDoS): Consiste en inundar de tráfico un sistema hasta que no sea capaz de dar servicio a los usuarios legítimos del mismo.

Acceso a cuentas privilegiadas: El atacante consigue acceder al sistema mediante una cuenta de usuario con privilegios avanzados, lo que le confiere libertad de acciones. Previamente deberá haber conseguido el nombre de usuario y contraseña por algún otro método, por ejemplo un ataque dirigido.

Código malicioso: piezas de software cuyo objetivo es infiltrase o dañar un ordenador, servidor u otro dispositivo de red con finalidades muy diversas. Una de las posibilidad para que el código dañino alcance a una organización es que un usuario lo instale de forma involuntaria.

Compromiso de la información: Recoge todos los incidentes relacionados con el acceso y fuga, modificación o borrado de información no pública.

Robo y/o filtración de datos: Se incluye en esta categoría la pérdida/robo de dispositivos de almacenamiento con información.

Desfiguración (Defacement): Es un tipo de ataque dirigido que consiste en la modificación de la página web corporativa con la intención de colgar mensajes reivindicativos de algún tipo o cualquier otra intención. La operativa normal de la web queda interrumpida, produciéndose además daños reputacionales.

Explotación de vulnerabilidades de aplicaciones: Cuando un posible atacante logra explotar con éxito una vulnerabilidad existente en un sistema o producto consiguiendo comprometer una aplicación de la organización.

Ingeniería social: Son técnicas basadas en el engaño, normalmente llevadas a cabo a través de las redes sociales, que se emplean para dirigir la conducta de una persona u obtener información sensible. Por ejemplo, el usuario es inducido a pulsar sobre un enlace haciéndole pensar que es lo correcto.

Fuente: AEPD

  • Hackeo de la red y acceso a datos por terceros no autorizados
  • Ransomware  (virus que encriptan los datos y piden un rescate por ellos)
  • Malware u otro tipo de virus que puedan afectar a datos
  • Que los empleados o entre compañeros se compartan contraseñas para acceder a diferentes datos a los que no todos tienen permisos o autorizaciones de acceso.
  • Robo o pérdida de documentación o dispositivos (me han robado o he perdido el portátil, el Smartphone, incluidos los personales si sincronizan el correo de empresa)
  • Acceso no autorizado a las oficinas o instalaciones de la empresa, con la consecuente pérdida o robo de documentación o equipos.
  • Trabajar en remoto desde equipos en casa, pero que esos equipos no tengan las medidas de seguridad que hay en la empresa
  • Olvidar o perder una contraseña de un dispositivo y que no se pueda recuperar la información que almacenaba (no recuerdo la contraseña de un HDD extraíble con la copia de seguridad)
Publicado el

NOTIFICACIÓN BRECHAS DE SEGURIDAD (Protección de Datos)

Una de las novedades del Reglamento General de Protección de Datos (RGPD) es la  NOTIFICACIÓN DE BRECHAS DE SEGURIDAD (violación de la seguridad de datos personales)

  • Deben notificarse a la autoridad de control, la  AEPD  (salvo que sea improbable que constituya un riesgo para los derechos y libertades de personas físicas).
  • Deben notificarse a los interesados, en los casos más graves y si así lo decide la AEPD
  • Hay establecido un plazo para ello: a más tardar, a las 72 horas de que se haya tenido constancia de ello.

¿Qué se considera una brecha de seguridad?  Ver enlace a nuestro sitio web

Las brechas de nuestros PROVEEDORES, que afecten a nuestros datos, también son brechas que debemos notificar.

CONSÚLTENOS en el caso de sufrir una brecha de seguridad. Les tutelaremos y acompañaremos en la valoración, documentación y posible necesidad de notificación.

¿Qué notificar?

  • La naturaleza (y, si es posible, categoría y número de interesados y número de registros afectados) 
  • Datos del DPD y/o de contacto
  • Describir posibles consecuencias
  • Describir las medidas adoptadas o propuestas
  • Si todo de una vez no fuera posible, ir facilitando la información gradualmente
  • Deberá documentarse cualquier violación de seguridad de datos personales notificada
  • Puede llegar a tenerse que comunicarse la violación de la seguridad a los interesados afectados

La propia AEPD tiene un Formulario de notificación de brechas de seguridad, que contempla:

  • Datos de la notificación
  • Identificación del DPD o contacto
  • Identificación del responsable del tratamiento
  • Identificación del encargado del tratamiento
  • Información temporal de la brecha
  • Tipología de la brecha
  • Información datos afectados
  • Información sujetos afectados
  • Posibles consecuencias
  • Comunicación a interesados
  • Implicaciones transfronterizas
  • Documentación referida

Así como también una lista de “Criterios valorativos para la notificación de brechas de seguridad” que ayuda a la toma de decisiones relacionadas con la necesidad, o no, de notificación a la AEPD, teniendo en cuenta unos parámetros matemáticos que contemplan:

  • Volumen
  • Tipología
  • Impacto

Publicado el

CONTROL DE JORNADA LABORAL A PARTIR DEL 12 DE MAYO: IMPLICACIONES A NIVEL DE PROTECCIÓN DE DATOS

Volvemos a recordar que la obligación del control de la jornada laboral lleva también aparejadas obligaciones en materia de protección de datos (RGPD y LOPDGDD).

Real Decreto Ley 8/2019 de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.

Artículo 10. Registro de jornada

Se modifica el artículo 34 de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre , añadiendo un nuevo apartado 9, con la siguiente redacción:

9- La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo.

Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de jornada.

La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.

El registro de jornada establecido en este apartado 9 del artículo 34, será de aplicación a los dos meses de su publicación en el BOE: el 12 de mayo de 2019

Implicaciones a nivel de protección de datos:

  1. Tener en cuenta el derecho a la protección de datos personales de los empleados como uno de los criterios a la hora de escoger la herramienta de sistema de control, que es uno de los principios básicos del RGPD (privacidad desde el diseño).
  2. Prever la creación de la actividad del tratamiento concreta en el Registro de Actividades del Tratamiento o incorporarla a las actividades del tratamiento ya previstas en el mismo, estableciendo las finalidades de ese tratamiento y el periodo de conservación de los datos.
  3. Informar a los empleados de la aplicación de tales medidas para obtener la legitimación al tratamiento de los datos.
  4. Suscribir contrato de encargo del tratamiento con el proveedor externo (si la herramienta de control electrónica la desarrolla y mantiene éste).

Además, si este control de jornada laboral se lleva a cabo por medios electrónicos y contempla la recogida de  (o/y):

  1. la huella dactilar; o “distancia entre cinco puntos” de ésta
  2. reconocimiento facial;
  3. reconocimiento de voz;
  4. datos de geolocalización;
  5. uso de aplicación móvil o cualquier otro sistema de control de jornada realizado por redes de telecomunicaciones u online.

además del análisis de riesgos hay que efectuar una Evaluación de Impacto previa, que deberá incluir el análisis, valoración y evaluación de la necesidad y la proporcionalidad del tratamiento de algunos o varios de estos datos con respecto a la finalidad de llevar el control horario y/o de acceso. Y también el análisis, valoración y evaluación de los riesgos para los derechos y libertades de los interesados por la naturaleza, alcance, contexto o fines del tratamiento, y establecer las medidas de seguridad necesarias.

Esta Evaluación de impacto previa no es una medida de seguridad al uso, sino más bien un mecanismo para evaluar los riesgos y el impacto que un tratamiento de datos tiene sobre los derechos y libertades de los interesados y que, en función de este análisis, el responsable del tratamiento debe implementar unas medidas de Seguridad determinadas u otras, con el fin de mitigar, eliminar o aceptar cada riesgo concreto.

Publicado el

¿ Y después del 25 de mayo de 2018… qué?

Pasó, como pasa todo.

El 25 de mayo de 2018 pasó, causando a su paso un gran revuelo social, mediático y empresarial. Fue como un tsunami. Logró que hablar de privacidad, de proteger tus derechos, de conocerlos, de denunciar, del nuevo reglamento… fuera algo usual y cotidiano en prensa, radio, televisión, redes sociales y en charlas de amigos no necesariamente relacionados con el derecho.

Hoy, a poco más de un mes de cumplirse el primer aniversario de que fuera de plena aplicación “…el Reglamento Europeo de protección de datos” (como de un modo familiar se le conocía) lo que cabe preguntarse es:

¿ Y después del 25 de mayo de 2018… qué ?

Porque la adecuación de las empresas al nuevo marco reglamentario europeo no era, ni es, una opción.

Pero a diferencia de un tsunami , que llega normalmente por sorpresa (casi sin avisar y sin darnos margen de reacción) arrasa y se va, el Reglamento (UE) 2016/679 llegó en 2016 precedido de muchos pequeños oleajes y, además, nos concedió una prórroga de dos años, para que sus efectos no pillaran por sorpresa a empresas y profesionales..

Todos sabemos ya lo que pasó: poca gente movió ficha, y a finales de abril-primeros de mayo todo fueron prisas para tratar de adecuarse al nuevo marco reglamentario, aderezadas con las dudas en su interpretación y aplicación, que la Agencia Española de Protección de Datos, l’Autoritat Catalana de Protecció de Dades y la Agencia Vasca de Protección de Datos se han ido esforzando en mitigar, con la publicación de distintas Guías, Prácticas, Listados de cumplimiento.

El Reglamento 2016/679 ha llegado para quedarse sin dejar, inicialmente al menos, ningún panorama desolador como no podía ser de otro modo en una normativa que lo que pretende es garantizar derechos. Pero, como los tsunami, sus efectos pueden llegar a ser devastadores para las empresas y/o profesionales que no hayan tomado las medidas oportunas para adecuarse a él.

Y con el Reglamento siendo ya de plena aplicación, en diciembre 2018 se publicó en España “la nueva LOPD”, que ahora recibe la extensión de “GDD” (garantía de los derechos digitales) y que lo que ha hecho ha sido adecuar nuestra LOPD al nuevo Reglamento Europeo. Es la LOPDGDD (Ley orgánica de protección de datos y garantía de los derechos digitales).

Delegado de protección de datos, consentimiento, derecho a la portabilidad y a la limitación del tratamiento, responsable de tratamiento, evaluación de impacto, análisis de riesgos. brechas de seguridad, responsabilidad proactiva, protecció de datos desde el diseño y por defecto… son algunos de los términos con los que debemos ya familiarizarnos e incorporarlos a nuestro día a día: en las empresas, no hay “uno que se encarga de lo de la protección de datos”. Es misión de toda empresa el hacer llegar a todos sus empleados la cultura de la privacidad.

Pronto llegará el nuevo 25 de mayo… ¿en qué situación se encuentra tu empresa?.

Publicado el

II – SOBRE EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

La mayor innovación -para los responsables de tratamientos- son dos elementos de carácter general, que se proyectan sobre todas las obligaciones de las empresas:

  • El principio de responsabilidad proactiva
  • El enfoque del riesgo

El primero se describe como “la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento

Así, debe analizar

  • qué datos tratan,
  • con qué finalidades lo hacen y
  • qué tipo de operaciones de tratamiento llevan a cabo,

y determinar explícitamente la forma en que aplicaran las medidas previstas en el RGPD y asegurándose de que éstas sean las adecuadas (…y que puedan demostrarlo). Se exige una actitud consciente, diligente y proactiva de las empresas en todos los tratamientos de datos personales que lleven a cabo.

En cuanto al enfoque del riesgo, las medidas dirigidas a garantizar el cumplimiento del RGPD deben tener en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y libertades de las personas. Así, algunas de las medidas que establece el RGPD se aplicarán sólo cuando haya un alto riesgo para los derechos y libertades; otras, en función del nivel y tipo de riesgo que los tratamientos presenten.

(Fuente: AEPD)
Publicado el

I – SOBRE EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Entró en vigor en mayo de 2016, y ya será de plena aplicación en menos de dos meses: el 25 de mayo de 2018.

El Reglamento General de Protección de Datos (RGPD) es una norma directamente aplicable; los responsables de tratamientos deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales. La ley que sustituirá a nuestra actual LOPD sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Las empresas que en la actualidad ya cumplen con la LOPD tienen una buena base de partida para adecuarse correctamente al RGPD, aunque éste modifica algunos aspectos del régimen actual y contiene nueva obligaciones.

(Fuente: AEPD)