DÍA EUROPEO DE LA PROTECCIÓN DE DATOS

 

Mañana jueves, 28 de Enero, es el

 

DÍA EUROPEO DE LA PROTECCIÓN DE DATOS

 

Ya son 10 años celebrándolo desde que, en 2006, el Comité de Ministros del Consejo de Europa estableció esta fecha en conmemoración del aniversario de la firma del Convenio 108, piedra angular de la protección de datos en Europa. La Agencia Española de Protección de Datos (AEPD) edita con cierta periodicidad vídeos divulgativos sobre distintos aspectos que inciden en la privacidad y la protección de datos, especialmente dirigidos a los jóvenes. Como éste

Puedes visionar desde aquí el Canal de YouTube de la AEPD.

EL “SPAM” POR WHATSAPP, SANCIONADO POR LA AEPD

Aunque en casos anteriores en los que la Agencia Española de Protección de Datos (AEPD) había iniciado procedimientos por el envío de publicidad no deseada (“spam”) a través de la aplicación “WhatsApp”

  • Uno fue archivado por haber prescrito (+ de 6 meses),
  • Otro se archivó por aplicación de la presunción de inocencia,
  • Y en el tercero tan solo se apercibió al denunciado,

el pasado mes de noviembre, la AEPD sancionó con 600 euros (infracción leve) a una empresa dedicada al ocio nocturno, siendo esta sanción la primera por lo que respecta al envío de spam a través de WhatsApp.

AVISO LEGAL DE PROTECCIÓN DE DATOS A PIE DE E-MAIL

Sí, está bien lo de incluir al pie de sus correos electrónicos el socorrido redactado de:  “El contenido de este correo es confidencial; en caso de no ser Ud. el destinatario…” por si hemos cometido un error en el momento de indicar la dirección de envío de ese correo.

Pero no basta.

Recuerde que la dirección de correo electrónico es un dato de carácter personal y que, como tal, debe aparecer en todos sus correos el preceptivo Aviso Legal de Protección de Datos, con indicación expresa informativa -al receptor de su comunicación- de:

  • la incorporación de sus datos en uno de sus ficheros,
  • de la finalidad,
  • del nombre del responsable del fichero,
  • del modo/dirección para poder ejercer los derechos ARCO (acceso, rectificación, cancelación y oposición)
  • y de la posibilidad de darse de baja de nuestros servicios, con indicación del modo/dirección.

ANULADO EL ACUERDO “SAFE HARBOR”… ¿CÓMO DEBEMOS ACTUAR?

¿Qué pasos seguir si su empresa realiza transferencias internacionales de datos a empresas de EEUU adheridas al acuerdo de Safe Harbor (actualmente anulado)?

El pasado 6 de octubre 2015, el Tribunal de Justicia de la Unión Europea (TJUE) declaró inválida la decisión de la Comisión 200/520/CE, que establecía el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro (el conocido “Safe Harbor”) por lo que las transferencias internacionales no pueden ampararse en esa base legal y deben encontrar legitimación en otros instrumentos (como las Cláusulas Contractuales Tipo adoptadas por las decisiones de la Comisión Europea 2001/497/CE, 2004/415/CE y 2010/87/UE) y, en su caso, en las excepciones previstas en el artículo 34 de la LOPD que pudieran ser aplicables.

La Agencia Española de Protección de Datos (AEPD), junto con las Autoridades europeas de protección de datos, busca soluciones para aplicar la sentencia del TJUE e insiste en que las Instituciones de la Unión Europea, los Estados miembros y las empresas encuentren un camino que permita el cumplimiento de la sentencia del Tribunal.

1.- Es por esto que la AEPD ha enviado una carta a las empresas que habían declarado ficheros en los que  informaban de acceso o cesión por parte de empresas adheridas a Safe Harbor, requiriéndoles para que, a la mayor brevedad y en todo caso antes del 29 de enero de 2016, informen al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre su adecuación a la normativa de protección de datos.

A partir del 29 de enero, de no recibirse contestación a este requerimiento ni, en su caso, la notificación de modificación de las transferencias internacionales contenidas en los ficheros en el plazo indicado, se les recuerda que conforme a lo dispuesto en el Reglamento de la LOPD, la AEPD podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias.

Al aproximarse la fecha límite (y pendientes todavía las negociaciones entre la Unión Europa y Estados Unidos para adoptar nuevos acuerdos que permitan estas transferencias internacionales conforme a lo establecido en la sentencia del TJUE) si usted ha recibido una notificación de la AEPD en este sentido, póngase en contacto con nosotros a los efectos de asesorarle.

2.- Igualmente, en el caso de que su empresa pretenda llevar a cabo transferencias internacionales de datos personales a Estados Unidos (empresas del mismo grupo empresarial, o a prestadores de servicios, por ejemplo, plataformas tecnológicas, encargados de tratamiento) deberá proceder a su regularización legal ante la Agencia Española de Protección de Datos.

La AEPD informa que en ningún caso ha requerido a las empresas para que dejen de utilizar determinados servicios de almacenamiento en la nube tipo Google Drive, Dropbox, MailChimp…, sino que lo pretende es informarles para que requieran a su proveedor de servicios, si es necesario, que les ofrezca una respuesta adaptada a la sentencia del TJUE.

Es por ello que la empresa debe revisar qué servicios, que impliquen tratamiento de datos de carácter personal, utiliza con proveedores adheridos a Safe Harbor, habida cuenta de que dicho acuerdo ha sido declarado nulo, para realizar las siguientes acciones:

A.- Revisar si la transferencia internacional se encuentra dentro de alguna de las excepciones a la solicitud de autorización a la Directora de la AEPD. El artículo 34 de la LOPD y 66.2 del RLOPD establecen una serie de supuestos exceptuados de la autorización previa de la Directora de la Agencia Española de Protección de Datos:

  • Cuando la transferencia internacional resulte de la aplicación de tratados o convenios en los que España sea parte.
  • Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
  • Cuando la transferencia sea necesaria para la prevención/diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
  • Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  • Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  • Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
  • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  • Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público.
  • Cuando la transferencia sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

B.- Iniciar contacto con el proveedor, a los efectos de requerirle para regularizar la relación, y proceder a comunicar a la AEPD la transferencia internacional de datos con la legitimación suficiente, es decir, habiendo suscrito un contrato que ofrezca garantías suficientes del cumplimiento de la normativa europea de protección de datos, para así obtener la autorización de la Directora de la AEPD.

C.- En caso de no recibir respuesta del proveedor, o que ésta no cubra los requisitos legales estipulados por la sentencia del TJUE, dejar de utilizar los servicios y proceder a la contratación otro proveedor que ofrezca las garantías legales suficientes.

En el caso de transferencias internacionales a empresas del mismo grupo empresarial también podrán autorizarse por la AEPD cuando se aporten contratos que ofrezcan garantías del cumplimiento de la normativa europea en protección de datos personales, o se hubieran adoptado normas internas vinculantes (BCRs) para dichas empresas y exigibles conforme al ordenamiento jurídico español.

IRENE-33  Irene LÓPEZ, Socia-Directora

OCIC; LAS REUNIONES DEL ÓRGANO DE CONTROL INTERNO Y COMUNICACIÓN

Prevención de blanqueo de capitales y financiación del terrorismo:  el OCIC

Si es sujeto obligado a la Ley 10/2010 de Prevención de Blanqueo de Capitales y de la Financiación del Terrorismo, cuenta con un órgano de control interno y de comunicación (en adelante OCIC) con representación de las diferentes áreas de negocio y que debe reunirse con carácter ordinario trimestralmente y, con carácter extraordinario, siempre que sea necesario. De estas reuniones deberán levantarse las correspondientes actas, que deberán contener información completa y suficiente sobre todos los temas tratados, así como de las decisiones adoptadas.

Además debe elaborarse de forma periódica, al menos anualmente, un informe o memoria explicativa que contenga las actuaciones e información estadística más relevante que, en materia de prevención, se haya producido en el periodo considerado (ej. cambios significativos en los procedimientos; implantación de nuevas aplicaciones informáticas; datos estadísticos sobre el número de alertas; de operaciones objeto de un análisis especial; de comunicaciones realizadas al SEPBLAC; de solicitudes o requerimientos de información recibidos; proceso de implantación de las mejoras indicadas por los revisores externos al sistema de prevención; etc.).

Le recordamos algunos de los temas recurrentes que deben tenerse en consideración en las reuniones del OCIC, y que deben quedar plasmados en las correspondientes actas:

-Comunicaciones al SEPBLAC: Presentación y análisis de operaciones sospechosas para valorar si han de ser reportadas al SEPBLAC.

-Aprobación del plan anual de formación en función de los riesgos del sector de negocio del sujeto obligado. Se recomienda que esta aprobación se haga en la primera reunión o en la última del año. Este plan de formación debe contener los siguientes aspectos:

  • Duración y periodicidad del mismo.
  • Forma de impartir, presencial o a distancia, y perfil de los formadores.
  • Empleados, departamentos y líneas de negocio a los que va dirigido, elaborando cursos idóneos según el perfil de cada colectivo de empleados.
  • Impartir curso de formación inicial en materia de PBC/FT a los empleados de nueva incorporación.
  • Implantación de un sistema de evaluación de los conocimientos adquiridos tras los cursos impartidos.

-Modificaciones de los listados de paraísos fiscales y jurisdicciones de riesgo.

-Presentación al máximo órgano de Dirección de la empresa, y al OCIC, del informe de experto externo y valorar sus conclusiones, así como adopción de medidas para solventar las deficiencias identificadas.

-Designación de experto externo para realizar el siguiente informe de experto externo.

-Cambios estructurales de la empresa que puedan afectar a la composición del OCIC (nuevos departamentos, nuevos miembros, sustituciones, ….).

-Adquisiciones de herramientas informáticas que ayuden a la prevención del blanqueo de capitales.

Desde LOGIC DATA CONSULTING  podemos ayudarle en la preparación y redactado de estas actas; póngase en contacto con nosotros para asesorarle.

VICTOR-2  Víctor ALTIMIRA, Socio-Abogado

CONFERENCIA EN C.C.J.C.C.: POLÍTICAS DE USO

 

 

 

 

 

Nuestras compañeras Irene López , socia directora, y Sonia Gracia ayer en el Col·legi de Censors Jurats de Comptes de Catalunya, minutos antes de su conferencia “Política de usos de los recursos tecnológicos de la empresa y de redes sociales“, justo el día en el que, casualmente, se conocía la Sentencia del Tribunal de Estrasburgo que permite al empresario vigilar las telecomunicaciones del trabajador.

La importancia de tener elaboradas, y puestas en marcha, las “Políticas de Uso”…

20160114_175701

AVANCES EN LA POLÍTICA DE PRIVACIDAD DE “GOOGLE”

La Agencia Española de Protección de Datos (AEPD) informa al Grupo de Autoridades europeas de protección de datos de los avances en relación a la política de privacidad de Google

Madrid, 11 de enero de 2016

La Agencia ha constatado que Google ha introducido modificaciones significativas en materia de información, consentimiento y ejercicio de derechos.

La compañía se ha comprometido a adoptar medidas adicionales específicamente solicitadas por la Agencia y a mantener un diálogo constante.

  • La Agencia ha examinado la evolución en el último año de la política de privacidad de Google, en el marco del seguimiento de la resolución sancionadora hecha pública hace dos años
  • La AEPD ha constatado que la compañía ha introducido modificaciones significativas en materia de información, consentimiento y ejercicio de derechos, áreas sobre las que la AEPD le requirió que hiciese cambios
  • Google también se ha comprometido a adoptar medidas adicionales específicamente solicitadas por la Agencia y a mantener un diálogo constante tanto sobre la aplicación de nuevas medidas como a informar de futuros cambios que puedan afectar a la privacidad de los ciudadano.

Algunas de las medidas puestas ya en marcha por la compañía a solicitud de la Agencia Española son las siguientes:

  • Se ha habilitado el centro “Información personal y privacidad” a partir del enlace “Mi cuenta” a los usuarios con cuenta en Google, donde se ofrece información adicional y opciones de gestión de la información recogida por Google, con algunas posibilidades de gestión también para usuarios no autenticados.
  • Se ha lanzado una campaña de recordatorios online cuando un usuario pretende hacer uso de los servicios de Google, tanto para usuarios autenticados como no autenticados, que obliga a acceder a la información de privacidad y fijar los parámetros de configuración.
  • El usuario tiene ahora la capacidad de desconectar selectivamente servicios que antes tenía activados de forma obligatoria y a los que se comunicaban datos de su actividad, incluyendo la posibilidad de eliminar completamente su cuenta.
  • Se ha suprimido la limitación al uso de varias cuentas abiertas por un mismo usuario. De esta forma, un usuario puede tener distintas cuentas y evitar la comunicación de datos entre las mismas.
  • La compañía ha incluido un formulario para solicitar el acceso a datos accesible desde la política de privacidad así como un enlace para ponerse en contacto con la compañía, herramientas para consultar los historiales de actividad y varias formas de acceder al formulario para ejercer el denominado “derecho al olvido”.

(nota de prensa completa aquí).

“LIFI”, LA CONEXIÓN QUE NOS LLEGA…

Una conexión a Internet 100 veces más rápida que el wifi.

El desarrollo del “internet de las cosas” choca con la saturación del espectro de radiofrecuencia de las redes wifi. La popularización del uso de dispositivos permanentemente conectados ha obligado a buscar nuevas soluciones. Se estima que en el año 2019, el tráfico mundial de datos se incrementará hasta los 24,3 exabytes al mes (24.300 millones de gigabytes).

Las conexiones por luz directa ( también conocidas como Lifi ) es solo el antecedente de una revolución muy próxima.

LiFi transporta los datos a través de la luz visible y no por microondas (a diferencia del wifi) aunque las dos ondas electromagnéticas. El problema está en el hardware de los aparatos, porque los procesadores todavía no son tan rápidos como para captar todos los paquetes que envía la luz visible.

Funciona como un código morse avanzado. Con sólo instalar un modulador, cualquier LED sería capaz, no sólo de dar luz, sino también de transmitir datos. Estos moduladores hacen que la luz se encienda y apague millones de veces por segundo creando los ceros y unos binarios que cifran los datos. El parpadeo es imperceptible para el ojo humano, pero no para unos fotodiodos colocados en los móviles u ordenadores que se encargarán de recoger los cambios de la luz e interpretarlos para convertirlos en información. De esta forma, toda la red de iluminación de una casa se convertiría así en un gran router con múltiples puntos de conexión al que conectar los gadgets.

El diseño prevé, en principio, solo la bajada de información (unidireccional), aunque los científicos aseguran que conseguir, no solo, por ejemplo, recibir un correo electrónico, sino también poder mandarlo, sería tan sencillo como colocar un emisor de luz en el dispositivo (bidireccional); la transmisión de datos por luz directa limita su radio a la estancia en la que el emisor y el receptor se encuentren. Ninguna persona puede interferir la señal, como sí puede hacerse a través de las microondas