Decálogo con consejos prácticos de privacidad y seguridad en dispositivos conectados, elaborado por la Agencia Española de Protección de datos

La Agencia Española de Protección de Datos (AEPD) apuesta de forma decidida por la prevención para que los ciudadanos sean más conscientes de los derechos que les asisten y cómo ejercerlos. Con motivo de las fiestas navideñas que se avecinaban, la AEPD elaboró un listado de 10 claves imprescindibles en materia de privacidad y seguridad a tener en cuenta si te regalaban o ibas a regalar un dispositivo conectado.

  1. Tu cuerpo dice más de lo que crees.
  2. Una ventana indiscreta.
  3. Dispositivos vulnerables.
  4. Protege tus datos ante pérdidas o robos.
  5. Apps: no aceptes sin leer.
  6. La ubicación no siempre es necesaria.
  7. Juguetes conectados.
  8. Demasiadas contraseñas.
  9. Menores: edúcales.
  10. ¿Sabes dónde compras?

En este link se puede ver el desarrollo de cada uno de estas 10 claves… que no tienen caducidad pasadas estas fiestas; mantienen toda su vigencia.

RETENCIÓN DE DATOS POR PARTE DE LAS OPERADORAS: SENTENCIA DEL TJUE

Los Estados Miembros no podrán obligar a las operadoras a almacenar datos de las conexiones de Internet

El TJUE ha determinado en la sentencia EU-C-2016/572 que el almacenamiento general e indiscriminado de datos de conexiones mediante redes de comunicaciones electrónicas resulta contrario a la legislación europea.

A este respecto, se impide que los estados miembros puedan establecer a las operadoras de redes de telecomunicaciones la obligación generalizada de almacenar los datos de las comunicaciones o de los datos de tráfico relativos a éstas, debido a que los datos referentes a los abonados que son tratados en las redes de comunicaciones electrónicas para el establecimiento de conexiones y la transmisión de información contienen datos sobre la vida privada de las personas físicas y, su tratamiento indiscriminado, supondría una vulneración directa del derecho la intimidad de los ciudadanos. Por lo tanto, dichos datos sólo deben poder almacenarse en la medida en que resulten necesarios para la prestación del servicio, para fines de facturación y para los pagos de interconexión, y durante un tiempo limitado. Cualquier otro tratamiento de dichos datos sólo podría permitirse si el abonado hubiere manifestado su consentimiento fundado en una información exacta facilitada por el proveedor de servicios de comunicaciones electrónicas acerca del tipo de tratamiento que pretende llevar a cabo y sobre el derecho del abonado a denegar o a retirar su consentimiento a tal fin.

Por el contrario, sí será posible el establecimiento de medidas legales para la conservación de dichos datos cuando tal limitación constituya una medida selectiva, necesaria, proporcional y apropiada para proteger la seguridad nacional, la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos siempre y cuando los datos conservados sean proporcionales a los fines que justifiquen su almacenamiento y cuya conservación tenga un plazo limitado justificado por los motivos indicados.

Así mismo, el tribunal establece que, en cualquier caso, el acceso por parte de las autoridades nacionales a los datos conservados por las operadoras de las redes de telecomunicaciones deberá estar sujeto a unos requisitos previos, entre los que se encuentra, el almacenamiento de dichos datos en territorio de la Unión Europea.

MAILCHIMP, WETRANSFER, DROPBOX, GOOGLE FOR WORKS, ONEDRIVE: Uso de aplicaciones o de herramientas online para tratamiento de datos personales

La gran variedad de aplicaciones y herramientas informáticas desarrolladas por los diferentes operadores y prestadores de servicios de la sociedad de la información permite que las empresas, entidades u profesionales, potencien su uso al descubrir las ventajas que ofrecen ante necesidades cotidianas como, por ejemplo, el envío de correos electrónicos a un amplio listado de clientes y proveedores, el intercambio o el compartir archivos pesados, el acceso a los recursos de la empresa a distancia, etc.

Herramientas como Mailchimp, WeTransfer, Dropbox, Google for Works, OneDrive, y un largo listado de aplicaciones similares, nos facilitan la gestión de nuestra empresa o actividad profesional, pero su uso no está exento de cumplimiento de la normativa en materia de protección de datos y, en su caso, comercio electrónico.

Es por ello por lo que es importante asegurarnos de que cumplimos con todas las obligaciones derivadas de la normativa y, en particular, en aquellos casos en los que el tratamiento de los datos de nuestra empresa se realice en servidores ubicados en países no pertenecientes a la Unión Europea, ya que nos encontraríamos ante una transferencia internacional de datos.

Éstas son las medidas que debes tomar para poder utilizar este tipo de herramientas sin incumplir con la normativa vigente:

  • Lee atentamente los Términos y Condiciones de Uso y las Políticas de Privacidad y de Cookies de la herramienta o aplicación antes de empezar a utilizarla.
  • Asegúrate de que la empresa, y los servidores donde se tratarán los datos, están ubicados en la Unión Europea o en un país con un nivel adecuado de protección. Consulta el listado de países con nivel adecuado de protección aquí.
  • En caso de que se encuentren en EEUU, la empresa deberá estar certificada en el marco del acuerdo de Privacy Shield (Escudo de Privacidad). Consulta si la empresa se encuentra en el listado aquí.
  • Si nos encontramos con empresas que no se encuentran en ninguno de los supuestos anteriores, habrás de solicitar autorización a la Directora de la de la Agencia Española de Protección de Datos, salvo que el tratamiento de datos esté incluido en alguna de las excepciones previstas por el art. 34 LOPD.
  • Notifica al Registro General de Protección de Datos la transferencia internacional para los ficheros declarados y cuyos datos sean objeto de transferencia internacional de datos.
  • Añade a las cláusulas informativas y de legitimación la información acerca de la transferencia internacional de datos.
  • En caso de que el tratamiento sea consecuencia de una prestación de servicios, firma el contrato de encargo de tratamiento (art. 12 LOPD) con el prestador de la aplicación o herramienta.

Recuerda que existen alternativas a estas aplicaciones que no suponen la realización de trasferencias internacionales de datos y que, por tanto, no requieren del cumplimiento de las medidas relativas a las mismas, herramientas gestionadas por prestadores de servicios ubicados en la UE o España y que ofrecen las garantías debidas con respecto al tratamiento de datos personales.

Si, además, vas a realizar el envío de comunicaciones por correo electrónico tendrás que asegurarte de cumplir con las obligaciones establecidas por la LSSI.

  • Asegúrate de contar con el consentimiento expreso de los receptores de las comunicaciones comerciales (art. 21 LSSI). Podrás enviar comunicaciones comerciales por vía electrónica a los clientes de tu empresa siempre y cuando se trate de comunicaciones referentes a productos o servicios prestados por tu empresa y que sean similares a los que tenga contratados el cliente; en caso de querer ofrecer información acerca de otros productos o de productos de terceros, tendrás que contar con el consentimiento expreso de tu cliente.
  • Identifícate correctamente en el cuerpo del correo electrónico indicando el nombre de tu empresa, razón social, NIF, domicilio e información de contacto.
  • Si envías contenido publicitario, utiliza elementos que permitan su clara identificación como palabras o símbolos que señalen su carácter publicitario/comercial.
  • Incluye en el correo electrónico un medio sencillo y gratuito a través de la inclusión de, al menos, una dirección de e-mail, para poder anular la recepción de comunicaciones comerciales por vía electrónica.
  • No olvides de añadir la cláusula informativa y de legitimación de la LOPD en el pie de e-mail.

Como recomendación final, si envías documentos que incluyan datos personales o información confidencial a través de estos medios, trata de cifrarlos (puedes generar un documento con programas como Winrar y ponerle una contraseña segura), y remite la contraseña en un e-mail o comunicación por separado. Por la propia naturaleza de Internet ninguna de las aplicaciones o herramientas online puede garantizar al 100% que la información no pueda ser interceptada por terceros no autorizados, por lo que toda medida de seguridad aplicada ayudará a mantener la confidencialidad de los datos e información tratados.

CÓMO PROTEGER, EN CINCO PASOS, LA PRIVACIDAD DE LA INFORMACIÓN DESDE TU PUESTO DE TRABAJO

El 28 de enero se conmemorará, un año más, el Día internacional de la privacidad de la información. Y es por la cercanía de la fecha por lo que hoy recuperamos estas recomendaciones publicadas en su día en el blog de INCIBE (Instituto Nacional de Ciberseguridad).

CÓMO PROTEGER EN 5 PASOS LA PRIVACIDAD DE LA INFORMACIÓN DESDE TU PUESTO DE TRABAJO

Son cada vez más las noticias sobre incidentes de ciberseguridad ocurridos en empresas, como son robo de datos, o fugas de información. En algunas ocasiones son ocasionados por el propio personal de la empresa por desconocimiento, aunque en otras ocasiones son ataques realizados por empleados malintencionados o ciberdelincuentes desde el exterior. Sin embargo, podemos evitar estas situaciones si seguimos las buenas.

 ¿Por dónde comenzar cuando queremos proteger la información de nuestra empresa? Esta pregunta tiene muchas posibles respuestas pero en la mayor parte de los casos el punto de partida debería ser analizar cuál es la información más importante y crítica de nuestra organización.

 Gran parte de la información la gestionamos desde nuestro puesto de trabajo. Por este motivo es importante que siempre consideremos 5 aspectos importantes para proteger la privacidad de esta información:

  1. Es importante clasificar la información que manejamos, para implementar las medidas de seguridad adecuadas a su criticidad.
  2.  Los dispositivos móviles son susceptibles de ser robados o extraviados, por lo que debemos llevar en ellos la información cifrada.
  3.  Es importante bloquear el equipo cuando no estemos trabajando en él para evitar el acceso a la información por usuarios no autorizados.
  4.  Es importante seguir una política de mesas limpias en nuestras oficinas para no exponer documentación sensible.
  5.  Las contraseñas que utilizamos para acceder a nuestros equipos deben ser robustas y secretas para garantizar la confidencialidad.

 Revisa y pon en práctica estas recomendaciones para proteger la privacidad de uno de los principales activos de tu empresa: la información.

 ¡Ponte en marcha!

 

https://www.incibe.es/protege-tu-empresa/blog/proteger-cinco-pasos-privacidad-informacion-empresa-puesto-de-trabajo

 

 

ENTREVISTA A NOÈLIA MUDARRA: EL ABOGADO TIC Y LOS DERECHOS DE IMAGEN, LA PROPIEDAD INTELECTUAL…

–          Las nuevas tecnologías han llegado para revolucionar la realidad tal y como la conocíamos. Esta nueva realidad exige de una progresiva adaptación de la legalidad y a partir de ella surge el abogado especializado en derecho digital.

En efecto. Cada vez existen, no sólo más usos de la tecnología y la sociedad de la información a nivel particular, sino más profesiones que centran su actividad en la presencia online, como los Community Managers, Bloggers profesionales, Youtubers, gestores de marca personal o una gran variedad de Startups con base tecnológica que se crean para la gestión o prestación de las más variadas actividades o servicios.

A partir de esta nueva realidad surge el abogado especializado en TIC o abogado digital, que no sólo asesora en materia de derecho de nuevas tecnologías sino que también abarca, de manera transversal, otras ramas del derecho en aquellos ámbitos afectados por las tecnologías. En una sociedad digitalizada como la actual, debemos destacar la importancia que adquiere la protección de determinados derechos como son los derechos de imagen y los derechos de propiedad intelectual e industrial.

Hoy en día cualquier usuario puede generar y publicar contenidos online, crear una página web personal, un canal en Youtube, subir contenidos a cualquiera de sus perfiles en redes sociales o compartir contenidos de terceros. Esto se traduce en un volumen enorme de informaciones y contenidos que cada día se publican y reproducen en Internet con alcance internacional.

Así, es fácil que una imagen que alguien ha subido a Instagram o en su blog personal en cualquier país de Europa pueda ser utilizada, por terceros, para ilustrar un artículo de opinión en un periódico online, un blog o incluso para crear un meme; o que emitan en televisión tu último videopost sin tu consentimiento. Es más, puede ser uno mismo quien esté vulnerando derechos de un tercero creando y publicando contenidos sin saberlo y se encuentre con una reclamación.

–          En este escenario ¿con qué mecanismos o normas contamos los ciudadanos para protegernos ante infracciones o vulneraciones de nuestros derechos?

Los ciudadanos no sólo contamos con la Ley Orgánica de Protección de Datos (LOPD) para protegernos de posibles vulneraciones de nuestros derechos personales, sino que además contamos con otras leyes, como la Ley sobre protección del derecho al honor, a la intimidad personal y familiar y a la propia imagen y, en cuanto a creaciones propias, la Ley de Marcas o la Ley de Propiedad Intelectual.

Ha habido casos de plagio reiterado, por parte de las grandes marcas de moda, de imágenes, ilustraciones o diseños de terceros.  Es el  caso de una conocida bloggera española, a quien tuvieron que avisar de que un conocido actor estadounidense llevaba puesta una camiseta con una imagen suya. La marca de moda había estado lucrándose con la imagen de la bloggera sin su consentimiento. La marca en cuestión, no sólo estaba vulnerando los derechos de imagen de la bloggera -además de atentar contra su privacidad sin su consentimiento- sino que también podía estar vulnerando los derechos del autor de la fotografía, del copyright.

–          ¿Y qué puede hacerse en un caso como éste?

En cuanto a los derechos de imagen, existe la vía civil, en la que se pueden reclamar los daños sufridos por la reproducción de la imagen sin el debido consentimiento.  Tenemos también la vía administrativa, ya que la imagen es un dato personal y, por tanto -siempre y cuando al sujeto le resulte de aplicación la LOPD- podemos denunciar ante la Agencia Española de Protección de Datos. Incluso podríamos optar por la vía penal si la infracción pudiera enmarcarse en los aspectos objetivos y subjetivos del tipo penal.

En cuanto a la propiedad intelectual o industrial, podemos requerir el cese del uso indebido y no autorizado de la obra y reclamar una indemnización por daños y perjuicios.

–          Pero esto supone, además de los posibles daños y perjuicios sufridos, unos costes económicos en abogados, costas judiciales, etc.  ¿No hay forma de impedir o evitar que sucedan estas cosas?

Por la propia naturaleza de Internet, resulta complicado controlar por completo la información y contenidos que se generan y comparten, pero sí existen acciones preventivas que podemos llevar a cabo para protegernos de posibles infracciones o que nos ayuden a probar los daños en el caso de no poder evitar la infracción. Es el caso de la propiedad intelectual o industrial: puedes registrar tus creaciones en el Registro de Propiedad Intelectual, o tus marcas o patentes en el Registro de Patentes y Marcas. En el caso de fotografías o vídeos, puedes utilizar imágenes o vídeos de menor calidad e insertar marcas de agua para que la reutilización no resulte tan atractiva.  Existen las licencias Creative Commons.

Por ello, es importante contar con un buen asesoramiento legal antes de emprender proyectos o actividades que comporten el uso de las TIC.

–          ¿Y qué pasa, por ejemplo, cuando la persona fallece?

En el caso de la protección de datos personales, al extinguirse la personalidad jurídica de la persona, la LOPD deja de ser aplicable. Esto no sucede con el derecho de imagen, que pasa a los herederos de esa persona, y por tanto, se permite la protección de la memoria del fallecido a través de sus herederos. Y en cuanto a personajes reconocidos, se permite la gestión de la vertiente patrimonial de sus derechos de imagen. Fueron los herederos de John Lennon, Bruce Lee o Marilyn Monroe quienes cedieron los derechos de imagen de éstos para la campaña publicitaria de una reconocida marca de coches hace algunos años. Del mismo modo, no se extingue el derecho de autor al fallecer el mismo; la ley española prevé 50 años desde la muerte del autor, y es a partir de entonces cuando la obra pasa a ser de dominio público.

En resumen, en el mundo digital todo está al alcance de todos. Ya hemos concienciado a una gran mayoría sobre la protección de datos personales. Pero la protección debe extenderse a todos los aspectos relacionados con el derecho y, en lo que respecta a las personas, la protección de la identidad digital, la marca personal, la protección al honor y a la propia imagen, y por supuesto, a las creaciones de contenidos originales de los autores, ya sean textos, imágenes, ilustraciones, creaciones musicales, audiovisuales, o cualquiera que sea su naturaleza.

NOÈLIA MUDARRA, Abogada de Logic Data Consulting.