NUEVA SENTENCIA DEL CONTROL DE LOS CORREOS DE LOS EMPLEADOS

Estrasburgo enmienda una de sus decisiones (de 2016) en la que daba la razón a una empresa que despidió a un ingeniero por usar Messenger para chats personales.

Según la nueva Sentencia del Tribunal de Derechos Humanos de Estrasburgo (que es inapelable y sienta jurisprudencia para todos los países miembros de la Unión) las empresas no tienen derecho a controlar de forma ilimitada los correos profesionales de sus empleados. Pueden controlar el correo interno, pero avisando previamente a sus empleados de que sus correos van a ser examinados, y tener un motivo concreto para hacerlo.

Según el Tribunal, es lícito que las empresas deban protegerse frente a empleados desleales (por espionaje industrial, por ejemplo, o por sustracción de datos confidenciales). Pero con matices. Según la sentencia, un control sistemático e indiscriminado de los correos profesionales por parte de las empresas supondría “una vigilancia permanente” y sería “contraria a la dignidad humana”.

En la Unión Europea, el control de los correos “va por barrios”; mientras que en Rumanía (donde ocurrió el caso ahora enmendado) se considera que la empresa tiene derecho a controlar todo lo que escriben y envían sus empleados) en Francia, la Comisión Nacional de Informática y Libertades impone a las empresas limitaciones más estrictas que las indicadas por el Tribunal de Estrasburgo. No sólo deben avisar a los empleados de que sus correos serán examinados, sino que -llegado el caso- deben hacerlo en presencia del empleado y, si se descubre una infracción, la sanción debe establecerla la Justicia, ante quien la empresa deberá llevar el caso.

Cabe destacar el que la Confederación Europea de Sindicatos recomendó “una proporcionalidad cuidadosa” ante cada infracción, al considerar que un ocasional uso privado del correo profesional no merece más que una amonestación y que una sanción, o despido, deberían reservarse para reincidentes o por motivos de vulneración graves, recomendaciones que, como anexo, fueron incluidas en la sentencia.

_____________________________________________________________________________

De ahí el que, una vez más, insistamos en la necesidad de tener redactada, y entregada a cada empleado, la

POLÍTICA DE USO DE LOS RECURSOS TECNOLÓGICOS

que la empresa pone a disposición de los empleados (cuenta de correo corporativa, ordenadores, tablets, móviles, redes sociales corporativas…)

Puede contactarnos y, juntos, elaboraremos SU propia política de uso; porque no todas las empresas son iguales, ni todas las empresas tienen el mismo grado de tolerancia (o de intransigencia) ante el uso -a título personal- del correo o de las aplicaciones que la empresa pone a disposición de sus empleados.

Consúltenos

LA LSSI (Ley 34/2002) CUMPLIÓ YA 15 AÑOS

El pasado 11 de julio se cumplieron 15 años de la publicación de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico  (LSSI)

Y a pesar del tiempo transcurrido, son muchas las páginas web (con y sin comercio electrónico) que no cumplen ni los mínimos que marca la normativa... o que sencillamente no publican ni el aviso legal, ni la política de privacidad, ni la política de cookies, ni las condiciones de uso ni (en el caso de comercio electrónico) las condiciones generales de contratación.

Pero la LSSI no es la única norma que regula las actividades comerciales en Internet y, dependiendo del carácter específico de algunas de ellas, deberemos acudir a lo dispuesto en las siguiente Leyes:

  • Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal
  • Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias
  • Ley 29/2006, de 26 de julio, de garantías y uso racional de los medicamentos y productos sanitarios
  • Ley 42/2010, de 30 de diciembre, de medidas sanitarias frente al tabaquismo y reguladora de la venta, el suministro, el consumo y la publicidad de los productos del tabaco
  • Ley 13/2011, de 27 de mayo, de regulación del juego

Cabe recordar -por el elevado importe de las mismas- que las sanciones por incumplimiento son, según el tipo de infracción:

LEVES: La comisión de una infracción calificada como leve, dará lugar a la imposición de una sanción de consistente en multa de hasta 30.000 euros

GRAVES: imposición de una sanción de consistente en multa de 30.001 hasta 150.000 euros

MUY GRAVES: imposición de una sanción de consistente en multa de 150.001 hasta 600.000 euros

LÍMITES AL DERECHO AL OLVIDO ( I )

El derecho al olvido, entendido como un derecho instrumental al derecho a la protección de datos y muy ligado al derecho al honor, la intimidad personal y la propia imagen, forma parte de los derechos de la personalidad pero, como estos, no es un derecho absoluto; y así está quedando patente a medida que se genera jurisprudencia al respecto. Los Jueces y Tribunales se encargan de delimitar el alcance del derecho al olvido cuando éste entra en conflicto con otros derechos.

En su sentencia STS 2675/2017 de 6 de julio de 2017, el Tribunal Supremo dirime esta cuestión ponderando la colisión del derecho al honor y la propia imagen, y el derecho al olvido, con el derecho a la libertad de información.

El recurso de casación fue interpuesto por un hombre absuelto de asesinato ante la demanda de tutela de derecho al honor y a la propia imagen formulada a un periódico, que publicó un artículo (que recogía la información del juicio y la absolución del acusado) en el que no se mencionaba su nombre y ni sus apellidos, acompañado de una fotografía del mismo tomada durante el juicio (artículo que el periódico mantenía en su hemeroteca digital aunque el demandante había sido absuelto).

La parte recurrente solicitaba a la editora del medio a indemnizar el daño moral y a retirar los archivos de medios informáticos, no sólo de la hemeroteca del periódico, sino también la supresión y prohibición de la indexación de la noticia por los motores de búsqueda, en ejercicio del derecho al olvido.

La sentencia desestima el recurso de casación atendiendo a la inexistencia de vulneración ilegítima del derecho al honor y a la propia imagen, determinando la prevalencia del derecho a la información sobre los derechos de la personalidad del afectado, dado que la información divulgada era veraz, se refería a asuntos de interés general o relevancia pública, y no se sobrepasaba el fin informativo, al no habérsele dado un matiz injurioso, denigrante o desproporcionado.

Así mismo, la sentencia remarca la improcedencia de invocar el derecho al olvido digital. En primer lugar, porque su concreción en buscadores no corresponde al medio de comunicación, si no a los titulares de los buscadores de Internet; y porque, además, la noticia original omite el nombre y apellidos del demandante, mostrando únicamente una fotografía tomada durante el acto del juicio, por lo que no es posible la indexación que realizan los motores de búsqueda, cuyos resultados se obtienen con la introducción, principalmente, de estos datos personales: nombre y apellidos.

Si bien es cierto que la imagen de una persona es un dato personal, el demandante no alega que existan medios técnicos que permitan utilizar la imagen como término de búsqueda en un motor de búsqueda de Internet, que permita realizar un perfil de la persona incluyendo informaciones obsoletas y/o gravemente perjudiciales para su reputación o vida privada. Además, añade la sentencia, tampoco concurre el requisito de la desaparición del interés público exigido por la jurisprudencia, dado que el tiempo transcurrido (la demanda se presentó apenas dos años después del juicio) no convertía en desproporcionado el tratamiento respecto a la imagen del demandante que ilustra la noticia.

El derecho al olvido, reitera el Tribunal, no ampara la alteración del contenido de la información original lícitamente publicada (en concreto, el borrado del nombre, apellidos o cualquier otro dato personal que constara en la misma). Tampoco ampara la supresión de la posibilidad de búsqueda específica de la noticia en su integridad del propio buscador interno de la hemeroteca digital. Incluso si en la información aparecen datos personales cuya utilización en un motor de búsqueda permite el acceso a ella tiempo después (de modo que permitiera que el tratamiento de los datos personales pudiera vincularlos a la información perjudicial para el afectado) no estaría justificada la supresión de dichos datos personales del código fuente, y sólo estaría justificada la prohibición de indexarlos para permitir las búsquedas por los motores generalistas, no así por el motor de búsqueda interno de la hemeroteca digital. La pretensión del recurrente carece de fundamento cuando la información publicada no contenía datos personales tan relevantes, como su nombre y su apellido del concernido por la información que permitieran realizar esa búsqueda en Internet.

Así pues, además de concurrir los requisitos que conocíamos hasta ahora para el ejercicio del derecho al olvido, parece que será determinante la tipología concreta del dato que pretenda eliminarse en relación a los criterios o elementos de búsqueda en los buscadores existentes, siempre en ponderación con el resto de derechos implicados y el principio de la proporcionalidad en el tratamiento de los datos.

El RGPD UE/679/2016 reconoce el derecho al olvido en su artículo 17 (Derecho de supresión) estableciendo las causas por las que el interesado puede solicitar el ejercicio del mismo ante el responsable del tratamiento.

AEPD: DOS NUEVOS PLANES SECTORIALES DE OFICIO

La Agencia Española de Protección de Datos (AEPD) ha acordado el inicio de dos planes sectoriales de oficio:

  • El sector de las entidades financieras
  • El de las contrataciones realizadas de forma telefónica y a través de internet

Como ya se sabe, las inspecciones de oficio realizadas por la AEPD no tienen carácter sancionador sino preventivo; analizan el cumplimiento de la normativa de protección de datos en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal con la idea de elevar el nivel de protección de los ciudadanos analizando para ello cómo tratan sus datos las organizaciones.

Unas 2660 denuncias (un tercio del total de las casi 8.000 que se presentan anualmente) corresponden al sector de los servicios financieros. Y un 40% de los españoles realiza compras online de forma habitual; de ahí la elección de estas dos actividades de negocio para el inicio de los dos nuevos planes sectoriales de oficio.

Uno de los objetivos de estos dos planes será el de recomendar la adopción de medidas que aporten las suficientes garantías a los consumidores en cuanto a la protección de sus datos personales, y evaluar cómo se están adaptando las empresas que operan en estos sectores a los requisitos legales establecidos en el nuevo Reglamento General de Protección de Datos, que será aplicable el 25 de mayo de 2018.

(Fuente: AEPD)

DESIGNACIÓN DEL DELEGADO DE PROTECCIÓN DE DATOS (DPD)

Designación obligatoria

El artículo 37 de la Normativa General de Protección de Datos ( NGPD) exige que se designe un DPD en tres casos específicos :

a) cuando el tratamiento lo lleva a cabo una autoridad u organismo públicos

b) cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala

c) cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales

 Aunque no exista la obligación, el GP29 recomienda, como buena práctica, que:

  • Las organizaciones privadas que llevan a cabo tareas o ejercen autoridad pública designen un DPD,

y que

  • La actividad de dicho DPD cubra también todas las operaciones de tratamiento llevadas a cabo, incluidas las que no están relacionadas con el desempeño de una tarea pública o el ejercicio de una función pública (p. ej. la gestión de una base de datos de empleados).

Fuente: Directrices sobre los delegados de la protección de datos (DPD)

GRUPO DE TRABAJO DEL ARTÍCULO 29 SOBRE PROTECCIÓN DE DATOS  (GP29)

Este Grupo de Trabajo se creó de conformidad con el artículo 29 de la Directiva 95/46/CE. Se trata de un órgano consultivo independiente de la UE en materia de protección de datos y privacidad. Sus funciones se describen en el artículo 30 de la Directiva 95/46/CE y el artículo 15 de la Directiva 2002/58/CE.

APROBADO EL VIEJO-NUEVO CANON POR COPIA PRIVADA

El pasado 3 de Julio se aprobó el Real Decreto Ley 12/2017 referido al sistema de compensación equitativa que perciben los autores en compensación por la copia privada de sus obras.

Este Real Decreto Ley modifica el canon que era financiado a cargo de los Presupuestos Generales del Estado (que fue anulado por el Tribunal Supremo el pasado año) por un canon a satisfacer por los fabricantes y distribuidores de equipos y soportes de reproducción (tal y como se venía haciendo hasta 2011).

Este nuevo Real Decreto Ley ha introducido varias excepciones que salvarían los motivos que lo invalidaron en 2010, entre las que se encuentran las Administraciones Públicas -que no estarán obligadas a su pago- y las personas físicas y jurídicas, consumidores finales, y que utilicen los equipos o soportes con finalidades estrictamente profesionales, que tendrán derecho a su reembolso.

El importe del canon a pagar por cada equipo o soporte se establecerá mediante Real Decreto que se aprobará durante el próximo año y que, desde el 1 de agosto y hasta su entrada en vigor, viene establecido por el régimen transitorio introducido por el Real Decreto Ley y que desglosa los importes a abonar para los diferentes soportes o equipos, entre los que destacan:

  1. Impresoras multifunción: 5,25 euros.
  2. Grabadora DVD, 1,86 euros
  3. CD’s: 0,08 euros.
  4. CD’s regrabables: 0,10 euros.
  5. Memorias USB: 0,24 euros.
  6. Discos externos que reproduzcan contenidos: 6,45 euros.
  7. Discos integrados en un equipo que reproduzcan contenidos: 5,45 euros.*

* Se exceptúan aquellas videoconsolas que únicamente permitan jugar sin reproducir contenidos.

  1. Tablets: 3,15 euros.
  2. Smartphones: 1,10 euros.

Las entidades de gestión crearán un organismo que se dedicará al cobro y reembolso del canon, y a la que los fabricantes deberán enviar, de forma trimestral, una relación de los productos a los que se les aplica el canon. Este organismo también se encargará de firmar los certificados de excepciones para profesionales y personas autorizadas para la reproducción, y de aprobar las solicitudes de reembolso posterior. En la factura emitida al consumidor final deberá reflejarse el canon desglosado o se entenderá como no abonado, y por tanto, no susceptible de ser reembolsado.

Por el momento no se ven afectados los servicios de Streaming, pero el texto deja abierta la puerta a un futuro gravamen a plataformas como Netflix, Spotify o Amazon Prime, en su modificación del art. 31.2 LPI, eliminando la referencia al soporte que contenga la obra, y que queda redactado del siguiente modo:

«Que la reproducción se realice a partir de una fuente lícita y que no se vulneren las condiciones de acceso a la obra o prestación.»

DESDE EL GOBIERNO SE INSTA A LOS TITULARES DE PÁGINAS WEB A CUMPLIR CON LA LSSICE…

El Ministerio de Energía, Turismo y Agenda Digital, en el ejercicio de sus competencias, ha iniciado una campaña de envío de correos electrónicos a titulares de páginas web bajo el dominio “.es”, con el fin de que éstos las revisen y adecuen a la normativa aplicable, en particular a la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, y, en caso de que las páginas web contengan actividades de comercio electrónico, (e-commerce), a la normativa en materia de Consumidores y Usuarios.

En las comunicaciones, el Ministerio no establece un plazo determinado para la adecuación de las páginas web a la legislación aplicable, pero podrá supervisar su cumplimiento pasado un tiempo razonable.

Es necesario recordar que el incumplimiento de las obligaciones de información derivadas de la LSSICE, puede llevar a infracciones susceptibles de ser sancionadas con hasta 300.000 euros de multa -para el caso de infracciones graves- así como incurrir en infracciones derivadas de otras normativas de aplicación como la LOPD, la normativa en materia de consumidores y usuarios u otras normativas sectoriales.

Es por ello que desde Logic Data Consulting queremos recordarles de la importancia de mantener al día los diferentes Avisos Legales (entre ellos la Política de Privacidad y de cookies) y, particularmente, mantener actualizadas las Condiciones de Uso y Contratación de las páginas web que dispongan de comercio electrónico, adaptándolas a las posibles modificaciones normativas.

Pueden obtener más información en  www.lssi.es

Noticias relacionadas en el blog de LDC:

https://www.logicdataconsulting.com/obligaciones-legales-de-los-sitios-web-1/

 

OBLIGACIONES LEGALES DE LOS SITIOS WEB ( 1 )

Tener un sitio web comporta toda una serie de obligaciones legales. Y la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) tiene gran incidencia en ellas (aunque sin olvidar tampoco la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD); Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias; Ley 29/2006, de 26 de julio, de garantías y uso racional de los medicamentos y productos sanitarios.; Ley 42/2010, de 30 de diciembre, de medidas sanitarias frente al tabaquismo y reguladora de la venta, el suministro, el consumo y la publicidad de los productos del tabaco; y Ley 13/2011, de 27 de mayo, de regulación del juego).

Así pues, no se trata de “diseño mi sitio web, lo cuelgo en la red y ya está”. Y mucho menos si en él llevamos a cabo comercio electrónico.

¿Te suena el haber visto en muchos sitios web su “Aviso legal”, su “Política de privacidad” su “Política de cookies”, sus “Condiciones de uso” y sus “Condiciones Generales de Contratación?.

¿Los tienes en tu sitio web?.

Como a nadie le amarga un dulce, y por lo que respecta a las obligaciones legales de los sitios web, hoy empezaremos hablando de las “cookies”.

A saber:

El apartado segundo del artículo 22 de la LSSI establece:

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Quedan exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI las cookies utilizadas para alguna de las siguientes finalidades:

–          Permitir únicamente la comunicación entre el equipo del usuario y la red

–          Estrictamente prestar un servicio expresamente solicitado por el usuario

En este sentido el Grupo de Trabajo del Artículo 29 en su Dictamen 4/20123 ha interpretado que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:

Cookies de «entrada del usuario» (cookies de sesión y de entrada de usuario que suelen utilizarse para rastrear las acciones del usuario al rellenar los formularios en línea en varias páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el usuario ha seleccionado al pulsar un botón).

Cookies de autenticación o identificación de usuario (únicamente de sesión)

Cookies de seguridad del usuario (por ejemplo, las cookies utilizados para detectar intentos erróneos y reiterados de conexión a un sitio web.

Cookies de sesión de reproductor multimedia

Cookies de sesión para equilibrar la carga

Cookies de personalización de la interfaz de usuario

Cookies de complemento (plug-in) para intercambiar contenidos sociales

El artículo 22 de la LSSI se refiere a la instalación de cookies y tecnologías similares utilizadas tales como local shared objects o flash cookies, etc (*) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o una tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.

(*) Los LSO, o flash cookies, son un tipo de cookies que pueden almacenar mucha más información que las cookies tradicionales. Al ser independientes del navegador utilizado son más difíciles de localizar, visualizar o borrar y pueden utilizarse, por ejemplo, para regenerar cookies estándar.

Cookies, cookies, cookies… ¡ menudo atracón!

La Agencia Española de Protección de Datos (AEPD) ha editado su Guía sobre el uso de cookies, pionera en Europa.

Es muy importante informar -bien- sobre las cookies de tu sitio web.

Como siempre, si necesitas ampliar información, no dudes en contactar con nuestro equipo de profesionales.

(Fuente: sitio web AEPD)

2.420 millones de euros….

El “presunto” abuso de posición dominante tiene un precio para la Unión Europea: 2.420 millones de euros.

Ésta es la sanción que se le ha impuesto hoy a Google por la Comisión Europea por abuso de posición dominante en su servicio de comparación de compras on line Google Shopping, un servicio que permite a los consumidores buscar y comparar precios de todo tipo de tiendas.

Evidentemente, Google recurrirá. Veremos en qué acaba todo y cuándo acabará todo…

Informe Consejo Ministros 23/6/2017, sobre el Anteproyecto de Ley Orgánica de Protección de Datos Personales

Dentro del proceso estatal de modificación normativa que el Reglamento Europeo de Protección de Datos ha originado en los estados miembros, España ya está en camino de tener una nueva Ley Orgánica de Protección de Datos.

El 23 de junio de 2017 el Consejo de Ministros emitía un breve Informe sobre el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, en el que se destacan las novedades que la futura LOPD va a traer consigo en el tratamiento y protección de los datos personales de las personas físicas.

En ese Informe el Consejo ha remarcado que la nueva LOPD incide especialmente en:

  • El tratamiento de los datos de personas fallecidas, en atención a los requerimientos de los herederos.
  • Excluir el “consentimiento tácito” “(…) debiendo ser expreso y afirmativo…
  • En aras al Principio de calidad de los datos, se regula la presunción de exactitud y actualización de los datos, cuando éstos sean recogidos directamente del interesado.
  • La edad de un menor para otorgar consentimiento se establece en los 13 años, y no en los 14 años actuales, en un intento por adaptar el sistema actual a lo previsto en otros estados vecinos de la Unión, y como así lo recoge el Reglamento Europeo.
  • El criterio de transparencia que regirá en lo referente a “…los sistemas de información crediticia, la videovigilancia, las listas Robinson, la función estadística pública y las denuncias internas en el sector privado.
  • La regulación exhaustiva de los derechos reconocidos al titular de los datos de acceso, rectificación, cancelación, oposición, portabilidad y limitación del tratamiento.
  • Se amplía el marco de utilización del bloqueo de datos como herramienta que garantice la disponibilidad de los mismos para un tribunal, el Ministerio Fiscal u otras autoridades competentes (AEPD), ante la posible necesidad de acreditación para la exigencia de responsabilidades derivadas de su tratamiento, evitando su posterior manipulación, borrado o cualquier actuación destinada a encubrir un posible incumplimiento de lo previsto en la normativa de aplicación.

Todas las modificaciones contenidas en la nueva Ley Orgánica, desembocarán en la modificación de las normativas vinculadas que desarrollan la actual Ley Orgánica 15/1999 (concretamente el Real Decreto 1720/2007): se busca la coherencia de los extremos modificados con la implantación efectiva de los cambios en los tratamientos realizados.

Junto con las modificaciones previstas se suma el desarrollo, por parte de la Agencia Española de Protección de Datos, de las competencias directamente asignadas por el ordenamiento jurídico español, y las recogidas en el Reglamento Europeo, dando paso en los próximos meses a un nuevo escenario normativo para la Privacidad y la Seguridad de la Información, en general, y para la Protección de Datos de carácter personal, en particular.