SI HOY FUERA 26 DE MAYO EN LUGAR DE 26 DE FEBRERO…

 

Si hoy fuera 26 de mayo, en lugar de 26 de febrero, llevaríamos ya un día en el que sería de plena aplicación el REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS.

Después de que hubieran pasado ya dos años desde su entrada en vigor ¿…en qué situación se encontraría su empresa, a nivel de cumplimiento normativo del REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS, si hoy fuera 26 de mayo de 2018?.

Pero hoy no es 26 de mayo.

Si su respuesta ha sido “… todavía no he hecho nada”, su empresa todavía está a tiempo de “ponerse al día” …aunque cada vez quedan menos días.

Contacte con nosotros.

28 DE ENERO, DÍA EUROPEO DE LA PROTECCIÓN DE DATOS

A cuatro meses para que sea de plena aplicación el  Reglamento Europeo de Protección de Datos  (RGPD, UE 2016/679, en vigor ya desde mayo de 2016), un año más se conmemora este próximo domingo el  DÍA EUROPEO DE LA PROTECCIÓN DE DATOS.

Y un año más, desde LOGIC DATA CONSULTING seguimos animándoles a que cada día sea el día la protección de datos en su empresa; es la mejor garantía de poder llevar a cabo de una manera “natural”, integrada, cotidiana y habitual, los requerimientos normativos en materia de protección de datos, formando parte del día a día de la empresa, con todos sus componentes comprometidos e implicados en su aplicación en el día a día.  

La AEPD declara adecuadas las garantías para las transferencias de datos a GOOGLE siempre que…

Las diferentes Autoridades de protección de datos de la UE ya habían confirmado recientemente que los compromisos contractuales de los servicios de Google Cloud cumplían plenamente con los requisitos derivados de la Directiva de Protección de Datos de la UE 95/46/CE. A pesar de ello, la Agencia Española de Protección de Datos (AEPD)  ha declarado que las transferencias internacionales de datos a EEUU, a través de sus servicios G-Suite y Google Cloud Platform, cumplen con las debidas garantías de seguridad y confidencialidad, siempre que se cumplan determinadas condiciones y, en particular, las siguientes:

  1. La finalidad de la transferencia deberá ser la prestación de los servicios de Cloud Platform y G-Suite por GOOGLE INC., actuando como encargado del tratamiento.
  2. La autorización sólo se concederá si el contrato firmado entre el Responsable del tratamiento (exportador de los datos) y GOOGLE INC., Inc. incorpora la totalidad de los documentos aportados para la adopción de la resolución (los “Términos y Condiciones de Servicio para la contratación de Cloud Platform o el “Contrato de G Suite a suscribir con el cliente”, las “Cláusulas contractuales tipo de la UE”, los “Términos y Condiciones de Seguridad y Tratamiento de Datos”, el “Contrato de la Adenda de Tratamiento de Datos”).
  3. El Responsable del tratamiento (exportador de datos) deberá notificar al Registro General de Protección de Datos los ficheros cuyos datos vayan a ser objeto de transferencia internacional, con carácter previo, indicando que se producirá la transferencia internacional de los datos al amparo de dicha resolución.
  4. El alcance de la transferencia internacional de datos que se lleve a cabo deberá resultar ajustado a la estructura del fichero, categorías de datos y finalidades del tratamiento establecidas en la inscripción del mismo.
  5. El Responsable del tratamiento deberá poner a disposición de la AEPD, cuando le fueran requeridos, los contratos de prestación de servicios que haya suscrito con GOOGLE INC.

No obstante lo anterior, la AEPD recuerda que la autorización de transferencia internacional podrá denegarse o suspenderse temporalmente cuando concurra alguna de las circunstancias recogidas en el artículo 70.3 del RLOPD, y sin perjuicio de las suspensiones que puedan acordarse de conformidad con lo estipulado en el contrato presentado, es decir cuándo:

a)      La situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza.

b)      La entidad destinataria haya incumplido previamente las garantías establecidas en las cláusulas contractuales aportadas.

c)       Existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el importador.

d)      Existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos.

e)      La transferencia, o su continuación, en caso de haberse iniciado, pudiera crear una situación de riesgo de daño efectivo a los afectados.

LIBRE CIRCULACIÓN DE DATOS NO PERSONALES EN LA UE

La Comisión Europea propone un nuevo Marco

Las nuevas medidas permitirán almacenar y tratar datos no personales en toda la Unión con el objetivo de potenciar la competitividad de las empresas europeas y modernizar los servicios públicos en un mercado único europeo de servicios de datos. Se considera que la eliminación de las restricciones relativas a la localización de datos constituye el factor fundamental para que la economía de los datos pueda duplicar su valor y alcanzar el 4 % del PIB en 2020.

La economía digital de Europa sigue estando muy dividida en función de las fronteras nacionales, lo que supone un freno para el crecimiento digital europeo en su conjunto. La propuesta, junto con las normas sobre protección de datos personales de la UE, permitirá la libre circulación de datos de todo tipo en el mercado único lo que facilitará que las pymes y las empresas emergentes puedan desarrollar nuevos servicios innovadores y acceder a nuevos mercados; si se quiere que Europa triunfe en la nueva era de la economía digital se necesitan reglas firmes y previsibles que regulen la circulación de datos. Los ciudadanos y las empresas gozarán de mejores productos y servicios a medida que aumenten los datos disponibles para la innovación basada en los datos. La eliminación de obstáculos a los flujos transfronterizos de datos es fundamental para una economía de los datos competitiva en Europa.

Para la libre circulación de datos no personales se plantea un marco claro, comprensible y previsible, que ha de contribuir a formar un mercado de servicios de almacenamiento y tratamiento de datos en la UE que sea más competitivo y esté más integrado.

El nuevo marco propone:

El principio de libre circulación transfronteriza de los datos no personales: los Estados miembros ya no podrán obligar a las organizaciones a realizar el almacenamiento o tratamiento de datos dentro de sus fronteras. Solo se justificarán restricciones que respondan a razones de seguridad pública. Los Estados miembros deberán notificar a la Comisión los nuevos requisitos de localización de datos, así como los ya vigentes. La libre circulación de datos no personales permitirá a las empresas operar en varios Estados miembros de forma más fácil y barata, puesto que no se verán en la obligación de duplicar los sistemas informáticos ni de almacenar los mismos datos en varios lugares.

El principio de disponibilidad de los datos para el control reglamentario: las autoridades competentes podrán ejercer sus derechos de acceso a los datos donde sea que se almacenen o traten dentro de la UE. La libre circulación de los datos no personales no afectará las obligaciones a las que están sujetas las empresas y otras organizaciones de proporcionar ciertos datos para fines de control reglamentario.

La elaboración de códigos de conducta de la UE para eliminar obstáculos al cambio de proveedor de almacenamiento en la nube y a la migración de datos al sistema informático del usuario.

Las nuevas normas reforzarán la seguridad jurídica y la confianza de las empresas y organizaciones. También permitirán la creación de un auténtico mercado único europeo de almacenamiento y tratamiento de datos, y por lo tanto de un sector de la nube europeo que sea competitivo, seguro y fiable, así como la reducción de los precios para los usuarios de los servicios de almacenamiento y tratamiento de datos.

El objetivo de las nuevas normas es aumentar la confianza, por lo que se espera que las empresas utilicen más servicios en la nube y no tengan dudas a la hora de acceder a nuevos mercados. También podrán trasladar sus recursos informáticos internos a las ubicaciones que resulten más rentables. Las nuevas medidas complementan la legislación sobre protección de datos personales y suponen un paso más hacia un espacio europeo de datos que opere de manera efectiva.

(Fuente: Comunicado de Prensa de la Comisión Europea)

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS SANCIONA A FACEBOOK CON MULTA DE UN MILLÓN DOSCIENTOS MIL EUROS POR VULNERAR LA NORMATIVA DE PROTECCIÓN DE DATOS

  • La Agencia constata que Facebook trata datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento y no cancela totalmente la información de los usuarios cuando ya no es útil para el fin para el que se recogió ni cuando estos lo solicitan.
  • Los datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación son recogidos directamente, mediante la interacción con sus servicios o desde páginas de terceros sin informar claramente al usuario sobre el uso y finalidad que le va a dar a los mismos
  • Facebook no obtiene un consentimiento inequívoco, específico e informado de los usuarios para tratar sus datos, ya que la información que ofrece no es adecuada
  • La Agencia declara la existencia de dos infracciones graves y una muy grave de la Ley de Protección de Datos e impone a Facebook una sanción total de 1.200.000 euros
  • La Agencia forma parte de un Grupo de Contacto junto a las Autoridades de Bélgica, Francia, Hamburgo y Países Bajos, que también iniciaron sus respectivos procedimientos de investigación a la compañía

Continuar leyendo “LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS SANCIONA A FACEBOOK CON MULTA DE UN MILLÓN DOSCIENTOS MIL EUROS POR VULNERAR LA NORMATIVA DE PROTECCIÓN DE DATOS”

EL AUTOR NO PUEDE SER EL MACACO…

Hace unos años se hicieron virales unas fotografías, o selfies, tomados por un Naruto, un macaco de Indonesia durante el año 2011, y realizadas gracias a que el fotógrafo David Slater dejó una cámara preparada a merced los animales para que estos jugaran con ella.

A raíz de la aparición de los selfies, que se hicieron rápidamente populares,fueron incorporados a Wikimedia Commons y reproducidos como obras no sujetas a derechos de autor, dado que el autor material de las mismas era un animal y, por tanto, inelegible como autor, según la normativa de copyright.

La reproducción masiva de las fotografías en diversos medios (pero especialmente en Internet), supuso para David Slater la pérdida de cuantiosos ingresos por la venta y distribución de las mismas, ya que éste se consideraba el autor legítimo, alegando que la fotografía era el resultado de su creación, al haber dejado la cámara preparada sobre el trípode para que el animal pudiera tomar las fotos; es por ello que interpuso demanda judicial para que se reconociera su autoría. Para rizar más el rizo, la Asociación PETA (Personas por el Trato Ético de los Animales) reclamó, en nombre del macaco, que se considerara a Naruto como al autor de las fotografías.

Pero, de haberlo… ¿quién es el verdadero autor de las fotografías? El asunto nos plantea diversas cuestiones referentes a los criterios de elegibilidad derivados de la normativa de derechos de autor.

En primer lugar,  el derecho de autor protege la obra, que es el resultado de la creación, es decir: para que exista la obra debe crearse algo que no existiría sin ese acto de creación. Es por esto que puede que haya obras fotográficas que no sean tal, si es que estas fotografías no son producto de un esfuerzo creativo. Así, podríamos distinguir entre obras fotográficas (aquellas en las que el autor plasma su personalidad, creatividad, originalidad, ingenio o destreza), de las meras fotografías (aquellas en las que el fotógrafo se limita a reproducir la realidad o la vida cotidiana).

Como apuntan juristas y teóricos del derecho, como David Allen Green: “Tal vez sea como si un gato callejero hubiera restregado pintura en un lienzo o un perro salvaje hubiera producido un sonido fuerte al morder las cuerdas de un Stradivarius: el resultado podría ser algo que, de haber sido creado por una persona, podría considerarse una obra en virtud de la legislación de derecho de autor; pero al haber sido realizado por un animal, puede que ni siquiera sea una obra. La utilización accidental de una herramienta humana resulta irrelevante desde el punto de vista jurídico“.

Por otro lado, nos encontramos con que el derecho de autor es un derecho de la propiedad y, legalmente, éste sólo puede ser ejercido por personas físicas o jurídicas, por lo que el macaco no podría ostentar la propiedad de derechos de autor.

Así pues, la fotografía podría no llegar a catalogarse como obra considerando que, presumiblemente, se origina por un uso accidental de la cámara fotográfica por el animal sin participación humana que le otorgue el carácter de creación; y, al mismo tiempo, el autor no podría ser el macaco, que no puede ostentar derechos sobre la propiedad. Todo ello dejando de lado las posibles transformaciones sobre la fotografía original, que habría sido retocada y/ o editada, modificaciones que sí cubriría el derecho de autor, y por tanto, corresponderían a su autor.

En 2015, la US Copyright Office se pronunció sobre este asunto: “La Oficina no registrará obras producidas por la naturaleza, los animales o las plantas.” Por consiguiente, sólo serán registrables obras creadas por humanos.

Finalmente, y tras una larga batalla legal, el Juez desestimó la demanda de PETA, dándole la razón a Slater. En julio de 2017 el asunto volvió a los Tribunales; pero las partes han llegado a un acuerdo amistoso: Slater, a quien los tribunales sí han reconocido como el autor  de las fotografías, donará el 25% de los futuros ingresos derivados de la explotación de los selfies a organizaciones que protejan la vida natural y el entorno de monos como Naruto.

Slater tiene previsto continuar con su batalla legal en defensa de sus derechos, interponiendo acciones legales contra Wikipedia por la utilización no autorizada de las fotografías. Hasta la fecha, los selfies de Naruto continúan en Wikimedia Commons.

LÍMITES AL DERECHO AL OLVIDO ( II )

Antes de irnos de vacaciones publicamos un artículo referido a los límites que, a nivel de jurisprudencia, se van estableciendo sobre el denominado derecho al olvido. En ese artículo, los límites venían fijados por los derechos al honor, la intimidad personal y la propia imagen.

A raíz de la Sentencia de la Audiencia Nacional, SAN 2433/2017 de 11 de mayo de 2017, Sala de lo Contencioso-Administrativo, de mayo de 2017, trataremos ahora de los límites en base a los derechos de información y a la libertad de expresión.

En la citada sentencia de la Audiencia Nacional, un médico en activo solicitaba a Google la retirada o supresión de unos contenidos de un foro público de discusión online, que incluían comentarios negativos sobre su profesionalidad, o en el ejercicio de su especialidad profesional. Google denegó el ejercicio al derecho al olvido amparándose en que la permanencia de los comentarios, referidos a la búsqueda de su nombre y apellidos, estaban justificados por el interés público en tener acceso a los mismos.

Ante tal respuesta, el médico instó un procedimiento de tutela de derechos ante la Agencia Española de Protección de Datos (AEPD), que estimó la pretensión del denunciante, desestimándose así mismo el recurso de reposición interpuesto ante la AEPD por Google, visto lo cual, Google interpuso recurso contencioso administrativo, que resolvió la Audiencia Nacional.

La resolución al caso únicamente puede realizarse mediante la adecuada ponderación de los derechos enfrentados;  en este caso, el derecho a la protección de datos y el derecho a las libertades de expresión e información.

El derecho a la protección de datos es más amplio que el derecho a la intimidad, e incluye no sólo datos íntimos de la persona, sino cualquier tipo de dato personal, alcanzando también a aquellos datos personales públicos (en el caso que nos ocupa, datos profesionales). El derecho a la protección de datos atribuye a su titular una serie de facultades, como el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) garantizándole así el poder de disposición sobre las informaciones personales.

La libertad de expresión es más amplia que la libertad de información ya que, a pesar de que ambos son derechos individuales de toda persona física, en la libertad de expresión no opera -en su ejercicio- el límite interno de veracidad aplicable a la última, teniendo por objeto ideas, opiniones o juicios de valor subjetivos que no precisan demostración de exactitud.

No obstante, la protección de otros derechos constitucionales, como puede ser el derecho a la protección de datos, se ven afectados frente a la libertad de expresión e información cuando se ejercitan en relación con asuntos de interés general, bien por las materias a las que se refieren, bien por las personas que en ellos intervengan. En este caso, es una persona implicada en asuntos de relevancia pública, obligada a soportar cierto riesgo de que sus derechos de la personalidad resulten afectados por opiniones o informaciones de interés general. A este respecto, en diversa jurisprudencia, ya se ha venido excluyendo -del ámbito de aplicación de la LOPD- a los empresarios individuales o profesionales sobre aquellas informaciones referidas a la vida pública, la actividad empresarial o profesión ejercitadas, aplicando la LOPD únicamente a la esfera íntima o personal del empresario individual o profesional.

A efectos del presente caso, cabe destacar que la información publicada en el foro de opinión concernía a opiniones de pacientes y/o usuarios de los servicios prestados por el médico referentes a la esfera profesional del demandante, no a su esfera íntima o personal.

La Audiencia Nacional ya se había pronunciado en anteriores ocasiones con respecto al ámbito de protección de la LOPD -circunscribiéndose únicamente a las personas físicas- aludiendo a cualquier información concerniente a dichas personas físicas, no a cualquier opinión referente a las mismas, quedando las opiniones al margen del ámbito protector de la LOPD. En la misma línea se pronuncia la Audiencia Nacional en la sentencia SAN 2287/2009 de 8 de mayo de 2009.

Por lo tanto, y tomando en consideración el carácter profesional de los datos publicados, la relevancia pública -al menos en el ámbito sanitario de la persona a la que se refieren dichos datos- y tratándose de opiniones o comentarios vertidos en un foro de discusión, y no de informaciones sujetas al límite interno de veracidad y, sobre todo, a que debe prevalecer el interés público de los internautas y futuros pacientes a conocer -respecto de un médico en activo- las experiencias y opiniones manifestadas por otros usuarios del mismo profesional, la Audiencia Nacional estimó el recurso contencioso-administrativo interpuesto por Google frente a las resoluciones de la AEPD, anulándolas, dada su disconformidad en derecho, de tal modo que los contenidos y opiniones relativos al médico en el foro de discusión permanecerán en los resultados del buscador.

En síntesis: la LOPD no ampara datos profesionales de empresarios individuales o profesionales, así como tampoco da cobertura o protección sobre opiniones; y, en base a la libertad de expresión de los internautas, y al interés general de futuros pacientes o usuarios, dichas opiniones o informaciones referidas a un profesional con relevancia pública, deben permanecer, no pudiéndose hacer uso del derecho al olvido para construir una reputación al gusto.

NUEVA SENTENCIA DEL CONTROL DE LOS CORREOS DE LOS EMPLEADOS

Estrasburgo enmienda una de sus decisiones (de 2016) en la que daba la razón a una empresa que despidió a un ingeniero por usar Messenger para chats personales.

Según la nueva Sentencia del Tribunal de Derechos Humanos de Estrasburgo (que es inapelable y sienta jurisprudencia para todos los países miembros de la Unión) las empresas no tienen derecho a controlar de forma ilimitada los correos profesionales de sus empleados. Pueden controlar el correo interno, pero avisando previamente a sus empleados de que sus correos van a ser examinados, y tener un motivo concreto para hacerlo.

Según el Tribunal, es lícito que las empresas deban protegerse frente a empleados desleales (por espionaje industrial, por ejemplo, o por sustracción de datos confidenciales). Pero con matices. Según la sentencia, un control sistemático e indiscriminado de los correos profesionales por parte de las empresas supondría “una vigilancia permanente” y sería “contraria a la dignidad humana”.

En la Unión Europea, el control de los correos “va por barrios”; mientras que en Rumanía (donde ocurrió el caso ahora enmendado) se considera que la empresa tiene derecho a controlar todo lo que escriben y envían sus empleados) en Francia, la Comisión Nacional de Informática y Libertades impone a las empresas limitaciones más estrictas que las indicadas por el Tribunal de Estrasburgo. No sólo deben avisar a los empleados de que sus correos serán examinados, sino que -llegado el caso- deben hacerlo en presencia del empleado y, si se descubre una infracción, la sanción debe establecerla la Justicia, ante quien la empresa deberá llevar el caso.

Cabe destacar el que la Confederación Europea de Sindicatos recomendó “una proporcionalidad cuidadosa” ante cada infracción, al considerar que un ocasional uso privado del correo profesional no merece más que una amonestación y que una sanción, o despido, deberían reservarse para reincidentes o por motivos de vulneración graves, recomendaciones que, como anexo, fueron incluidas en la sentencia.

_____________________________________________________________________________

De ahí el que, una vez más, insistamos en la necesidad de tener redactada, y entregada a cada empleado, la

POLÍTICA DE USO DE LOS RECURSOS TECNOLÓGICOS

que la empresa pone a disposición de los empleados (cuenta de correo corporativa, ordenadores, tablets, móviles, redes sociales corporativas…)

Puede contactarnos y, juntos, elaboraremos SU propia política de uso; porque no todas las empresas son iguales, ni todas las empresas tienen el mismo grado de tolerancia (o de intransigencia) ante el uso -a título personal- del correo o de las aplicaciones que la empresa pone a disposición de sus empleados.

Consúltenos

LA LSSI (Ley 34/2002) CUMPLIÓ YA 15 AÑOS

El pasado 11 de julio se cumplieron 15 años de la publicación de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico  (LSSI)

Y a pesar del tiempo transcurrido, son muchas las páginas web (con y sin comercio electrónico) que no cumplen ni los mínimos que marca la normativa... o que sencillamente no publican ni el aviso legal, ni la política de privacidad, ni la política de cookies, ni las condiciones de uso ni (en el caso de comercio electrónico) las condiciones generales de contratación.

Pero la LSSI no es la única norma que regula las actividades comerciales en Internet y, dependiendo del carácter específico de algunas de ellas, deberemos acudir a lo dispuesto en las siguiente Leyes:

  • Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal
  • Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias
  • Ley 29/2006, de 26 de julio, de garantías y uso racional de los medicamentos y productos sanitarios
  • Ley 42/2010, de 30 de diciembre, de medidas sanitarias frente al tabaquismo y reguladora de la venta, el suministro, el consumo y la publicidad de los productos del tabaco
  • Ley 13/2011, de 27 de mayo, de regulación del juego

Cabe recordar -por el elevado importe de las mismas- que las sanciones por incumplimiento son, según el tipo de infracción:

LEVES: La comisión de una infracción calificada como leve, dará lugar a la imposición de una sanción de consistente en multa de hasta 30.000 euros

GRAVES: imposición de una sanción de consistente en multa de 30.001 hasta 150.000 euros

MUY GRAVES: imposición de una sanción de consistente en multa de 150.001 hasta 600.000 euros

DEJAR DE RECIBIR PUBLICIDAD NO DESEADA: NADIE DIJO QUE FUERA SENCILLO…

… pero medios, formas y maneras hay.

Si después de ejercer tus derechos continúas recibiendo publicidad no deseada, puedes presentar una reclamación en la Agencia Española de Protección de Datos para que tutele tu derecho o presentar una denuncia.

  • Puedes presentar una reclamación cuando el responsable al que te hayas dirigido no haya contestado tu solicitud o se haya negado a gestionarla, o cuando recibas publicidad diez días hábiles después de que haya recibido tu solicitud. En estos casos será necesario que aportes copia de la publicidad recibida, en su caso, y alguno de los siguientes documentos:
    • La respuesta dada por el responsable del fichero a tu solicitud
    • Copia de la solicitud sellada por el responsable del fichero
    • Acuse de recibo o certificado del servicio postal o de mensajería que hayas utilizado o cualquier otro documento o soporte que deje constancia de la recepción de tu solicitud por el destinatario

Continuar leyendo “DEJAR DE RECIBIR PUBLICIDAD NO DESEADA: NADIE DIJO QUE FUERA SENCILLO…”