LIBRE CIRCULACIÓN DE DATOS NO PERSONALES EN LA UE

La Comisión Europea propone un nuevo Marco

Las nuevas medidas permitirán almacenar y tratar datos no personales en toda la Unión con el objetivo de potenciar la competitividad de las empresas europeas y modernizar los servicios públicos en un mercado único europeo de servicios de datos. Se considera que la eliminación de las restricciones relativas a la localización de datos constituye el factor fundamental para que la economía de los datos pueda duplicar su valor y alcanzar el 4 % del PIB en 2020.

La economía digital de Europa sigue estando muy dividida en función de las fronteras nacionales, lo que supone un freno para el crecimiento digital europeo en su conjunto. La propuesta, junto con las normas sobre protección de datos personales de la UE, permitirá la libre circulación de datos de todo tipo en el mercado único lo que facilitará que las pymes y las empresas emergentes puedan desarrollar nuevos servicios innovadores y acceder a nuevos mercados; si se quiere que Europa triunfe en la nueva era de la economía digital se necesitan reglas firmes y previsibles que regulen la circulación de datos. Los ciudadanos y las empresas gozarán de mejores productos y servicios a medida que aumenten los datos disponibles para la innovación basada en los datos. La eliminación de obstáculos a los flujos transfronterizos de datos es fundamental para una economía de los datos competitiva en Europa.

Para la libre circulación de datos no personales se plantea un marco claro, comprensible y previsible, que ha de contribuir a formar un mercado de servicios de almacenamiento y tratamiento de datos en la UE que sea más competitivo y esté más integrado.

El nuevo marco propone:

El principio de libre circulación transfronteriza de los datos no personales: los Estados miembros ya no podrán obligar a las organizaciones a realizar el almacenamiento o tratamiento de datos dentro de sus fronteras. Solo se justificarán restricciones que respondan a razones de seguridad pública. Los Estados miembros deberán notificar a la Comisión los nuevos requisitos de localización de datos, así como los ya vigentes. La libre circulación de datos no personales permitirá a las empresas operar en varios Estados miembros de forma más fácil y barata, puesto que no se verán en la obligación de duplicar los sistemas informáticos ni de almacenar los mismos datos en varios lugares.

El principio de disponibilidad de los datos para el control reglamentario: las autoridades competentes podrán ejercer sus derechos de acceso a los datos donde sea que se almacenen o traten dentro de la UE. La libre circulación de los datos no personales no afectará las obligaciones a las que están sujetas las empresas y otras organizaciones de proporcionar ciertos datos para fines de control reglamentario.

La elaboración de códigos de conducta de la UE para eliminar obstáculos al cambio de proveedor de almacenamiento en la nube y a la migración de datos al sistema informático del usuario.

Las nuevas normas reforzarán la seguridad jurídica y la confianza de las empresas y organizaciones. También permitirán la creación de un auténtico mercado único europeo de almacenamiento y tratamiento de datos, y por lo tanto de un sector de la nube europeo que sea competitivo, seguro y fiable, así como la reducción de los precios para los usuarios de los servicios de almacenamiento y tratamiento de datos.

El objetivo de las nuevas normas es aumentar la confianza, por lo que se espera que las empresas utilicen más servicios en la nube y no tengan dudas a la hora de acceder a nuevos mercados. También podrán trasladar sus recursos informáticos internos a las ubicaciones que resulten más rentables. Las nuevas medidas complementan la legislación sobre protección de datos personales y suponen un paso más hacia un espacio europeo de datos que opere de manera efectiva.

(Fuente: Comunicado de Prensa de la Comisión Europea)

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS SANCIONA A FACEBOOK CON MULTA DE UN MILLÓN DOSCIENTOS MIL EUROS POR VULNERAR LA NORMATIVA DE PROTECCIÓN DE DATOS

  • La Agencia constata que Facebook trata datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento y no cancela totalmente la información de los usuarios cuando ya no es útil para el fin para el que se recogió ni cuando estos lo solicitan.
  • Los datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación son recogidos directamente, mediante la interacción con sus servicios o desde páginas de terceros sin informar claramente al usuario sobre el uso y finalidad que le va a dar a los mismos
  • Facebook no obtiene un consentimiento inequívoco, específico e informado de los usuarios para tratar sus datos, ya que la información que ofrece no es adecuada
  • La Agencia declara la existencia de dos infracciones graves y una muy grave de la Ley de Protección de Datos e impone a Facebook una sanción total de 1.200.000 euros
  • La Agencia forma parte de un Grupo de Contacto junto a las Autoridades de Bélgica, Francia, Hamburgo y Países Bajos, que también iniciaron sus respectivos procedimientos de investigación a la compañía

Continuar leyendo “LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS SANCIONA A FACEBOOK CON MULTA DE UN MILLÓN DOSCIENTOS MIL EUROS POR VULNERAR LA NORMATIVA DE PROTECCIÓN DE DATOS”

EL AUTOR NO PUEDE SER EL MACACO…

Hace unos años se hicieron virales unas fotografías, o selfies, tomados por un Naruto, un macaco de Indonesia durante el año 2011, y realizadas gracias a que el fotógrafo David Slater dejó una cámara preparada a merced los animales para que estos jugaran con ella.

A raíz de la aparición de los selfies, que se hicieron rápidamente populares,fueron incorporados a Wikimedia Commons y reproducidos como obras no sujetas a derechos de autor, dado que el autor material de las mismas era un animal y, por tanto, inelegible como autor, según la normativa de copyright.

La reproducción masiva de las fotografías en diversos medios (pero especialmente en Internet), supuso para David Slater la pérdida de cuantiosos ingresos por la venta y distribución de las mismas, ya que éste se consideraba el autor legítimo, alegando que la fotografía era el resultado de su creación, al haber dejado la cámara preparada sobre el trípode para que el animal pudiera tomar las fotos; es por ello que interpuso demanda judicial para que se reconociera su autoría. Para rizar más el rizo, la Asociación PETA (Personas por el Trato Ético de los Animales) reclamó, en nombre del macaco, que se considerara a Naruto como al autor de las fotografías.

Pero, de haberlo… ¿quién es el verdadero autor de las fotografías? El asunto nos plantea diversas cuestiones referentes a los criterios de elegibilidad derivados de la normativa de derechos de autor.

En primer lugar,  el derecho de autor protege la obra, que es el resultado de la creación, es decir: para que exista la obra debe crearse algo que no existiría sin ese acto de creación. Es por esto que puede que haya obras fotográficas que no sean tal, si es que estas fotografías no son producto de un esfuerzo creativo. Así, podríamos distinguir entre obras fotográficas (aquellas en las que el autor plasma su personalidad, creatividad, originalidad, ingenio o destreza), de las meras fotografías (aquellas en las que el fotógrafo se limita a reproducir la realidad o la vida cotidiana).

Como apuntan juristas y teóricos del derecho, como David Allen Green: “Tal vez sea como si un gato callejero hubiera restregado pintura en un lienzo o un perro salvaje hubiera producido un sonido fuerte al morder las cuerdas de un Stradivarius: el resultado podría ser algo que, de haber sido creado por una persona, podría considerarse una obra en virtud de la legislación de derecho de autor; pero al haber sido realizado por un animal, puede que ni siquiera sea una obra. La utilización accidental de una herramienta humana resulta irrelevante desde el punto de vista jurídico“.

Por otro lado, nos encontramos con que el derecho de autor es un derecho de la propiedad y, legalmente, éste sólo puede ser ejercido por personas físicas o jurídicas, por lo que el macaco no podría ostentar la propiedad de derechos de autor.

Así pues, la fotografía podría no llegar a catalogarse como obra considerando que, presumiblemente, se origina por un uso accidental de la cámara fotográfica por el animal sin participación humana que le otorgue el carácter de creación; y, al mismo tiempo, el autor no podría ser el macaco, que no puede ostentar derechos sobre la propiedad. Todo ello dejando de lado las posibles transformaciones sobre la fotografía original, que habría sido retocada y/ o editada, modificaciones que sí cubriría el derecho de autor, y por tanto, corresponderían a su autor.

En 2015, la US Copyright Office se pronunció sobre este asunto: “La Oficina no registrará obras producidas por la naturaleza, los animales o las plantas.” Por consiguiente, sólo serán registrables obras creadas por humanos.

Finalmente, y tras una larga batalla legal, el Juez desestimó la demanda de PETA, dándole la razón a Slater. En julio de 2017 el asunto volvió a los Tribunales; pero las partes han llegado a un acuerdo amistoso: Slater, a quien los tribunales sí han reconocido como el autor  de las fotografías, donará el 25% de los futuros ingresos derivados de la explotación de los selfies a organizaciones que protejan la vida natural y el entorno de monos como Naruto.

Slater tiene previsto continuar con su batalla legal en defensa de sus derechos, interponiendo acciones legales contra Wikipedia por la utilización no autorizada de las fotografías. Hasta la fecha, los selfies de Naruto continúan en Wikimedia Commons.

LÍMITES AL DERECHO AL OLVIDO ( II )

Antes de irnos de vacaciones publicamos un artículo referido a los límites que, a nivel de jurisprudencia, se van estableciendo sobre el denominado derecho al olvido. En ese artículo, los límites venían fijados por los derechos al honor, la intimidad personal y la propia imagen.

A raíz de la Sentencia de la Audiencia Nacional, SAN 2433/2017 de 11 de mayo de 2017, Sala de lo Contencioso-Administrativo, de mayo de 2017, trataremos ahora de los límites en base a los derechos de información y a la libertad de expresión.

En la citada sentencia de la Audiencia Nacional, un médico en activo solicitaba a Google la retirada o supresión de unos contenidos de un foro público de discusión online, que incluían comentarios negativos sobre su profesionalidad, o en el ejercicio de su especialidad profesional. Google denegó el ejercicio al derecho al olvido amparándose en que la permanencia de los comentarios, referidos a la búsqueda de su nombre y apellidos, estaban justificados por el interés público en tener acceso a los mismos.

Ante tal respuesta, el médico instó un procedimiento de tutela de derechos ante la Agencia Española de Protección de Datos (AEPD), que estimó la pretensión del denunciante, desestimándose así mismo el recurso de reposición interpuesto ante la AEPD por Google, visto lo cual, Google interpuso recurso contencioso administrativo, que resolvió la Audiencia Nacional.

La resolución al caso únicamente puede realizarse mediante la adecuada ponderación de los derechos enfrentados;  en este caso, el derecho a la protección de datos y el derecho a las libertades de expresión e información.

El derecho a la protección de datos es más amplio que el derecho a la intimidad, e incluye no sólo datos íntimos de la persona, sino cualquier tipo de dato personal, alcanzando también a aquellos datos personales públicos (en el caso que nos ocupa, datos profesionales). El derecho a la protección de datos atribuye a su titular una serie de facultades, como el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) garantizándole así el poder de disposición sobre las informaciones personales.

La libertad de expresión es más amplia que la libertad de información ya que, a pesar de que ambos son derechos individuales de toda persona física, en la libertad de expresión no opera -en su ejercicio- el límite interno de veracidad aplicable a la última, teniendo por objeto ideas, opiniones o juicios de valor subjetivos que no precisan demostración de exactitud.

No obstante, la protección de otros derechos constitucionales, como puede ser el derecho a la protección de datos, se ven afectados frente a la libertad de expresión e información cuando se ejercitan en relación con asuntos de interés general, bien por las materias a las que se refieren, bien por las personas que en ellos intervengan. En este caso, es una persona implicada en asuntos de relevancia pública, obligada a soportar cierto riesgo de que sus derechos de la personalidad resulten afectados por opiniones o informaciones de interés general. A este respecto, en diversa jurisprudencia, ya se ha venido excluyendo -del ámbito de aplicación de la LOPD- a los empresarios individuales o profesionales sobre aquellas informaciones referidas a la vida pública, la actividad empresarial o profesión ejercitadas, aplicando la LOPD únicamente a la esfera íntima o personal del empresario individual o profesional.

A efectos del presente caso, cabe destacar que la información publicada en el foro de opinión concernía a opiniones de pacientes y/o usuarios de los servicios prestados por el médico referentes a la esfera profesional del demandante, no a su esfera íntima o personal.

La Audiencia Nacional ya se había pronunciado en anteriores ocasiones con respecto al ámbito de protección de la LOPD -circunscribiéndose únicamente a las personas físicas- aludiendo a cualquier información concerniente a dichas personas físicas, no a cualquier opinión referente a las mismas, quedando las opiniones al margen del ámbito protector de la LOPD. En la misma línea se pronuncia la Audiencia Nacional en la sentencia SAN 2287/2009 de 8 de mayo de 2009.

Por lo tanto, y tomando en consideración el carácter profesional de los datos publicados, la relevancia pública -al menos en el ámbito sanitario de la persona a la que se refieren dichos datos- y tratándose de opiniones o comentarios vertidos en un foro de discusión, y no de informaciones sujetas al límite interno de veracidad y, sobre todo, a que debe prevalecer el interés público de los internautas y futuros pacientes a conocer -respecto de un médico en activo- las experiencias y opiniones manifestadas por otros usuarios del mismo profesional, la Audiencia Nacional estimó el recurso contencioso-administrativo interpuesto por Google frente a las resoluciones de la AEPD, anulándolas, dada su disconformidad en derecho, de tal modo que los contenidos y opiniones relativos al médico en el foro de discusión permanecerán en los resultados del buscador.

En síntesis: la LOPD no ampara datos profesionales de empresarios individuales o profesionales, así como tampoco da cobertura o protección sobre opiniones; y, en base a la libertad de expresión de los internautas, y al interés general de futuros pacientes o usuarios, dichas opiniones o informaciones referidas a un profesional con relevancia pública, deben permanecer, no pudiéndose hacer uso del derecho al olvido para construir una reputación al gusto.

NUEVA SENTENCIA DEL CONTROL DE LOS CORREOS DE LOS EMPLEADOS

Estrasburgo enmienda una de sus decisiones (de 2016) en la que daba la razón a una empresa que despidió a un ingeniero por usar Messenger para chats personales.

Según la nueva Sentencia del Tribunal de Derechos Humanos de Estrasburgo (que es inapelable y sienta jurisprudencia para todos los países miembros de la Unión) las empresas no tienen derecho a controlar de forma ilimitada los correos profesionales de sus empleados. Pueden controlar el correo interno, pero avisando previamente a sus empleados de que sus correos van a ser examinados, y tener un motivo concreto para hacerlo.

Según el Tribunal, es lícito que las empresas deban protegerse frente a empleados desleales (por espionaje industrial, por ejemplo, o por sustracción de datos confidenciales). Pero con matices. Según la sentencia, un control sistemático e indiscriminado de los correos profesionales por parte de las empresas supondría “una vigilancia permanente” y sería “contraria a la dignidad humana”.

En la Unión Europea, el control de los correos “va por barrios”; mientras que en Rumanía (donde ocurrió el caso ahora enmendado) se considera que la empresa tiene derecho a controlar todo lo que escriben y envían sus empleados) en Francia, la Comisión Nacional de Informática y Libertades impone a las empresas limitaciones más estrictas que las indicadas por el Tribunal de Estrasburgo. No sólo deben avisar a los empleados de que sus correos serán examinados, sino que -llegado el caso- deben hacerlo en presencia del empleado y, si se descubre una infracción, la sanción debe establecerla la Justicia, ante quien la empresa deberá llevar el caso.

Cabe destacar el que la Confederación Europea de Sindicatos recomendó “una proporcionalidad cuidadosa” ante cada infracción, al considerar que un ocasional uso privado del correo profesional no merece más que una amonestación y que una sanción, o despido, deberían reservarse para reincidentes o por motivos de vulneración graves, recomendaciones que, como anexo, fueron incluidas en la sentencia.

_____________________________________________________________________________

De ahí el que, una vez más, insistamos en la necesidad de tener redactada, y entregada a cada empleado, la

POLÍTICA DE USO DE LOS RECURSOS TECNOLÓGICOS

que la empresa pone a disposición de los empleados (cuenta de correo corporativa, ordenadores, tablets, móviles, redes sociales corporativas…)

Puede contactarnos y, juntos, elaboraremos SU propia política de uso; porque no todas las empresas son iguales, ni todas las empresas tienen el mismo grado de tolerancia (o de intransigencia) ante el uso -a título personal- del correo o de las aplicaciones que la empresa pone a disposición de sus empleados.

Consúltenos

LA LSSI (Ley 34/2002) CUMPLIÓ YA 15 AÑOS

El pasado 11 de julio se cumplieron 15 años de la publicación de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico  (LSSI)

Y a pesar del tiempo transcurrido, son muchas las páginas web (con y sin comercio electrónico) que no cumplen ni los mínimos que marca la normativa... o que sencillamente no publican ni el aviso legal, ni la política de privacidad, ni la política de cookies, ni las condiciones de uso ni (en el caso de comercio electrónico) las condiciones generales de contratación.

Pero la LSSI no es la única norma que regula las actividades comerciales en Internet y, dependiendo del carácter específico de algunas de ellas, deberemos acudir a lo dispuesto en las siguiente Leyes:

  • Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal
  • Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias
  • Ley 29/2006, de 26 de julio, de garantías y uso racional de los medicamentos y productos sanitarios
  • Ley 42/2010, de 30 de diciembre, de medidas sanitarias frente al tabaquismo y reguladora de la venta, el suministro, el consumo y la publicidad de los productos del tabaco
  • Ley 13/2011, de 27 de mayo, de regulación del juego

Cabe recordar -por el elevado importe de las mismas- que las sanciones por incumplimiento son, según el tipo de infracción:

LEVES: La comisión de una infracción calificada como leve, dará lugar a la imposición de una sanción de consistente en multa de hasta 30.000 euros

GRAVES: imposición de una sanción de consistente en multa de 30.001 hasta 150.000 euros

MUY GRAVES: imposición de una sanción de consistente en multa de 150.001 hasta 600.000 euros

DEJAR DE RECIBIR PUBLICIDAD NO DESEADA: NADIE DIJO QUE FUERA SENCILLO…

… pero medios, formas y maneras hay.

Si después de ejercer tus derechos continúas recibiendo publicidad no deseada, puedes presentar una reclamación en la Agencia Española de Protección de Datos para que tutele tu derecho o presentar una denuncia.

  • Puedes presentar una reclamación cuando el responsable al que te hayas dirigido no haya contestado tu solicitud o se haya negado a gestionarla, o cuando recibas publicidad diez días hábiles después de que haya recibido tu solicitud. En estos casos será necesario que aportes copia de la publicidad recibida, en su caso, y alguno de los siguientes documentos:
    • La respuesta dada por el responsable del fichero a tu solicitud
    • Copia de la solicitud sellada por el responsable del fichero
    • Acuse de recibo o certificado del servicio postal o de mensajería que hayas utilizado o cualquier otro documento o soporte que deje constancia de la recepción de tu solicitud por el destinatario

Continuar leyendo “DEJAR DE RECIBIR PUBLICIDAD NO DESEADA: NADIE DIJO QUE FUERA SENCILLO…”

LÍMITES AL DERECHO AL OLVIDO ( I )

El derecho al olvido, entendido como un derecho instrumental al derecho a la protección de datos y muy ligado al derecho al honor, la intimidad personal y la propia imagen, forma parte de los derechos de la personalidad pero, como estos, no es un derecho absoluto; y así está quedando patente a medida que se genera jurisprudencia al respecto. Los Jueces y Tribunales se encargan de delimitar el alcance del derecho al olvido cuando éste entra en conflicto con otros derechos.

En su sentencia STS 2675/2017 de 6 de julio de 2017, el Tribunal Supremo dirime esta cuestión ponderando la colisión del derecho al honor y la propia imagen, y el derecho al olvido, con el derecho a la libertad de información.

El recurso de casación fue interpuesto por un hombre absuelto de asesinato ante la demanda de tutela de derecho al honor y a la propia imagen formulada a un periódico, que publicó un artículo (que recogía la información del juicio y la absolución del acusado) en el que no se mencionaba su nombre y ni sus apellidos, acompañado de una fotografía del mismo tomada durante el juicio (artículo que el periódico mantenía en su hemeroteca digital aunque el demandante había sido absuelto).

La parte recurrente solicitaba a la editora del medio a indemnizar el daño moral y a retirar los archivos de medios informáticos, no sólo de la hemeroteca del periódico, sino también la supresión y prohibición de la indexación de la noticia por los motores de búsqueda, en ejercicio del derecho al olvido.

La sentencia desestima el recurso de casación atendiendo a la inexistencia de vulneración ilegítima del derecho al honor y a la propia imagen, determinando la prevalencia del derecho a la información sobre los derechos de la personalidad del afectado, dado que la información divulgada era veraz, se refería a asuntos de interés general o relevancia pública, y no se sobrepasaba el fin informativo, al no habérsele dado un matiz injurioso, denigrante o desproporcionado.

Así mismo, la sentencia remarca la improcedencia de invocar el derecho al olvido digital. En primer lugar, porque su concreción en buscadores no corresponde al medio de comunicación, si no a los titulares de los buscadores de Internet; y porque, además, la noticia original omite el nombre y apellidos del demandante, mostrando únicamente una fotografía tomada durante el acto del juicio, por lo que no es posible la indexación que realizan los motores de búsqueda, cuyos resultados se obtienen con la introducción, principalmente, de estos datos personales: nombre y apellidos.

Si bien es cierto que la imagen de una persona es un dato personal, el demandante no alega que existan medios técnicos que permitan utilizar la imagen como término de búsqueda en un motor de búsqueda de Internet, que permita realizar un perfil de la persona incluyendo informaciones obsoletas y/o gravemente perjudiciales para su reputación o vida privada. Además, añade la sentencia, tampoco concurre el requisito de la desaparición del interés público exigido por la jurisprudencia, dado que el tiempo transcurrido (la demanda se presentó apenas dos años después del juicio) no convertía en desproporcionado el tratamiento respecto a la imagen del demandante que ilustra la noticia.

El derecho al olvido, reitera el Tribunal, no ampara la alteración del contenido de la información original lícitamente publicada (en concreto, el borrado del nombre, apellidos o cualquier otro dato personal que constara en la misma). Tampoco ampara la supresión de la posibilidad de búsqueda específica de la noticia en su integridad del propio buscador interno de la hemeroteca digital. Incluso si en la información aparecen datos personales cuya utilización en un motor de búsqueda permite el acceso a ella tiempo después (de modo que permitiera que el tratamiento de los datos personales pudiera vincularlos a la información perjudicial para el afectado) no estaría justificada la supresión de dichos datos personales del código fuente, y sólo estaría justificada la prohibición de indexarlos para permitir las búsquedas por los motores generalistas, no así por el motor de búsqueda interno de la hemeroteca digital. La pretensión del recurrente carece de fundamento cuando la información publicada no contenía datos personales tan relevantes, como su nombre y su apellido del concernido por la información que permitieran realizar esa búsqueda en Internet.

Así pues, además de concurrir los requisitos que conocíamos hasta ahora para el ejercicio del derecho al olvido, parece que será determinante la tipología concreta del dato que pretenda eliminarse en relación a los criterios o elementos de búsqueda en los buscadores existentes, siempre en ponderación con el resto de derechos implicados y el principio de la proporcionalidad en el tratamiento de los datos.

El RGPD UE/679/2016 reconoce el derecho al olvido en su artículo 17 (Derecho de supresión) estableciendo las causas por las que el interesado puede solicitar el ejercicio del mismo ante el responsable del tratamiento.

TRES LETRAS QUE DAN MUCHO JUEGO…

… aunque es la central la que marca la diferencia.

A menudo manejamos -quizá más de lo que sería deseable- anglicismos en nuestro día a día cotidiano, tanto a nivel profesional como personal.

Es el caso de los cargos profesionales de tres letras; en todos, coinciden en la primera (C)  y en la tercera (O), porque todos son “chief”, y todos son “officer”. Pero lo que marca la diferencia es la letra que anda de por medio.

Podemos “jugar” en la posición central con la  E,   con la  F,   con la  M,   con la  O,   con la  I,   con la  T   y   con la  C

Estamos hablando de:

** CEO (Chief Executive Officer). Consejero delegado o Director ejecutivo

** CFO (Chief Financial Officer). Director Financiero

** CMO (Chief Marketing Officer). Dirige las actividades de Marketing

** COO (Chief Operating Officer). Director de Operaciones

** CIO (Chief Information Officer). Responsable de los sistemas de tecnologías de la información de la empresa a nivel de procesos (planificación)

** CTO (Chief Technology Officer). Responsable técnico de los sistemas de información (ejecución)

** CCO (Chief Communications Officer). Responsable de la reputación corporativa, del Branding y de la relación con los medios

EL DERECHO A LA PORTABILIDAD DE LOS DATOS EN EL NUEVO REGLAMENTO (RGPD 2016/679)

¿Qué implica el ejercicio del Derecho a la Portabilidad de los Datos?

Dentro del marco de protección previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD), los artículos 15 a 18 recogen los derechos de Acceso, Rectificación, Cancelación y Oposición que el titular puede ejercer ante el Responsable del Tratamiento, para garantizar su derecho fundamental a la autodeterminación informativa respecto a su información personal (Art. 18 de la Constitución Española). El Real Decreto 1720/2007, que aprueba el Reglamento de desarrollo de la LOPD, establece el procedimiento, requerimientos y alcance para su ejercicio.

Con la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD 2016/679) encontramos varias novedades en lo referente a los derechos reconocidos al titular. Se definen nuevos derechos como el Derecho a la supresión o Derecho al olvido -del que se ha oído hablar a colación del caso Costeja- o el derecho a la limitación del tratamiento.

En esta ocasión vamos a profundizar en el Derecho a la Portabilidad de Datos.

El artículo 20 del RGPD 2016/679 define este nuevo derecho de la siguiente forma:

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.”

En otras palabras, permite a los interesados solicitar a un Responsable del Tratamiento sus datos personales en un formato digital, con el objetivo de disponer de ellos y facilitar su transmisión a otro Responsable del Tratamiento, complementando así el derecho de acceso.

La referencia que hasta el momento se tenía del Derecho a la Portabilidad era en el ámbito de las Telecomunicaciones. La Ley 9/2014, General de Telecomunicaciones (LGTel) establece que el acceso se facilita para todo tipo de comunicaciones electrónicas, para todas aquellas que se realicen mediante cualquier modalidad de los servicios de telefonía y transmisión de datos, incluyendo comunicaciones de vídeo, audio, intercambio de mensajes o ficheros. Pero en lo referente a la portabilidad, el supuesto de hecho es la conservación del número de abonado (Art. 21 LGTel), solicitando la portabilidad del número de teléfono de una compañía telefónica a otra. En el caso de la Privacidad, el RGPD establece que la totalidad de los datos personales podrán ser transferidos en base al Derecho a la Portabilidad, sea cual sea su sector.

El acuerdo adoptado el 13 de diciembre de 2016 por el Grupo de Trabajo del Art. 29 de la Directiva Europea UE/95/46 (GT29), establece las Directrices sobre el derecho a la portabilidad de los datos

(http://www.agpd.es/portalwebAGPD/internacional/textosynormas/textos_union_europea/textos_articulo_29/common/es_es_wp242_en_40852_PORTABILIDAD.PDF).

Para ello, nos indica diferentes ejemplos de la casuística para su ejercicio. El derecho a la portabilidad puede darse, p.e (“… cuando una persona tiene interés en recuperar su actual lista de reproducción de un servicio de transmisión de música para saber cuántas veces ha escuchado unos temas concretos con el fin de decidir que música adquirir en otra plataforma).

En el ámbito de la Protección de Datos, el Derecho a la Portabilidad puede configurarse desde los siguientes puntos de análisis:

A.- Objeto del derecho: El interesado podrá solicitar aquellos datos que hayan sido proporcionados por él mismo de forma activa y consciente. A modo de ejemplo, pueden solicitarse todos aquellos datos que el Responsable del Tratamiento haya requerido para el registro de usuarios en cualquier cuenta, o incluso aquellos datos que se generan a partir de las actividades de los usuarios en virtud del uso de un dispositivo o servicio (p.e: Historial de búsquedas).

 B.- Procedimiento para el ejercicio: Para que el interesado pueda solicitar la transmisión de sus datos a otro Responsable del Tratamiento, deberán darse los siguientes requisitos:

1º Que los datos sean tratados de forma automatizada por el Responsable del Tratamiento de origen.

2º Que los datos se hayan suministrado por la persona interesada.

3º Que el tratamiento sea legitimado en base al consentimiento del titular, o bien en base a la ejecución de un contrato entre titular y Responsable del Tratamiento.

C.- Actuaciones del Responsable del Tratamiento de origen: Deberá entregar los datos solicitados, “…junto con todos aquellos metadatos como sea posible con el mejor nivel de granularidad”, a través de medios electrónicos, dotando la comunicación de los mecanismos de protección y seguridad necesarios para garantizar la integridad, confidencialidad y disponibilidad de la información objeto de transmisión.

Exención de responsabilidad: Una vez los datos han sido transmitidos, el Responsable del Tratamiento de origen, que responde al ejercicio de la portabilidad, no será responsable del tratamiento llevado a cabo, posteriormente, por el interesado o por el Responsable del Tratamiento de destino o terceros indicados por el interesado.

D.- Plazos para el ejercicio y respuesta: El plazo para dar respuesta a un ejercicio del derecho a la portabilidad es de un mes a contar desde la recepción de la solicitud, o bien de tres meses en casos de extrema complejidad sobre el volumen de los datos a transmitir o del sistema utilizado para una correcta aplicación de las medidas de seguridad que correspondan.

En última instancia, el objetivo de este derecho es facilitar la forma de transmisión de los datos del titular de un Responsable del Tratamiento a otro, siempre en base a la legitimación para la transmisión y la especial observancia de las adecuadas medidas de seguridad.

En el ámbito de las telecomunicaciones este derecho ha perseguido, claramente, el ampliar el poder de elección de operador por el titular dentro del mercado a partir de la facilidad de copiar y/o transmitir los datos de una operadora a otra dentro de los entornos digitales. Ha sido un elemento clave para el fomento de la competencia y la mejora de los servicios.

En el caso de la protección de datos veremos cómo, en las inminentes reformas legislativas que se avecinan, se acabará configurando el ejercicio de este derecho.