LA REFORMA EUROPEA DE PROTECCIÓN DE DATOS: SITUACIÓN ACTUAL (SESIÓN INFORMATIVA EN EL ICAB)

En la sede del ICAB se impartió ayer una sesión informativa sobre cuál era la situación actual de la reforma europea de protección de datos, que inició su andadura en 2012.

Con una introducción previa al tema por parte de la Sra. M.Àngels Barbarà, Directora de l’Autoritat Catalana de Protecció de Dades (APDCAT), el Sr. Rafael García Gozalo, responsable del Área Internacional de la Agencia Española de Protección de Datos (AEPD) entró en materia sobre los

Aspectos centrales de la reforma europea de protección de datos

(imposible abarcarlos todos en una misma sesión).

Detallamos aquí algunos de los puntos expuestos:

-De entrada, cabe recordar que hay en escena tres actores: la Comisión Europea (COM), el Consejo de Europa (CE) y el Parlamento Europeo (PE), cada uno de ellos haciendo sus aportaciones y valoraciones.

-De cerrarse, según el compromiso adquirido entre las partes, en diciembre 2015, el ámbito de aplicación será en 2018.

-Se añaden a los derechos ARCO, dos más: a la “portabilidad” y “al olvido”.

-Intención clara de desaparición de cargas administrativas para las empresas.

-No está todavía clara la continuidad de la obligatoriedad de inscripción de ficheros.

-Se hace énfasis en la evaluación de riesgos en cuanto a medidas de seguridad.

-Reforzamiento de la colaboración/cooperación entre Agencias europeas.

-Régimen sancionador a nivel europeo.

-Se ha llegado ya a un acuerdo en el tema de las transferencias internacionales.

-Aunque se prevé difícil, Directiva y Reglamento deberían aprobarse a la vez, según PE y COM, no así para el CE.

-Se detectan en la Directiva muchas divergencias.

-Se sigue debatiendo sobre “qué es interés público”.

-Se sigue debatiendo sobre “qué es obligación legal”.

-Se establecen especificaciones para el sector público.

-El ámbito de aplicación en instituciones públicas provoca divergencias entre CE y PE.

-Existen divergencias entre los ámbitos de aplicación, Reglamento y Directiva.

-Régimen sancionador más laxo, sin aparente justificación.

-Directiva para los Cuerpos y Fuerzas de Seguridad del Estado.

-Determinar claramente los términos “base legal”, “finalidad” e “interés legítimo”.

-La base legal para archivística, científica y estadística es su finalidad, según el CE, aunque ofrece dudas (caso FB).

-Determinación de términos de consentimiento: “explícito” e  “inequívoco“; la inacción no vale.

-Responsabilidad activa. Prevención. La COM era más rígida, pero el CE se decanta por “enfoque del riesgo”.

-Cómo se mide el riesgo y cómo guiar a los responsables.

-Cuándo se estará en “riesgo alto” (problemas para las Pyme)

-Tema documentación: el CE exime a las Pyme… salvo excepciones por riesgo.

-Quiebras de seguridad: notificarlas todas (complicado), excepto si se han tomado medidas ulteriores.

-Códigos de conducta.

-DPO: la COM y PE abogan por la obligatoriedad; el CE, por la voluntariedad, salvo ley nacional.

-Art. 43 bis: conflictos a respuesta, o no, a terceros países.

-Ventanilla única europea para resolución de conflictos.

-Derecho de oposición incondicionado si se tratan los datos en “interés legítimo”.

-Las excepciones al art. 21.

-Más que régimen sancionador, se habla de “multas administrativas”, pero sin baremos previos: así, puedes ser sancionado a Cero € o hasta el 5% de la facturación de la sociedad… pero sin saber en base a qué, porque no hay tipificación de infracciones, ni establecimiento de éstas en leves, graves, muy graves (p.e.).

-Información a interesados; en el art. 9 se indica que los datos sensibles NO pueden ser tratados sin informar al interesado… salvo base legal. Además, cuando los datos los ha hecho “manifiestamente públicos” el propio interesado (incluso datos sensibles), éstos se pueden tratar sin informar.

-Cambio en las fuentes accesibles al público: lo es Internet y las Redes sociales.

En definitiva, una densa -pero muy amena por parte de Rafael García- sesión informativa sobre este asunto (en fase todavía de proyecto “a tres bandas”) al que le queda todavía un muy largo recorrido.

RESUMEN NOTICIAS FEBRERO 2015

PROTECCIÓN DE DATOS PERSONALES

BAR MADRILEÑO SANCIONADO CON 6.500€ POR NO UBICAR CORRECTAMENTE SUS CÁMARAS DE VIDEOVIGILANICA. La sala Kiss Madrid grababa la vía pública con sus cámaras de seguridad; la AN entiende que vulnera el artículo 6.1 de la LOPD, referido a que los particulares deben ser informados previamente sobre cuál va a ser el uso que se va a hacer por parte de la empresa de las imágenes obtenidas. La infracción, considerada como grave por la AEPD al “no atender a los requerimientos o apercibimientos recibidos”, podía haber supuesto a la empresa una sanción de entre 40.001 y 300.000 euros. Finalmente la cuantía se fijó en 6.500 euros, tras graduar la multa atendiendo a criterios como el carácter continuado de la infracción, los beneficios obtenidos por la comisión de la misma o el grado de intencionalidad, entre otros.

APERCIBIMIENTO AL INSTITUTO CATALÁN DE LA SALUD POR NO PROTEGER LOS DATOS DE LOS PACIENTES. La Agencia Catalana de Protección de Datos (APDCAT) se ha pronunciado a favor de un paciente que se opuso a que sus datos personales figurasen en los documentos del Instituto Catalán de Salud (ICS) por la derivación de consulta. El organismo controlador ha considerado en su resolución que el número de la tarjeta sanitaria es suficiente para identificar el paciente, además de criticar que el ICS no respondiera a la petición del paciente en el plazo preceptivo de diez días que establece la legislación vigente.

 LA APDCAT ALERTA SOBRE EL CUMPLIMIENTO DE LA LOPD EN LAS APLICACIONES MÓVILES DE SALUD. La Directora de la APDCAT, Àngels Barbarà, ha defendido las aplicaciones móviles de salud porque permiten mejorar la calidad de vida, pero ha criticado “la falta de privacidad que tienen”. Barbarà ha explicado que una empresa puede llegar a conclusiones sobre la condición física o mental de una persona combinando los datos que tenga en una aplicación médica y los comentarios que ponga en las redes sociales, concluyendo que se debe evitar la vulneración del derecho a la privacidad a la vez que se desarrolla la tecnología.

DELITOS INFORMÁTICOS

EL FRAUDE EN EL COMERCIO ELECTRÓNICO MÓVIL ROZA LOS 100 MILLONES DE DÓLARES ANUALES. Una reciente investigación a 250 empresas sostiene que las pérdidas de éstas al año, en lo que respecta a mobile commerce, rozan los 100 millones de dólares. En concreto, los encuestados cifraron las pérdidas en 92,3 millones de dólares anuales. El aumento del uso de dispositivos móviles, y del número de transacciones a través de éstos, está en consonancia al incremento del fraude que se lleva a cabo mediante ellos. Las motivaciones del fraude se encuentran en la pérdida de datos consecuencia de distintos robos, así como de las brechas que existen en la seguridad de los negocios electrónicos que funcionan a través de dispositivos móviles. Entre estas malas praxis se encuentran actividades ilícitas como el spam, los intentos de phishing, el fraude de afiliados y el fraude convencional a través del correo electrónico.

PREVENCIÓN DE BLANQUEO DE CAPITALES

EL SEPBLAC PUBLICA LA GUÍA DE “BUENAS PRÁCTICAS” SOBRE PREVENCIÓN DE BLANQUEO DE CAPITALES. El SEPBLAC ha publicado una guía de Buenas Prácticas en la aplicación de listas de personas y entidades sujetas a sanciones y contramedidas financieras internacionales. Según se indica en dicha guía, la UE ha impuesto medidas restrictivas y sanciones de distinta naturaleza a determinados países y a las personas físicas y jurídicas que se enumeran expresamente en los instrumentos jurídicos correspondientes. Uno de los aspectos prácticos más destacados en que se concreta el cumplimiento de estas obligaciones es el consistente en la verificación de que los clientes, o las personas con las que se realizan operaciones, no estén incluidos en las listas de sanciones publicadas.

 

RESUMEN NOTICIAS OCTUBRE 2014

PROTECCIÓN DE DATOS PERSONALES

EL TRIBUNAL SUPREMO DESTACA EN UNA NUEVA SENTENCIA LA PROTECCIÓN DE LAS DIRECCIONES IP. El Tribunal rechaza la petición de Promusicae de recopilar información de sus direcciones IP sin consentimiento de sus titulares para sus reclamaciones legales sobre protección intelectual. La sentencia viene a confirmar la decisión de la Audiencia Nacional en septiembre de 2011 que establece que Promusicae no está eximida del deber de informar a los usuarios de redes P2P sobre el tratamiento de sus datos que establece la Ley Orgánica de Protección de Datos.

UPYD PROPONE QUE LA AEPD CONTROLE DE FORMA CONCRETA LOS DATOS PERSONALES QUE OBTIENEN LAS APLICACIONES MÓVILES. UPyD ha registrado una iniciativa en el Congreso en la que insta al Gobierno a exigir a la AEPD que fiscalice la forma de obtención de datos personales, así como la utilización que le dan a los datos personales que recaban las aplicaciones móviles más descargadas en la tienda de aplicaciones de Apple y Google de manera trimestral. A su vez, propone al Gobierno que garantice que el desarrollador de la aplicación móvil o red social no continúe utilizando datos personales del usuario después de que éste cierre su perfil o cuenta en la red social o desinstale una aplicación móvil, o tras una inactividad prolongada en el tiempo de forma ininterrumpida de seis meses o superior.

LA AEPD PRESENTA SU MEMORIA 2013. La Memoria 2013  recoge la actividad y el funcionamiento de las distintas áreas de la institución, las tendencias más destacadas en materia de protección de datos, las decisiones y procedimientos más relevantes, y un completo análisis de los desafíos para la privacidad, tanto presentes como futuros, destacando que en 2013 se ha afianzado el número de denuncias y reclamaciones presentadas ante la AEPD, situándose en 10.604 las peticiones realizadas en 2013 frente a las 10.787 de 2012. Y en cuanto a los ámbitos de actividad con mayor número de actuaciones de investigación, en primer lugar se encuentra el sector de las telecomunicaciones (2.256 actuaciones previas iniciadas) seguido de las entidades financieras (1.566) y de la videovigilancia (918) como datos a destacar entre otros.

 LA AGENCIA CATALANA DE PROTECCIÓN DE DATOS (APDCAT) ABRE UN EXPEDIENTE SANCIONADOR AL INSTITUT CATALÀ DE LA SALUT (ICS). Este expediente se ha abierto tras la denuncia de una persona, el pasado 9 de mayo, que acudió al Hospital del Vall Hebrón, que tuvo acceso a un documento de transporte en ambulancia con todos los datos personales de otra paciente junto a otros formularios en una mesa informativa. La APDCAT solicitó tras la denuncia información al hospital y se interesó por el procedimiento que se sigue en dicho centro para tramitar las solicitudes de transporte sanitario, cuántos originales se emiten de las solicitudes y a cuántas personas se les entrega. La Autoritat entiende que el ICS podría haber cometido una infracción de la ley de protección de datos al ser responsable de preservar el fichero de pacientes de los hospitales adscritos al ICS “y permitió que el 4 de mayo de 2014 terceras personas accediesen a un documento que contenía datos personales, algunos de ellos especialmente protegidos”.

 DELITOS INFORMÁTICOS

DOS DETENIDOS POR SUPLANTAR LA IDENTIDAD DE UNA CONCEJALA EN TWITTER. La Policía Nacional ha detenido en Segovia a dos hombres de 23 y 24 años por un presunto delito de injurias graves con publicidad a través de Internet, ya que éstos crearon supuestamente un perfil falso de la concejala del Ayuntamiento de Valladolid, Ángela Bachiller, en la red social Twitter y con un uso muy extendido utilizando datos personales suyos así como una fotografía. Las injurias graves hechas con publicidad se castigan con la pena de multa de seis a catorce meses y, en otro caso, con la de tres a siete meses, mientras que el delito de usurpación de identidad puede ser castigado con la pena de prisión de seis meses a tres años.

PREVENCIÓN DE BLANQUEO DE CAPITALES

LA EMPRESA CANARIA JESUMAN HA VULNERADO AL MENOS EN OCHO OCASIONES LA LEY DE PREVENCIÓN DEL BLANQUEO DE CAPITALES Y DE LA FINANCIACIÓN DEL TERRORISMO. Así lo confirma la Sala de lo Contencioso de la Audiencia Nacional en una sentencia. En septiembre de 2012, la Secretaría General del Tesoro y Política Financiera se reafirmó en su decisión de sancionar a Comercial Jesuman por haber cometido hasta ocho infracciones graves tipificadas en la ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. En concreto, la empresa canaria había incumplido la obligación de declarar determinados movimientos de medios de pago, en este caso movimientos monetarios. El 29 de abril de 2010 había movido sin declarar la cantidad de 200.000 euros; un día después movió 322.000 euros; el 28 de mayo de ese mismo año, 347.000; el 1 de junio, medio millón; el 25 de junio, 240.000 euros más; y el 25 de noviembre, otros 330.620 euros. Además, el grupo que aglutina a firmas del sector de los supermercados como Alteza o La Hucha ya había hecho lo mismo en 2009 en otras dos ocasiones: el 25 de noviembre (200.000 euros) y el 28 de diciembre (prácticamente 600.000 euros).