Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Así funciona la desconexión digital: ¡hasta 6.250€ de multa!

por

Según recoge el diario Cinco Días, el envío de emails fuera de la jornada de trabajo puede conllevar multas de hasta 6.250 €. Desde la Inspección de Trabajo ven los correos sancionables si la empresa no aclara que se deben responder en horario laboral.

Primero, hagamos memoria de qué es la Desconexión Digital. El derecho a la desconexión digital fuera del horario de trabajo se conceptúa como la limitación al uso de las tecnologías de la comunicación para garantizar el tiempo de descanso y vacaciones de los trabajadores. Y este Derecho viene recogido en el Título X de la Ley Orgánica de Protección de Datos y Garantía de los derechos digitales (LOPDGDD).

Durante la pandemia ha habido un considerable aumento del teletrabajo. Y lo hemos hecho sin estar preparados técnicamente, ni culturalmente, ni, por supuesto, laboralmente. Con videoconferencias a todas horas (sí, aquellas con camisa y pijama), el buzón lleno hasta arriba de correos con infinidad de adjuntos y todos preguntándonos cómo rellenar o firmar un pdf (y buscando a toda prisa una firma digital).

Y todo ello haciendo más horas que un reloj. La falta de preparación y de medios, un sumatorio de ineficiencias elevado al infinito, se compensaba en tiempo de dedicación laboral. Horarios extensos, fines de semana, fiestas, sacrificando el descanso, la familia, … Lejos queda el tiempo en que el viernes al mediodía cerrabas el despacho hasta el lunes. Ahora el despacho y muchos trabajos (en especial en el sector servicios) están abiertos 24/7.

¿Por qué, quién no mira el correo fuera de horas de trabajo? O preferimos llegar lunes y encontrarnos la bandeja de entrada llena hasta arriba con temas que podíamos haber avanzado durante el fin de semana?

Desconexión digital para todos o no? La desconexión digital es, en mi opinión, imprescindible para todos. Y las empresas harán bien en cumplir la norma. Pero, más allá del cumplimiento, lo que necesitamos es aprender a utilizar las diferentes herramientas de comunicación e información para sobrevivir en la frenética sociedad de hoy. Entre todos tenemos que poner límites.

Mientras tanto, recordemos que si queremos enviar un correo a un trabajador, podemos hacerlo en cualquier momento pero, eso sí, cumpliendo con la normativa que, en este caso, exige indicar claramente que se debe responder en horario laboral. Y esto vale para llamadas, whatsapp y otras herramientas de comunicación. Y entender que, si es viernes tarde, no podemos pedir un informe para el lunes a primera hora. Tan simple como eso.

Imagen Pixabay

Cookies again

por

Teníamos pendiente dos cuestiones con respecto a las cookies: la validez de la opción «seguir navegando» como forma de prestar el consentimiento por parte de los usuarios y la posibilidad de utilizar los conocidos como «muros de galletas» que permiten limitar acceso a determinados servicios o contenidos a los usuarios que expresamente aceptan el uso de cookies.

Y la Agencia Española de Protección de Datos (AEPD) ha actualizado recientemente su Guía sobre el uso de las cookies para adaptarla a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD) . La nueva Guía ya está publicada en la web de la Agencia.

Respecto al primer aspecto destacable, la opción de «seguir navegando», la Guía explicita que no es, en ninguna circunstancia, una forma válida de prestar el consentimiento, en la medida en que estas acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco.

En cuanto a los «muros de galletas», la Guía dice que no se podrán utilizar sino ofrecen una alternativa al consentimiento. Este criterio resulta especialmente importante en aquellos supuestos en que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar este derecho.

Estos nuevos criterios se deberán implementar, a más tardar, el 31 de octubre de este año, estableciéndose así un periodo transitorio de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento para el uso de cookies que se estén utilizando.

Está claro que la industria publicitaria deberá mover ficha y quizás el camino es explicarle al usuario, de forma transparente, para que se usan las cookies. Si el usuario sabe exactamente porqué queremos sus datos y en qué le beneficia, estará dispuesto, a buen seguro, a compartirlas con nosotros. No hay otro camino.

El cumplimiento normativo no es un camino corto y fácil pero si todos -instituciones, empresas, ciudadanos y profesionales de la privacidad- trabajamos juntos en la misma dirección conseguiremos que contribuya significativamente al crecimiento de la actividad económica, con seguridad. Y, al fin y al cabo, eso es lo que queremos todos.

Imagen Pixabay

El Tribunal de Justicia de la Unión Europea declara inválido el Escudo de Privacidad para la realización de transferencias internacionales de datos a EEUU

por

El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) ha hecho pública una sentencia en la que anula la Decisión 2016/1250 de la Comisión que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EEUU. Esta Decisión sustituía a su vez a Puerto Seguro, que también fue declarado inválido por el TJUE en octubre de 2015.

Más información

‘Efecto Bruselas’: puñetazo de la UE sobre la mesa

por

En pocos días se han reunido dos hechos que guardan una estrecha relación y que son de suma importancia para los ciudadanos europeos y, me atrevo a decir, para muchos ciudadanos del mundo. Me estoy refiriendo al libro ‘El efecto Bruselas’ de Anu Bradford y, naturalmente, la anulación del acuerdo conocido como Privacy Shield con Estados Unidos.

Bradford sostiene que es Europa -y no Estados Unidos o China- quien domina el mundo. ¿Cómo? Gracias al Efecto Bruselas o, lo que es lo mismo, la externalización involuntaria de regulaciones a través de mecanismos globalizadores del mercado. Según la autora, este efecto acaba influyendo más en la vida de muchos habitantes del planeta que el poder económico o militar de los gigantes americanos y chinos.

Europa es un mercado único muy envidiable, entre otras cosas, por su gran poder adquisitivo. Y las empresas internacionales asumen las estrictas leyes de la UE para poder acceder y beneficiarse. Y estas empresas imponen estas reglas a sus filiales en todo el mundo con el fin de uniformar los procedimientos, aprovechar las economías de escala y reducir costes.

Y un ejemplo que avala la tesis es el Reglamento General de Protección de Datos (RGPD) que entró en vigor hace poco más de dos años. Ya escribimos entonces que era una legislación con vocación ‘universal’ porque que afectaba a los ciudadanos de la UE y que las empresas que quisieran tratar datos personales -imprescindibles para el tráfico económico- estaban obligadas a cumplir con la normativa. Cualquier empresa, de cualquier parte del mundo, sin excepción.

Estados Unidos ha regulado, desde siempre, de forma muy laxa la protección de datos y siempre a remolque de la UE. Hasta tal punto que Europa acaba de anular el acuerdo denominado Privacy Shield. Se trata de un acuerdo firmado hace cuatro años que permitía transferir datos personales de ciudadanos de Estados miembros europeos en Estados Unidos. La decisión de invalidar el acuerdo se basa en que la UE no confía en que la información sea tratada con las garantías pertinentes en términos de privacidad.

De las consecuencias de la decisión -tanto con respecto a las grandes tecnológicas americanas o para miles de pymes- hablaremos en otra ocasión. Hoy se trata de poner de manifiesto el puñetazo sobre la mesa de la UE, haciendo visible el Efecto Bruselas ‘en materia de protección de datos. Y no será el último.

Twitter, ¿a dónde vas?

por

Hemos conocido este semana, miércoles, que Twitter, la red social de los mensajes cortos, ha sido hackeada. Las cuentas de Jeff Bezos, Musk, Obama o Gates se han visto decididamente comprometidos. Esto, junto con la respuesta de la compañía al incidente, ha disparado todas las alarmas.

En los Estados Unidos ya lo han calificado de «tweet-tastrophe«. Y no es para menos. La brecha de seguridad ha afectado a unas 130 cuentas de personas relevantes. Y los hackers, según las primeras informaciones, han podido tener acceso total a un número indeterminado de estas cuentas.

Twitter puede tener actualmente unos 400 millones de usuarios y es la forma más rápida de comunicación de masas. Ningún otro medio puede competir. Y todo lo que tiene de bueno lo tiene de perverso en situaciones como ésta. Y perversidad en dos vertientes: la gravísima situación creada por un lado y, del otro, la irresponsabilidad de la compañía y su decepcionante respuesta al incidente.

Respecto a la primera, ahora se ha evidenciado el riesgo que supone que los líderes mundiales utilicen un producto comercial que no ha sido verificado por las autoridades de seguridad y que está en manos de una empresa privada. Imaginemos, por un momento, la importancia que puede tener para la cotización de Tesla en bolsa un tweet malintencionado tuitado, supuestamente, por Elon Musk. O para las economías mundiales si el tweet procede de un Bill Gates impostado. Y que decir de un tweet fake de Trump cuando los verdaderos ya nos ponen los pelos de punta. Desde el hundimiento de una compañía a un estallido económico, o vete a saber si sanitario si el tuit se refiere al Covid-19, hasta poner en peligro la seguridad mundial con tuits falsos cruzados entre Trump y Putin, por ejemplo.

Respecto a la responsabilidad de la compañía cabe decir que es máxima. Está claro que todo sistema es susceptible de ser hackeado pero para ello las empresas, y más cuando son así de relevantes, deben tener planes de contingencia que permitan minimizar, sino evitar, los posibles daños. Y en cualquier caso, si las cuentas son atacadas, nunca debería existir la posibilidad de que alguien tomara el control de la cuenta de un usuario cuando éste ha seguido todas las normas y ha aplicado sus medidas de seguridad. La irresponsabilidad de Twitter es estratosférica y absolutamente imperdonable.

Y la respuesta al incidente has sido absolutamente insuficiente. Sin comunicación, sin información, sin explicaciones, sin disculpas. Silencio total. Descontrol total. Y este no es el camino. Por eso preguntamos, Twitter, ¿a dónde vas?

Imagen Pixabay

Reutilizar papel puede resultar muy caro

por

La AEPD multa a una abogada para reutilizar documentos con datos de clientes en el reverso. La letrada, que afronta una sanción de 2.000 euros, aprovechó papel usado que contenía información personal de nuestros clientes.

Siempre es bueno reutilizar y reciclar cualquier consumible y el papel es, todavía, uno de los más importantes en este aspecto. Tradicionalmente, además, en los despachos de abogados se ha utilizado mucho papel por razones obvias – escritos de todo tipo, comunicados de los juzgados, copias para todas las partes, etc.- Por razón de la profesión, el abogado necesita mucho papel y es práctica habitual reciclar todo el papel posible.

Pero las cosas están cambiando. La transformación digital, que ha avanzando mucho durante la pandemia, es una revolución imparable. Pero hasta que no esté implantada completamente debemos tener cuidado y observar cuidadosamente la legislación vigente, en este caso, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).

La AEPD considera que la actuación de la letrada supone, precisamente, una vulneración del artículo 32 de este Reglamento. La norma en cuestión obliga a los responsables de tratamiento de datos a «aplicar medidas técnicas y organizativas para garantizar el nivel de seguridad adecuado». Para ello ha fijado una sanción de 2.000 euros.

Según recoge la resolución, la abogada usó papel que contenía información personal de otros clientes, incluso un menor de edad, para convocar una reunión de inquilinos. Papel que en el reverso aparecían datos de terceros referidas a procedimientos anteriores, lo que suponía hacer accesible estos datos a terceros, sin consentimiento de los titulares.

El artículo 32 del RGPD, en el marco de la Seguridad de los datos personales, apunta las medidas a tomar para garantizar un nivel de seguridad adecuado al riesgo como, por ejemplo, la seudonimización y el cifrado, garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas, la capacidad de restaurar los datos y el acceso a la información en caso de incidente y un proceso de verificación y evaluación de la eficacia de las medidas implementadas. Aplicando estas medidas minimizaremos los riesgos y evitaremos las sanciones.

Porque 2.000 euros es una sanción relativamente pequeña. El equivalente, aproximadamente a 625 paquetes de 500 hojas DIN A4. Y se pueden recuperar en el próximo asunto que nos encarguen. Pero lo peor, como siempre, es la reputación. ¿Confiaríamos nuestros asuntos más importantes a un profesional que no tiene cuidado de los datos personales y de la privacidad de sus clientes? Es más, ¿confiaríamos en un abogado que no cumple la ley en su actividad?

Imagen Pixabay

Externalizar la publicidad no exime de responsabilidad

por

El anunciante es responsable de la publicidad aunque  la haya externalizado. La sala tercera del contencioso administrativo estima que aunque es subcontrate a una empresa externa para las Campañas Publicitarias ESTO no elimina la Responsabilidad del anunciante.

Lo ha dictaminado el Tribunal Supremo. La externalización de la publicidad no exime a las empresas de la obligación que tienen de excluir a los clientes que no la quieren recibir. Confirma así una multa de 40.000 € a Mutua Madrileña por enviar anuncios a un cliente que expresamente había rechazado el uso de sus datos.

Dice la Sala Tercera que aunque se subcontrate a una empresa externa para los Campañas Publicitarias, no se elimina la Responsabilidad de la empresa anunciante.

El cliente, que tenía tres pólizas de seguro en la Mutua, contaba con 2 Cuentas de correo electrónico inscritas en la Lista Robinson (Servicio de exclusión publicitaria) desde enero de 2012. Según a los hechos probados en el pleito, el 20 de diciembre de 2011 ejerció sume derecho de oposición al tratamiento de sus  datos personales ante Mutua Madrileña, en una comunicación a la que sólo autorizaba a la compañía a que utilizara sus datos personales cuando resultara imprescindible para el desarrollo de la relación contractual, excluyendo «tratamientos con fines publicitarios o de prospección comercial,» la realización de segmentaciones «,» estudios de marketing «o» campañas publicitarias «. A pesar de esto, el denunciante continuó recibiendo comunicaciones comerciales.

Mutua Madrileña, en recurso, alegó que haber facilitado a la empresa de publicidad un fichero de exclusión con clientes que no querían publicidad hubiera supuesto una cesión consentida de datos. Y que la empresa contratista asumía como propio el cumplimiento de las obligaciones en materia de protección de datos.

El Tribunal rechaza los argumentos para que MM no adoptó ninguna medida cautelar para evitar el envío de publicidad y que según la normativa de protección de datos, el anunciante está obligado a comunicar las solicitudes del derecho de oposición que se hayan ejercido a la empresa que hace la campaña publicitaria.

En resumen, las empresas deben estar atentas al ejercicio de derechos por parte del usuario (por lo que deben tener los correspondientes protocolos) y hacerlos efectivos. Y por su parte, las empresas de publicidad, en los contratos de tratamiento de datos, deben tener presente circunstancias con la recogida aquí y estar vigilantes para que, aunque no acabe en sanción, su reputación se puede ver perjudicada.

Oferta de trabajo para trabajadores con anticuerpos del COVID-19

por

Han comenzado a aparecer ofertas de trabajo en las que se pide a los candidatos información sobre si han pasado el coronavirus y desarrollado anticuerpos como requisito para acceder al puesto de trabajo propuesto. La Agencia Española de Protección de Datos (AEPD) ya ha salido al paso con un comunicado en el que advierte, como no puede ser de otro modo, que estas prácticas constituyen una vulneración de la normativa de protección de datos aplicable.

Según explica la AEPD, la información de haber sufrido el coronavirus y desarrollado anticuerpos de esta enfermedad es un dato personal relativa a la salud, que el Reglamento General de Protección de Datos (RGPD) califica de categoría especial en su artículo 9 , por lo que su recogida y utilización por la posible empresa empleadora está sujeta a la normativa de protección de datos, fundamentalmente el citado RGPD y la Ley Orgánica de protección de datos personales y garantía de los derechos digitales (LOPDPGDD), que resultan plenamente aplicables.

Para que se pueda llevar a cabo el tratamiento, el RGPD exige fundamentarlo en el consentimiento del interesado. Este consentimiento debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca. Pero en el caso que nos ocupa, la Agencia entiende que no hay verdadera o libre elección o no se puede denegar o retirar el consentimiento sin sufrir un perjuicio o cuando haya un desequilibrio claro entre las partes, como sería en este caso. Cuando una persona va a buscar trabajo, la mayoría de veces se encuentra en un situación de inferioridad y vulnerabilidad que impide el consentimiento libre que exige la normativa.

Además de no existir base lícita, la finalidad tampoco sería legítima para que la información sobre la inmunidad al Covid-19 daría lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable.

Por último, la Agencia afirma que esta información no debe incluirse en el currículo para que la empresa destinataria tendría que suprimirla para no infringir la normativa de protección, lo que podría suponer la destrucción del currículo

Parece claro que los efectos del coronavirus extenderán durante meses y nos darán muchas sorpresas. Y la mayoría desagradables. Tendremos que desempolvar nuestro particular manual de resiliencia aplicada para superarlos.

Imagen Pixabay

Revisión Textos Legales Web