Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Twitter, ¿a dónde vas?

por

Hemos conocido este semana, miércoles, que Twitter, la red social de los mensajes cortos, ha sido hackeada. Las cuentas de Jeff Bezos, Musk, Obama o Gates se han visto decididamente comprometidos. Esto, junto con la respuesta de la compañía al incidente, ha disparado todas las alarmas.

En los Estados Unidos ya lo han calificado de «tweet-tastrophe«. Y no es para menos. La brecha de seguridad ha afectado a unas 130 cuentas de personas relevantes. Y los hackers, según las primeras informaciones, han podido tener acceso total a un número indeterminado de estas cuentas.

Twitter puede tener actualmente unos 400 millones de usuarios y es la forma más rápida de comunicación de masas. Ningún otro medio puede competir. Y todo lo que tiene de bueno lo tiene de perverso en situaciones como ésta. Y perversidad en dos vertientes: la gravísima situación creada por un lado y, del otro, la irresponsabilidad de la compañía y su decepcionante respuesta al incidente.

Respecto a la primera, ahora se ha evidenciado el riesgo que supone que los líderes mundiales utilicen un producto comercial que no ha sido verificado por las autoridades de seguridad y que está en manos de una empresa privada. Imaginemos, por un momento, la importancia que puede tener para la cotización de Tesla en bolsa un tweet malintencionado tuitado, supuestamente, por Elon Musk. O para las economías mundiales si el tweet procede de un Bill Gates impostado. Y que decir de un tweet fake de Trump cuando los verdaderos ya nos ponen los pelos de punta. Desde el hundimiento de una compañía a un estallido económico, o vete a saber si sanitario si el tuit se refiere al Covid-19, hasta poner en peligro la seguridad mundial con tuits falsos cruzados entre Trump y Putin, por ejemplo.

Respecto a la responsabilidad de la compañía cabe decir que es máxima. Está claro que todo sistema es susceptible de ser hackeado pero para ello las empresas, y más cuando son así de relevantes, deben tener planes de contingencia que permitan minimizar, sino evitar, los posibles daños. Y en cualquier caso, si las cuentas son atacadas, nunca debería existir la posibilidad de que alguien tomara el control de la cuenta de un usuario cuando éste ha seguido todas las normas y ha aplicado sus medidas de seguridad. La irresponsabilidad de Twitter es estratosférica y absolutamente imperdonable.

Y la respuesta al incidente has sido absolutamente insuficiente. Sin comunicación, sin información, sin explicaciones, sin disculpas. Silencio total. Descontrol total. Y este no es el camino. Por eso preguntamos, Twitter, ¿a dónde vas?

Imagen Pixabay

Reutilizar papel puede resultar muy caro

por

La AEPD multa a una abogada para reutilizar documentos con datos de clientes en el reverso. La letrada, que afronta una sanción de 2.000 euros, aprovechó papel usado que contenía información personal de nuestros clientes.

Siempre es bueno reutilizar y reciclar cualquier consumible y el papel es, todavía, uno de los más importantes en este aspecto. Tradicionalmente, además, en los despachos de abogados se ha utilizado mucho papel por razones obvias – escritos de todo tipo, comunicados de los juzgados, copias para todas las partes, etc.- Por razón de la profesión, el abogado necesita mucho papel y es práctica habitual reciclar todo el papel posible.

Pero las cosas están cambiando. La transformación digital, que ha avanzando mucho durante la pandemia, es una revolución imparable. Pero hasta que no esté implantada completamente debemos tener cuidado y observar cuidadosamente la legislación vigente, en este caso, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).

La AEPD considera que la actuación de la letrada supone, precisamente, una vulneración del artículo 32 de este Reglamento. La norma en cuestión obliga a los responsables de tratamiento de datos a «aplicar medidas técnicas y organizativas para garantizar el nivel de seguridad adecuado». Para ello ha fijado una sanción de 2.000 euros.

Según recoge la resolución, la abogada usó papel que contenía información personal de otros clientes, incluso un menor de edad, para convocar una reunión de inquilinos. Papel que en el reverso aparecían datos de terceros referidas a procedimientos anteriores, lo que suponía hacer accesible estos datos a terceros, sin consentimiento de los titulares.

El artículo 32 del RGPD, en el marco de la Seguridad de los datos personales, apunta las medidas a tomar para garantizar un nivel de seguridad adecuado al riesgo como, por ejemplo, la seudonimización y el cifrado, garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas, la capacidad de restaurar los datos y el acceso a la información en caso de incidente y un proceso de verificación y evaluación de la eficacia de las medidas implementadas. Aplicando estas medidas minimizaremos los riesgos y evitaremos las sanciones.

Porque 2.000 euros es una sanción relativamente pequeña. El equivalente, aproximadamente a 625 paquetes de 500 hojas DIN A4. Y se pueden recuperar en el próximo asunto que nos encarguen. Pero lo peor, como siempre, es la reputación. ¿Confiaríamos nuestros asuntos más importantes a un profesional que no tiene cuidado de los datos personales y de la privacidad de sus clientes? Es más, ¿confiaríamos en un abogado que no cumple la ley en su actividad?

Imagen Pixabay

Externalizar la publicidad no exime de responsabilidad

por

El anunciante es responsable de la publicidad aunque  la haya externalizado. La sala tercera del contencioso administrativo estima que aunque es subcontrate a una empresa externa para las Campañas Publicitarias ESTO no elimina la Responsabilidad del anunciante.

Lo ha dictaminado el Tribunal Supremo. La externalización de la publicidad no exime a las empresas de la obligación que tienen de excluir a los clientes que no la quieren recibir. Confirma así una multa de 40.000 € a Mutua Madrileña por enviar anuncios a un cliente que expresamente había rechazado el uso de sus datos.

Dice la Sala Tercera que aunque se subcontrate a una empresa externa para los Campañas Publicitarias, no se elimina la Responsabilidad de la empresa anunciante.

El cliente, que tenía tres pólizas de seguro en la Mutua, contaba con 2 Cuentas de correo electrónico inscritas en la Lista Robinson (Servicio de exclusión publicitaria) desde enero de 2012. Según a los hechos probados en el pleito, el 20 de diciembre de 2011 ejerció sume derecho de oposición al tratamiento de sus  datos personales ante Mutua Madrileña, en una comunicación a la que sólo autorizaba a la compañía a que utilizara sus datos personales cuando resultara imprescindible para el desarrollo de la relación contractual, excluyendo «tratamientos con fines publicitarios o de prospección comercial,» la realización de segmentaciones «,» estudios de marketing «o» campañas publicitarias «. A pesar de esto, el denunciante continuó recibiendo comunicaciones comerciales.

Mutua Madrileña, en recurso, alegó que haber facilitado a la empresa de publicidad un fichero de exclusión con clientes que no querían publicidad hubiera supuesto una cesión consentida de datos. Y que la empresa contratista asumía como propio el cumplimiento de las obligaciones en materia de protección de datos.

El Tribunal rechaza los argumentos para que MM no adoptó ninguna medida cautelar para evitar el envío de publicidad y que según la normativa de protección de datos, el anunciante está obligado a comunicar las solicitudes del derecho de oposición que se hayan ejercido a la empresa que hace la campaña publicitaria.

En resumen, las empresas deben estar atentas al ejercicio de derechos por parte del usuario (por lo que deben tener los correspondientes protocolos) y hacerlos efectivos. Y por su parte, las empresas de publicidad, en los contratos de tratamiento de datos, deben tener presente circunstancias con la recogida aquí y estar vigilantes para que, aunque no acabe en sanción, su reputación se puede ver perjudicada.

Oferta de trabajo para trabajadores con anticuerpos del COVID-19

por

Han comenzado a aparecer ofertas de trabajo en las que se pide a los candidatos información sobre si han pasado el coronavirus y desarrollado anticuerpos como requisito para acceder al puesto de trabajo propuesto. La Agencia Española de Protección de Datos (AEPD) ya ha salido al paso con un comunicado en el que advierte, como no puede ser de otro modo, que estas prácticas constituyen una vulneración de la normativa de protección de datos aplicable.

Según explica la AEPD, la información de haber sufrido el coronavirus y desarrollado anticuerpos de esta enfermedad es un dato personal relativa a la salud, que el Reglamento General de Protección de Datos (RGPD) califica de categoría especial en su artículo 9 , por lo que su recogida y utilización por la posible empresa empleadora está sujeta a la normativa de protección de datos, fundamentalmente el citado RGPD y la Ley Orgánica de protección de datos personales y garantía de los derechos digitales (LOPDPGDD), que resultan plenamente aplicables.

Para que se pueda llevar a cabo el tratamiento, el RGPD exige fundamentarlo en el consentimiento del interesado. Este consentimiento debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca. Pero en el caso que nos ocupa, la Agencia entiende que no hay verdadera o libre elección o no se puede denegar o retirar el consentimiento sin sufrir un perjuicio o cuando haya un desequilibrio claro entre las partes, como sería en este caso. Cuando una persona va a buscar trabajo, la mayoría de veces se encuentra en un situación de inferioridad y vulnerabilidad que impide el consentimiento libre que exige la normativa.

Además de no existir base lícita, la finalidad tampoco sería legítima para que la información sobre la inmunidad al Covid-19 daría lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable.

Por último, la Agencia afirma que esta información no debe incluirse en el currículo para que la empresa destinataria tendría que suprimirla para no infringir la normativa de protección, lo que podría suponer la destrucción del currículo

Parece claro que los efectos del coronavirus extenderán durante meses y nos darán muchas sorpresas. Y la mayoría desagradables. Tendremos que desempolvar nuestro particular manual de resiliencia aplicada para superarlos.

Imagen Pixabay

Zoom y tu Privacidad

por

Estamos viviendo tiempos complicados. Para muchos de nosotros es una situación inédita y, a menudo, angustiosa. Nos hemos tenido que hacer al confinamiento, el teletrabajo y, como no, al uso intensivo de las tecnologías de la información y la comunicación. Como decía en un post anterior, si algo tiene de bueno la situación, si se puede decir así, es la decidida transformación digital a la que nos hemos sometido todos de la noche a la mañana.

Hasta ahora, términos como videoconferencia, aplicaciones grupales o VPN (red privada virtual) eran términos que conocíamos de forma más o menos vaga. Ahora hablamos de Zoom, de Teams o de cuál es la mejor VPN como verdaderos expertos.

Y precisamente la presión bajo la que vivimos combinada con la necesidad de comunicarnos, trabajar y disfrutar en el confinamiento nos pone en una situación vulnerable. Y de ello sacan provecho desde los hackers con el phishing y otras estafas, como las empresas, en especial las tecnológicas. Y muy especialmente las de comunicaciones como es el caso del que hablamos hoy.

Leíamos el otro día en la revista VICE que la aplicación Zoom con iOS envía datos a Facebook, incluso si no tenemos ninguna cuenta de Facebook. Y esta transferencia de datos a Facebook no está explicada en la política de privacidad de Zoom.

Esta es una de las app que ha experimentado un crecimiento exponencial en esta crisis. Videochat con familia y amigos, reuniones de grupo de la empresa, conferencias y webinars, clases virtuales, servicios religiosos, citas a ciegas e incluso despedidas de soltero, por citar alguno de los servicios que presta Zoom estos días.

La cruz de la app está en la privacidad y la seguridad. No hay cifrado de extremo a extremo (por lo que puede ver la llamada) Y se está dando el efecto «zoombombing», es decir, trolls que intervienen en las llamadas difunden, peso ejemplo, pornografía. Para rematar, la compañía ha informado de que Zoom permite compartir los datos de miles de usuarios sin permiso. Zoom agrupa automáticamente los usuarios según el dominio pq entiende que pertenecen a la misma empresa. Y eso, que tiene ventajas como conexión rápida compartiendo correo, nombre e incluso, fotografía, no siempre es así.

Las ventajas de Zoom son evidentes, empezando porque es gratuita para uso personal. Hay que ver pero si las carencias observadas son tolerables y nos compensan. Caso contrario, buscar alternativas en el mercado.

Y, como siempre, prudencia y sentido común.

2020: Privacidad y Marketing

por
2020 Privacidad y Marketing

Según las predicciones de Forrester para 2020, estamos en el «precipicio del cambio de largo alcance». Entre otros aspectos, el estudio asegura que 2020 será un mal año para el uso de datos de terceros y un buen año para los profesionales del marketing que se tomen en serio la privacidad del consumidor.

La preocupación por la privacidad acelera

Esto es así tanto desde el punto de vista de los usuarios afectados como por parte de las empresas que quieren utilizar datos personales para sus actividades comerciales y de marketing. No digamos para las empresas que tienen como actividad principal la realización profesional de campañas publicitarias.
Cada día más, los consumidores están más preocupados por cómo se recogen sus datos y cómo se usan. En los últimos tiempos, una combinación de noticias sobre brechas de seguridad (algunas con fuerte repercusión mediática como las sanciones impuestas en Facebook), conductas impropias (como las de Google) y el incremento de regulación (y la presión con las primeras sanciones) han hecho que el usuario sea cada día más consciente del peligro que corren sus datos y, también, de los mecanismos que tiene a su disposición para defenderse (como, por ejemplo, el ejercicio de derechos que le reconoce el RGPD , incluyendo la posibilidad de acudir a la autoridad de control, en nuestro caso, el AEPD- si entiende que sus derechos han sido vulnerados).
Las empresas son también cada día más conscientes de que el correcto tratamiento de los datos del usuario tiene mucho que ver con la confianza necesaria que debe establecerse entre las partes para que haya unos transacción económica. Y, también, que el daño reputacional de una mala praxis puede tener consecuencias de largo alcance.
Y los reguladores cada vez son más precisos, aprenden de las experiencias, crean nuevas regulaciones (siguiendo la estela del RGPD) como estamos viendo en California con California Consumer Privacy Act (CCPA) y en New York con la New York Privacy Act (Nypa) y, naturalmente, imponen más sanciones (la autoridad española es, actualmente, líder europeo en número de sanciones -aunque no en importe-).

Previsiones para el 2020

Sea por un consumidor más informado, por las sanciones, la regulación o la tecnología que nos permita mejorar el estado de la técnica, lo que parece claro es que las empresas de marketing ya no podrán confiar en datos agregados de terceros para dirigirse a sus consumidores.
Las empresas preferirán conectar con los clientes a través de experiencias personalizadas y se estima que incrementarán en un 10% el presupuesto para el marketing de influencia.
No se puede predecir en qué medida se conseguirá cambiar el marketing basado en datos agregados a un marketing de influencia pero la tendencia parece indiscutible para los próximos años.

Condiciones legales web: ¿las tienes todas?

por

En relación con los sitios web, a menudo se confunde la normativa sobre protección de datos con la que regula los servicios de la sociedad de la información y de comercio electrónico. Hagamos un resumen de las principales normas a cumplir para tener la web perfectamente legal. Además de cumplir, se trata, sobre todo, de mantener una relación transparente y leal con el usuario.

La Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) estableció una serie de obligaciones en materia jurídica que las páginas web deben cumplir. Las principales se concretan en el Aviso legal, la Política de Cookies (y el banner correspondiente) y las Condiciones o Términos de uso para el comercio electrónico.

El Aviso legal recogerá los datos identificativos del prestador del servicio y las actividades que se llevan a cabo en el sitio web. Este Aviso deberá incluir, como mínimo, el nombre de la empresa, el CIF, el domicilio social y datos de contacto (email y / o teléfono de contacto).
Para preservar nuestros activos intangibles, tendremos que añadir una cláusula referida a los derechos de propiedad intelectual e industrial, tanto referidos a contenidos como grafismo, colores, tipografía, etc.
Y toda aquella información que nos parezca relevante para el usuario, bajo el principio de transparencia en nuestra relación con él.

Política de Cookies. Las cookies son pequeños archivos de información que el servidor instala en el ordenador del usuario para el correcto funcionamiento de la página web y para recoger información estadística y datos sobre intereses del usuario para emplear en acciones comerciales posteriores. Excepto por las cookies «técnicas» (las imprescindibles para que la página funcione), para el resto es necesario pedir el consentimiento explícito del usuario que debe poder marcar qué cookies acepta y cuáles no. Así lo ha determinado una muy reciente sentencia de Tribunal de Justicia Europeo. En la Política es preciso explicar qué son las cookies, qué se utilizan, cómo afectan al usuario y toda la información adicional que determinamos para que el usuario pueda tomar una decisión informada.

Banner de cookies. Es el banner informativo que debe ver el usuario la primera vez que entra en nuestra web y que tiene que tener un enlace a la Política de Cookies.

Condiciones o Términos de uso. Si el sitio web está dedicado al e-commerce, hay que informar al usuario de las condiciones de contratación porque aquí se establece una relación jurídica entre las partes en referencia a los productos y servicios que se transaccionan.
Será necesario identificar el prestador del servicio, los productos o servicios ofrecidos y detallar el procedimiento de contratación que debería incluir las cláusulas generales de contratación, el envío, derecho de desistimiento, reclamaciones, precios, forma de pago, garantías, etc. Todo con miras de delimitar las responsabilidades del prestador por un lado y, del otro, garantizar los derechos del consumidor.

Política de Privacidad. La aplicación del RGPD y la posterior LOPDGDD han introducido nuevas obligaciones en materia de protección de datos. Aquí tenemos que explicar quién es el Responsable del tratamiento de los datos personales (la empresa que recoge los datos), cuál es la finalidad del tratamiento (mantener una relación comercial, tramitar pedidos, etc.), ¿cuál es nuestra legitimación (por ejemplo, consentimiento del usuario), criterio de conservación y comunicación de los datos y los derechos que asisten a los usuarios y la forma de ejercerlos. No hay que olvidar los textos y los enlaces necesarios en los formularios de recogida de datos.

Apuntar, por último, que el acceso a estos textos legales imprescindibles debe ser inmediato para el usuario. La recomendación es poner un enlace al pie de todas las páginas de la web.

A vueltas con las cookies …

por

Parecía un tema más que superado pero una reciente sentencia de Tribunal de Justicia de la Unión Europea ha establecido que la colocación de cookies requiere el consentimiento activo de los usuarios. Por lo tanto, una casilla marcada por defecto es insuficiente.

Empezamos por explicar que las cookies son ficheros que el proveedor de un sitio de Internet coloca en el ordenador de los usuarios de este lugar y a los que se puede acceder nuevamente cuando estos vuelven a visitar el lugar con el fin de facilitar la navegación en Internet o las transacciones o de obtener información sobre el comportamiento de estos usuarios.

La obligación del responsable del sitio web, dice el Tribunal, es obtener el consentimiento antes de almacenar o acceder a cookies no esenciales (entienden por «esenciales» aquellas cookies técnicas, necesarias para el funcionamiento del sitio web). Las cookies no esenciales son, por ejemplo, aquellas que permiten hacer el seguimiento del usuario con el fin de enviarle publicidad segmentada o recoger datos estadísticos. El consentimiento no puede ser tácito, implícito o asumido. Debe ser expreso o no es.

La decisión del Tribunal pone en cuestión miles de webs que, actualmente, no solicitan primero el consentimiento antes de instalar las cookies. Y esto significa un claro incumplimiento que, aparte de costes reputacionales, supone arriesgarse a ser multado. Ni que decir tiene que la comprobación la puede hacer cualquier sólo entrando en modo incógnito desde su navegador.

Consejos

  1. Revise y ajuste, si es necesario, la Política de Cookies. Compruebe qué cookies instala su web en el ordenador del usuario (y vea si todas le interesan o le falta alguna). Asegúrese de que las cookies instaladas están claramente explicadas en la Política de Cookies (en especial, si comparte los datos que recopile con terceros). Si es necesario, redacte su nueva versión y hágalo saber a los visitantes de su sitio web.

  2. Implementar en la página una solución técnica que permita al usuario, de acuerdo con la Política de cookies que hemos definido, elegir qué quiere permitir que se instalen en su ordenador (al margen de las esenciales). La solución, además, informará de cómo el usuario puede cambiar o retirar el consentimiento.

Revisión Textos Legales Web