Delegado de protección de datos > El Blog del DPD/DPO

Es obligatorio el Delegado de Protección de Datos para las empresas que desarrollan actividades de publicidad y Prospección Comercial

26 noviembre, 2020 | DPD DPO

El uso de nuevas tecnologías resulta de mucha utilidad para la realización de una gran variedad de tratamientos de datos personales y en concreto, para aquellas actividades que se utilizan para desarrollar campañas publicitarias y prospección comercial, puesto que aplican técnicas de marketing digital con el objetivo de llegar a un público más personalizado y por tanto, obtener un mayor éxito en las ofertas de productos o servicios.

La pregunta es porqué la nueva Ley de Protección de Datos y Garantía de Derechos Digitales, 3/ 2018, de 5 de Diciembre, (LOPDGDD) fija de manera obligatoria para estas actividades, por lo tanto, para las compañías que se dedican a dichas funciones, nombrar un Delegado de Protección de Datos.

La ley, es muy clara, en este sentido, pues conforme establece su artículo 34, “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso cuando se trate de las siguientes entidades:

  • k) las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos”.

Si se observa, la Ley no obliga a todas las empresas que se dediquen a las actividades publicitarias y de prospección comercial a nombrar a un delegado de protección de datos, sino, solo a aquellas que realizan actividades que permiten conocer las preferencias de las personas o que elaboren perfiles. Esto es lo que claramente, marca la línea divisoria entre designar un delegado de protección de datos de manera obligatoria o voluntaria, tener y buscar o vigilar los gustos y hábitos de vida para elaborar perfiles debido al conocimiento de  las  preferencias personales de los usuarios.

Si en la actividad publicitaria no se realizaran perfilados, el delegado de protección de datos, podrá designarse por las compañías de una  manera voluntaria,  aunque siempre constituye una garantía de cumplimiento y de Responsabilidad Proactiva del Responsable del tratamiento,  a tenor del Reglamento Europeo de Protección de Datos  2016/ 679 del Parlamento Europeo  y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46.

Para poder entender un poco mejor, en qué consiste la elaboración de perfiles, se trata de cualquier forma de tratar los datos personales de manera que consiguen evaluar aspectos y preferencias de nuestra vida privada, como, por ejemplo, lo que nos gusta comer, o donde preferimos ir de vacaciones, en que tiendas compramos más, o en qué momento vamos a tal restaurante, es decir, se realiza una vigilancia de nuestros movimientos, comportamientos, salud o preferencias de cualquier tipo.

(fuente imagen: adveischool)

Es precisamente esta circunstancia de vigilancia de nuestros hábitos que realizado sobre un número de personas muy elevado, se denomina “tratamiento de datos personales a “gran escala” o “perfilado a gran escala” , piensen  por ejemplo en una gran cadena internacional de alimentación,  ya que  se recogen gran cantidad y variedad de datos personales (Big Data) , con la ayuda de la Inteligencia Artificial  (IA).

Este tratamiento de datos, en sí mismo, comporta riesgos especialmente relevantes (alto riesgo), para los derechos y libertades de las personas que hace necesario y obligatorio designar un delegado de protección de datos, precisamente para tomar medidas que reduzcan, dentro de lo posible, el riesgo de dañar o perjudicar a las personas, o afectar negativamente sus derechos y libertades, impidiendo o limitando su ejercicio o contenido.

Como se puede deducir, el Big Data tiene un fuerte impacto sobre nuestra privacidad, ya que las predicciones sobre las que se basan para toma de decisiones, serán mejores cuantos más datos personales se recojan, por lo tanto, cuanto más sepan de nosotros y más tiempo se tratan dichos datos, más se puede ver comprometida nuestra vida privada, ello hace que la normativa exige unas determinadas garantías para poder llevar a cabo dichos tratamientos personales que resultan más intrusivos.

La Inteligencia Artificial, junto con el Big Data, juegan un papel fundamental en esta recopilación de información personal, pues gracias a ella se utilizan sistemas que muestran un comportamiento inteligente que analiza el  entorno y  realizar acciones  con cierto grado de autonomía, para lograr un objetivo específico, por las empresas que llevan a cabo actividades  de publicidad comportamental, partiendo lógicamente desde el conocimiento de nuestras preferencias personales, intereses, fiabilidad o ubicación y movimientos

Por todo lo anterior, entendemos  por qué la legislación en materia de protección de datos, obliga a  todas aquellas empresas que realicen prospección comercial y publicidad que implique la elaboración de perfiles, o el tratamiento se base en las preferencias de los afectados , nombrar un delegado de protección de datos, por ser experto en la materia, cuya función será, entre otras muchas,  la de vigilar y poner la debida atención a los riesgos  asociados  a las operaciones de tratamiento, por considerarse  intrusivas para nuestra privacidad, teniendo sobre todo en cuenta la naturaleza de los datos que traten, así como su alcance, contexto, y finalidad del tratamiento.

Autora: Carmen Lopez Belda.

Associate-Legal & Privacy Advisor  en Govertis-Telefónica

IT Lawyer

@LopezBelda
https://www.linkedin.com/in/carmenlopezbelda

23 de Noviembre 2020

https://www.aepd.es/sites/default/files/2019-12/wp251rev01-es.pdf

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-be-subject-automated-individual-decision-making-including-profiling_es

Gestionar contraseñas es proteger el acceso a nuestro negocio.

18 noviembre, 2020 | DPD DPO

No cabe duda de que vivimos en una era de ciberseguridad evolutiva, en la que cualquier corporación ya sea mercantil, gubernamental u organización sin fines lucrativos, conlleva un alto nivel de protección, no sólo del activo más importante en una organización, que es su información hoy en día, sino también la protección de nuestra vida digital.

Dentro de este marco, no es menos importante la seguridad en los accesos a la información, dispositivos o aplicaciones locales o web. La llave que nos brinda el paso a todo ello, son nuestras contraseñas, a menudo gestionadas por los mismos usuarios de distintos niveles de perfil técnico.

Ante la necesidad de los constantes cambios de contraseñas para mejorar el cifrado en el acceso, surge en los usuarios “la presión añadida” de memorizar o almacenar (en ocasiones de forma rudimentaria y poco segura) estas claves.

Para aumentar la calidad del trabajo TI, es casi imprescindible automatizar este proceso, aún más cuando precisamos cumplir con auditorias de seguridad como PCI (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard).

Existen multitud de software gestores que cuentan con funcionalidades diversas como:

  • La generación automática de contraseñas fuertes y aleatorias
  • Sistemas de doble autenticación
  • Gestión de la temporalidad de la contraseña (longevidad),
  • Filtro de repetición de claves ya obtenidas o simplemente
  • Almacenar de forma segura en una base de datos, que a su vez se protege por una password maestra de acceso inicial, para después de forma automática con autoescritura aplicarla junto con el usuario en cualquier acceso.

Con estas herramientas eliminamos el tedioso hábito de memorizar infinidad de contraseñas, recurriendo a menudo a la errática costumbre de asociarlo con fechas o elementos privados para poder recordarlos o en otros casos anotarlos en archivos de Word o de anotaciones de fácil acceso.

Con esta concienciación y el uso de backups programados de la base de datos donde se alojan nuestras claves, la seguridad se incrementa exponencialmente, aportando calidad en el trabajo diario, relacionado directamente con el resultado que espera el consumidor final de nuestra actividad empresarial.

Algunos consejos para la creación de contraseñas cuando no son generadas automáticamente pueden ser estos:

  • Cambio de claves periódicamente (mensual o trimestral dependiendo de la información a la que se pretende acceder).
  • No repetir contraseñas antiguas.
  • No relacionar claves de acceso con datos o eventos personales (fechas, teléfonos, DNI, matrículas de coche, etc…)
  • Diferenciar los sitios de acceso con claves diferentes.
  • No almacenar las contraseñas en archivos sin acceso seguro y mucho menos en soporte papel.
  • Si el entorno no es seguro, es decir, si estamos conectados a una red Wifi pública o que no está protegida de forma privada o dentro de nuestra corporación, evitar acceder a sitios con nuestro usuario y password.
  • Si el equipo no está en un sistema operativo corporativo configurado con usuarios de entorno, y el equipo no es el habitual de trabajo, evitar el acceso, puede ser descifrado con sistemas de validación de pulsaciones de teclado.

Este es un concepto más de seguridad, que debe estar respaldado por un Firewall, Políticas de Seguridad y restricciones.

Rocío Bremón

Equipo Govertis

Valoración de las medidas de seguridad necesarias en el contexto RGPD en el ámbito privado

12 noviembre, 2020 | GDPR Legal

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) fundamenta el cumplimiento de los principios de protección en dos pilares fundamentales:

  • Responsabilidad proactiva.
  • Gestión orientada al riesgo.

Tal como establecen las propias guías de la AEPD, para poder dar cumplimiento al principio de responsabilidad proactiva, es necesario que el responsable del tratamiento “aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo».

Para establecer la gestión orientada a riesgo, la AEPD también destaca lo siguiente: «El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles».

En este nuevo contexto, la falta de una actitud proactiva y responsable en la adopción de medidas de seguridad, incluso aun no existiendo lesión de derechos y libertades del afectado o interesado, puede originar la imposición de una sanción al responsable o encargado de tratamiento por no justificar este enfoque preventivo de cumplimiento.

De conformidad con el Artículo 32 Seguridad del tratamiento del RGPD el responsable y encargado del tratamiento asumen las siguientes obligaciones, en relación con la seguridad en el tratamiento de los datos personales:

  1.  Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
    • a) La seudonimización y el cifrado de datos personales;
    • b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    • c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
    • d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
  3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
  4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.>>

En este contexto muchas organizaciones nos preguntan continuamente cómo acreditar esa valoración y poder justificar que se han tomado las medidas adecuadas. De forma ideal, lo más garantista sería apostar por el cumplimiento de estándares en la materia como ISO 27001 de seguridad de la información o la extensión de esta norma específica a la privacidad, ISO 27701.

ENISA, la Agencia Europea de Ciberseguridad según establece el REGLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») ha tratado desde la publicación del RGPD de dar respuesta a esta pregunta.

Publicó en primer lugar, en Enero de 2018 publicó su “Handbook on Security of Personal Data Processing” en donde establecía una metodología para poder valorar el nivel de riesgo (Desde la perspectiva de seguridad) al que está sometido un tratamiento y establecía medidas de seguridad proporcionales a esa valoración realizada.

En Enero del año pasado, ENISA, para facilitar el uso de esta metodología, trasladó a un entorno online todo el proceso proporcionando una herramienta útil a los Delegados de Protección de Datos que quieran usar esta aproximación como base para la toma de decisiones. Este entorno está accesible en la URL https://www.enisa.europa.eu/risk-level-tool/

Esta guía establece un criterio de valoración del riesgo del tratamiento y define un conjunto de medidas de seguridad que deberá ser aplicado de forma proporcional al nivel de riesgo obtenido. Para esta estimación del riesgo, ENISA propone considerar los siguientes factores:

  • Respecto a la valoración del impacto, esta propuesta se centra en valorar el tipo de tratamiento y las posibles consecuencias que podría sufrir el interesado en caso de incidente atendiendo a las consecuencias en confidencialidad, integridad o disponibilidad.
    • Confidencialidad: Impacto de una divulgación no autorizada (pérdida de confidencialidad) de datos personales.
    • Integridad: Impacto de una alteración no autorizada (pérdida de integridad) de los datos personales
    • Disponibilidad: Impacto de una destrucción o pérdida no autorizada (pérdida de disponibilidad) de datos personales.

En relación a la escala de valoración de impactos, se ha considerado como criterio más relevante utilizar los criterios de severidad establecidos por la propia AEPD en su guía de  “Evaluación de Impacto en la Protección de los Datos Personales”. Esta escala también es empleada por la herramienta GESTIONA que la AEPD ha puesto a disposición de las organizaciones para realizar tanto evaluaciones de impacto, como análisis de riesgos. La escala de valoración emplea la siguiente graduación:

  • Respecto a la valoración de la probabilidad, se establecen la definición de posibles amenazas atendiendo al entorno y tecnología empleados (probabilidad de ocurrencia). Para ello, se valoran bajo cuatro áreas, la probabilidad de ocurrencia atendiendo a estimar qué posibles escenarios podrían producirse en relación a los siguientes criterios:
    • Recursos técnicos y de red (hardware y software) empleados en el tratamiento.
    • Procesos / procedimientos relacionados con el tratamiento de datos.
    • Diferentes partes interesadas y personas involucradas en las operaciones de tratamiento.
    • Sector empresarial y volumetría de datos tratados.

Con esta información sobre un tratamiento analizado, se puede realizar una evaluación del riesgo del tratamiento atendiendo a la valoración de impacto y probabilidad establecidos y determinar a qué categoría de riesgo está sometido ese tratamiento, de forma que puedan seleccionarse el conjunto de medidas de seguridad mínimo que deberán aplicarse para acreditar un nivel de protección adecuado.

Ilustración 2. Categorización del riesgo de un tratamiento según metodología ENISA

Una vez conocida la escala de riesgo que corresponde al tratamiento se establece, en función de diferentes grupos de medidas, cuáles serán necesarias de forma proporcional al nivel de riesgo. De esta forma, se define un criterio que permite aplicar el “principio de proporcionalidad” y determina un conjunto mínimo de medidas que permita acreditar el cumplimiento de la responsabilidad proactiva por parte del responsable del tratamiento. Las medidas de seguridad planteadas por ENISA también pueden clasificarse atendiendo a si determinan requisitos organizativos, técnico-organizativos o técnicos. El siguiente gráfico muestra todas las áreas que determinan las medidas de seguridad a aplicar.

Ilustración 1. Agrupación de las medidas de seguridad establecidas por «Handbook on Security of Personal Data Processing» de ENISA.

Como valor añadido, además, cada medida propuesta por ENISA indica también cuál es el control o controles de la norma ISO 27001:2013 con el que se relaciona. De esta forma, ENISA establece un conjunto básico de medidas que referencian al estándar en materia de seguridad de la información y que no suponen una aplicación de la totalidad de éste, sino una aplicación parcial, dado que no supone la puesta en marcha de los 114 controles de seguridad que contempla el estándar y su aplicación es proporcional al nivel de riesgo asignado.

Esta aproximación proporciona fundamentalmente dos ventajas:

  • Supone un soporte metodológico solvente, como así reconoce la propia AEPD que lo ha considerado en algún informe publicado con relación a brechas de seguridad en donde aparece referenciado el documento “Handbook on Security of Personal Data Processing”.
  • Es un primer paso hacia el cumplimiento de la norma ISO 27001/27002 dado que muchas de las medidas están relacionadas con el cumplimiento del estándar y suponen la implantación de estas medidas de seguridad. En una valoración rápida el documento de ENISA recoge aproximadamente un 60% de las medidas de seguridad de la ISO 27001, lo que supone unos primeros pasos hacia una hoja de ruta más solvente y que pueden en el futuro permitir la certificación tanto en ISO 27001 como en ISO 27701.

Javier Cao Avellaneda

Equipo Govertis

Los metadatos en la privacidad

4 noviembre, 2020 | GDPR Legal |

El RGPD define Dato personal como toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona Por lo tanto, nos encontramos con una definición clara de lo que podemos entender como dato.

En la práctica estamos constantemente intercambiando información personal. Este flujo de datos personales puede realizarse de forma analógica o digital.  Cuando ese intercambio lo hacemos en el mundo analógico, sabemos perfectamente que información estamos facilitando, Ej: dar una copia en papel de nuestra fotografía de carnet,pero la cosa se complica cuando entramos en el mundo digital, en el entorno 2.0.

¿Sabías que cuando enviamos un email, estamos enviando más datos que los que hayamos incorporado en el texto del correo o cómo anexo al mismo? Y cuándo compartes una foto por WhatsApp ¿Crees que solo envías esa imagen? Efectivamente cuando enviamos un email o compartimos una fotografía realizada digitalmente ignoramos los metadatos que enviamos junto a ellos. Pero ¿qué son los metadatos? ¿son o pueden llegar a ser datos personales?

Los metadatos (del griego μετα, meta, ‘después de, más allá de’ y latín datum, ‘lo que se da’, «dato») son datos que describen otros datos, un ejemplo: en una biblioteca, los metadatos serían las fichas donde se almacena información sobre autores, títulos, editoriales para buscar libros. Los metadatos permiten identificar más datos.

En el mundo digital podría ser información que aislada no aporte ninguna información sobre quién es el interesado o pudiera ser que sí. Ni el RGPD ni la LOPDyGDD hace referencia alguna a los metadatos, pero, en  la propuesta del Reglamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 (Reglamento de E-Privacy), sí que se regulan subsumiéndolos en el concepto de “Datos de comunicación electrónica”.

En el considerando 3 de  este  Reglamento de E-Privacy, que todavía no está vigente, dice que “ Entre esos metadatos figuran los números a los que se ha llamado, los sitios web visitados, la localización geográfica o la hora, la fecha y la duración de una llamada, información que permite extraer conclusiones precisas sobre la vida privada de las personas participantes en la comunicación electrónica tales como sus relaciones sociales, sus costumbres y actividades de la vida cotidiana, sus intereses, sus preferencias, etc.”  Es decir, que podrían ser considerados “datos” a los efectos del RGPD

De hecho, el considerando 17 se establece la obligación de requerir el consentimiento para tratar estos metadatos por parte de los proveedores de servicios, aunque en el Artículo 6.2 establecen tres tipos de bases de legitimación diferentes para tratar metadatos por parte de los proveedores de servicios:

  • obligación derivada de calidad de servicio,
  • facturación o
  • impedir fraudes
  • y por supuesto, el siempre presente consentimiento.

Además, este reglamento obliga a la supresión o anonimización de los mismos cuando ya no los use.

Sin querer profundizar más en la propuesta  del Reglamento e-privacy,  hemos de plantearnos qué situación o qué lugar tienen los metadatos en tanto que con uno de ellos o varios puedan identificar a una persona.

Como hemos referido arriba un metadato puede ser identificatorio o no en función de qué tipo sea o de si se junta con otro metadato que otorguen información suficiente como para identificar o hacer identificable a una persona. En esta hipótesis ¿podríamos estar hablando de un “dato” a los efectos del RGPD y por lo tanto ésta normativa desplegar todas sus obligaciones?

Parece ser que es un planteamiento posible en tanto que cumple con los requisitos que ha de tener un dato para que sea amparado por la normativa de privacidad, pero no es un dato, es un “metadato” y como hemos dicho, ni el RGPD y la actual LOPD hace referencia alguna al “metadato” ¿podría aplicarse el RGPD a un elemento que no regula estricto sensu?

Por otro lado, los metadatos circulan, en muchos casos, sin que Responsable de Tratamiento ni Interesado lo sepan, por ejemplo, datos de ubicación y fecha de una fotografía realizada por un teléfono móvil. Que estos datos sean “ocultos” dificulta enormemente que puedan desplegarse todas las obligaciones y derechos de uno y otro.

¿Qué pasará cuando, de forma expresa, se declare que se van a tratar metadatos por los operadores? ¿qué normativa se tendrá que aplicar?

El Reglamento e-privacy nos lo contesta en su exposición de motivos dejando claro que, mientras el RGPD garantiza la protección de datos personales el Reglamento e-privacy  amparará como lex specialis al tratamiento de datos de comunicaciones electrónicas llevado a cabo en relación con la prestación y utilización de servicios de comunicaciones electrónica.

El metadato, pues, es contemplado por la normativa como relevante jurídicamente en tanto que se encuentre en el ámbito normativo del futuro Reglamento, pero, per se, aunque pudiera identificar a una persona, como tal metadato, parece quedar fuera de la regulación. Pero, bajo mi punto de vista, lo realmente relevante es que seguimos aportando legislación de un ámbito territorial parcial cuando el tráfico de datos y sobre todo de metadatos, es global ya que se realiza a través de la red y esta es mundial.

Hoy en día los negocios en internet son enteramente globales, y esta realidad no sólo afecta a grandes empresas sino también a pequeños empresarios e incluso, al profesional o emprendedor que, en solitario, se lanza al mundo digital disponiendo de los medios para desarrollar su trabajo en un país, la empresa de Hosting que le provee en otro, los servidores en un tercero y el cliente ser de un cuarto país. Exigir cumplimientos normativos tan estrictos como el europeo en un supuesto de hecho tan complejo como el que se describe, frena el crecimiento y el emprendimiento por ello, es necesario ya disponer de una visión política y legislativa más global.

Francisco José Adán Castaño

Equipo Govertis

Influencers: ¿Les aplica el RGPD?

28 octubre, 2020 | GDPR Legal

Con la expansión de las redes sociales y la facilidad para compartir en diferentes redes sociales todo tipo de contenido, ha aparecido desde hace unos años el fenómeno de los “influencers” que son aquéllas persona que han conseguido un gran número de seguidores o personas que están pendientes de sus publicaciones en diferentes redes sociales como Instagram, YouTube, tiktok, etc.

Se producen varias relaciones jurídicas a las que afectan tanto el RGPD, como la LOPDGDD y otras normas como la ley General de publicidad.

Por un lado, existe la relación de las redes sociales con el influencer. El influencer no deja de ser un usuario de la red social que por su especial relevancia en la misma obtiene una serie de beneficios como verse remunerado por el contenido que sube a la red social. Contenido que utiliza la red social para incluir espacios publicitarios o anuncios y vender los mismos a los anunciantes.

La relación surge bajo la premisa de que, si un influencer llega a un número muy elevado de personas, todas esas personas se convierten en potenciales compradores de los productos que se anuncien en el contenido del influencer, o por el mismo influencer.

En este sentido, la red social será responsable del tratamiento de los datos de sus usuarios y deberá cumplir con las obligaciones del RGPD con relación a la información, consentimiento, medidas de seguridad, etc. con especial atención al tratamiento de los datos de menores de edad que son usuarios muy numerosos en estas redes.

El influencer, será responsable del tratamiento de los datos de carácter personal que quedaron excluidos del ámbito doméstico, de acuerdo con el Dictamen 5/2019 sobre redes sociales en línea del Grupo de Trabajo el cual indicaba que en ocasiones puede no aplicar esta excepción doméstica debido al elevado número de contactos que tiene un usuario o que toda la información la publiquen en abierto por lo que puede ser indexada por motores de búsqueda y ser accesible para un indeterminado número de usuarios o se publican datos sensibles.

Además, para el Grupo de Trabajo existen otros casos en los que el usuario asume el rol de responsable de tratamiento “Si un usuario de SRS actúa en nombre de una empresa o de una asociación o utiliza el SRS principalmente como una plataforma con fines comerciales, políticos o sociales, la exención no se aplica”.

Esta doctrina también ha sido recogida en el Informe 0197/2013 de la AEPD que a mayor abundamiento cita los Fundamentos 46 y 47 de la Sentencia del Pleno del Tribunal de Justicia de las Comunidades Europeas de 6 noviembre 2003 (Sentencia Lindqvist) en la que se afirmaba:

46 En cuanto a la excepción prevista en el segundo guion del artículo 3, apartado 2, de la Directiva 95/46, en el duodécimo considerando de esta última, relativo a dicha excepción, se citan como ejemplos de tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas la correspondencia y la llevanza de un repertorio de direcciones.

47 En consecuencia, esta excepción debe interpretarse en el sentido de que contempla únicamente las actividades que se inscriben en el marco de la vida privada o familiar de los particulares; evidentemente, no es éste el caso de un tratamiento de datos personales consistente en la difusión de dichos datos por Internet de modo que resulten accesibles a un grupo indeterminado de personas”.

Y Sentencia de la Audiencia Nacional de 15 de junio de 2006 que afirmaba: “Lo relevante para la sujeción al régimen de protección de datos no será por tanto que haya existido tratamiento, sino si dicho tratamiento se ha desarrollado en un ámbito o finalidad que no sea exclusivamente personal o doméstico. Qué ha de entenderse por «personal» o «doméstico» no resulta tarea fácil. En algunos casos porque lo personal y lo profesional aparece entremezclado. En este sentido el adverbio «exclusivamente» utilizado en el art. 2.2.a) apunta a que los ficheros mixtos, en los que se comparten datos personales y profesionales, quedarían incluidos en el ámbito de aplicación de la ley al no tener como finalidad exclusiva el uso personal. Tampoco hay que entender que el tratamiento se desarrolla en un ámbito exclusivamente personal cuando es realizado por un único individuo. Por ejercicio de una actividad personal no debe entenderse ejercicio de una actividad individual. No deja de ser personal aquella actividad de tratamiento de datos que aún siendo desarrollada por varias personas físicas su finalidad no trasciende de su esfera más íntima o familiar, como la elaboración de un fichero por varios miembros de una familia a los efectos de poder cursar invitaciones de boda. Y un tratamiento de datos personales realizado por un solo individuo con finalidad profesional, mercantil o industrial estará claramente incluido en el ámbito de aplicación de la ley 15/1999. Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos”.

Además, deberá tener en cuenta las obligaciones de la ley General de Publicidad, la Ley de Servicios de la Sociedad de la Información y el Código de Conducta sobre el Uso de Influencers en la Publicidad, desarrollado por Autocontrol que entrará en vigor el 1 de enero de 2021.

Francisco Ramón González-Calero Manzanares

Lead Advisor en Govertis

La obligación de bloqueo de datos: dificultades conceptuales sobre su aplicación

22 octubre, 2020 | DPD DPO

Al integrar en nuestro sistema de Compliance el cumplimento de las obligaciones del RGPD y la LOPDGDD ¿cómo debemos interpretar la obligación de bloqueo que preceptúa el artículo 32 de la LOPDGDD? “El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión”. Más allá de las cuestiones relativas a como ejecutar materialmente el denominado “bloqueo” en nuestro sistema de información, otra de las cuestiones prácticas claves es bajo qué circunstancias y durante cuánto tiempo debemos bloquear dichos datos.

Las posibles responsabilidades

Cabe destacar ciertos detalles de la redacción del artículo 32.2 cuando se refiere a restringir el tratamiento y únicamente permitirlo para su puesta a disposición a las autoridades: para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas”. La redacción puede ser problemática, en el sentido de que entendemos como “posibles responsabilidades”, ¿se trata de responsabilidades que ya han nacido a consecuencia de un determinado hecho y que, ya sea porque nuestra entidad lo ha detectado o porque se ha iniciado el correspondiente proceso judicial o administrativo, corresponde bloquear los datos personales vinculados al mismo?, o ¿se refiere a cualquier potencial responsabilidad, ocurra o no el hecho generador de la misma, sobre la que pueda responder la entidad?

Responsabilidades derivadas del tratamiento

Otro elemento de incertidumbre en la redacción del artículo 32, en concreto su apartado 2, es la relativa a que debemos entender por “responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.”

Aunque ello puede parecer a priori una forma de restricción que evite una hipertrofia del abanico de responsabilidades legales que pueden motivar el bloqueo de datos, dicha restricción nos obliga a llevar a cabo un segundo análisis causalista, no exento de complejidad e incertidumbre, sobre qué acciones dentro de la definición de tratamiento de datos personales, pueden ser susceptibles de producir responsabilidades de algún tipo y, una vez determinadas, establecer el plazo de bloqueo conforme su período de prescripción.

Distintos escenarios de prescripción de responsabilidades derivadas del tratamiento

Obviamente las responsabilidades derivadas del tratamiento quizás más evidentes serían las correspondientes al régimen sancionador de la LOPDGDD y sus correspondientes plazos de prescripción, siendo 3 años el más alto, para infracciones muy graves, tal como establece el artículo 72.1.

No obstante, ¿debemos detener el análisis en la prescripción de las sanciones de la LOPDGDD? Podemos encontrar en otros cuerpos legislativos, supuestos de hecho en los que, un tratamiento vulnerando alguna de las disposiciones del RGPD, puede generar una serie de consecuencias que den lugar a responsabilidad civil o incluso penal.

Si analizamos, por ejemplo, el marco del Real Decreto Legislativo 1/2007 por el que se aprueba el texto refundido de la Ley General para la Defensa de los consumidores y Usuarios y otras leyes complementarias (TRLGCU), una posible falta de conformidad en el producto recibido por un consumidor podría ser fruto de que el empresario llevó a cabo un tratamiento sin establecer medidas para garantizar el principio de exactitud del RGPD. Dicha falta negligente de exactitud, podría ser relativa a medidas corporales del cliente que se requieren para la personalización del producto o la confusión de direcciones de envío distintas, enviando productos a los destinatarios incorrectos, ¿estaríamos también en ese caso ante una responsabilidad derivada del tratamiento? Recordamos que las acciones por faltas de conformidad de los consumidores y usuarios prescriben a los 2 años, artículo 123.1 TRLGCU, y por ello, ¿deberíamos bloquear todos los datos de nuestros clientes, en condición de consumidores y usuarios, durante 2 años?

Continuando con el análisis, si nos fijamos en el marco penal, tenemos delitos como los de descubrimiento y revelación de secretos del artículo 197 y siguientes del Código Penal, que pueden ser cometidos por persona jurídica y versan muy directamente sobre datos de carácter personal, especialmente sobre la esfera de la confidencialidad, así como otros delitos como los daños informáticos del artículo 264 y siguientes que, aunque no se refieren expresamente a los datos de carácter personal, tampoco excluyen los mismos y se centran en aspectos relativos a la disponibilidad e integridad de los datos. ¿Encajarían entonces en la definición de “responsabilidades derivadas del tratamiento”?

Si la respuesta fuera afirmativa, sería necesario relacionar el plazo de prescripción de los delitos para la determinación de dicho período de bloqueo. Sin pretender entrar en una discusión doctrinal sobre la prescripción, dichos plazos podrían llegar a situarse en los 15 años, en interpretación conjunta del artículo 131 y 33.7 del Código Penal, junto a la doctrina del Tribunal Supremo sobre la valoración de la pena en abstracto del delito para la determinación del plazo de prescripción (STS 4264/2017 y Acuerdo del Pleno no jurisdiccional de la Sala 2 del TS de 16 diciembre de 2008 “la pena de la que hay que partir para la prescripción es la abstracta señalada al delito por el legislador y no la concreta resultante de aplicar la reglas sobre el grado de ejecución participación y circunstancias”). ¿Estaríamos entonces ante la obligación de que cualquier persona jurídica, por razón de sus “responsabilidades derivadas del tratamiento”, debería adoptar un sistema de bloqueo de datos personales de 15 años en cumplimiento del artículo 32.2 de la LOPDGDD y los eventuales plazos de prescripción penal aplicables?

Obligación de bloqueo y compatibilidad con el RGPD

La incertidumbre sobre la determinación del período de bloqueo, especialmente si tenemos en consideración los plazos de prescripción por responsabilidad penal, obligan a plantear la siguiente cuestión: ¿en qué medida una obligación de conservar o quizás, mejor dicho, una obligación de no destruir los datos de hasta 15 años, una vez se ha agotada la finalidad que motivó el inicial tratamiento, puede ser compatible con el principio de limitación del plazo de conservación del RGPD?

En conclusión, sería deseable mayores precisiones del legislador, teniendo en cuenta que tanto el incumplimiento de la obligación de bloqueo como la infracción de principios del artículo 5 del RGPD se tipifican en la LOPDGDD como sanciones muy graves, produciendo un escenario de riesgo complejo según como gestionemos la limitación del plazo de conservación junto con la obligación de bloqueo. Finalmente, cabe reflexionar sobre hasta qué punto el legislador nacional puede delimitar, modificar o matizar el alcance de un principio del Reglamento europeo e incluso generar incluso un concepto jurídico no previsto por este si tenemos en cuenta los conocidos principios de primacía y efecto directo.

Jordi Morera Torres

Equipo Govertis

Fuente de la imagen: https://pixabay.com/illustrations/security-secure-locked-technology-2168233/ Free for commercial use, No attribution required

El Esquema Nacional de Seguridad, la DA 1ª de la LOPD-GDD y su aplicabilidad a las empresas privadas.

14 octubre, 2020 | GDPR Legal

El Esquema Nacional de Seguridad (en adelante, también, ENS) está regulado en el Real Decreto 3/2010 de 8 de enero (link). Como se indica en su exposición de motivos, su objeto es “el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información” y persigue “fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas”.

Como es generalmente conocido, el ENS tiene que ser aplicado por las Administraciones públicas para “asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”.

No obstante lo anterior, muchas personas desconocen que la Ley contempla que la aplicabilidad del ENS se extienda, en un supuesto determinado, a empresas puramente privadas y que nada tienen que ver con la Administración pública.

El origen de este supuesto, como analizaremos más adelante, lo hemos de localizar en el último párrafo de la Disposición Adicional 1ª de la Ley Orgánica, 3/2018 de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD-GDD). Dicha Ley Orgánica establece en su artículo 1.a) que su objeto es “adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679”, es decir, al Reglamento General de Protección de Datos (en adelante, RGPD).

Pues bien, el RGPD dispone en su art. 5.2 el “principio de la responsabilidad proactiva”, que, de una manera muy resumida, viene a establecer que el responsable del tratamiento debe cumplir y ser capaz de demostrar que los datos personales son tratados de acuerdo con los principios de “licitud, lealtad y transparencia”; “limitación de la finalidad”; “minimización de datos”; “exactitud”; “limitación del plazo de conservación” y de “integridad y confidencialidad”. Precisamente ese último principio de “integridad y confidencialidad” es el que establece que se ha de garantizar una seguridad adecuada de los datos personales, para protegerlos “contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental”.

Por su parte, el artículo 32 del RGPD, dice que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo […]”.

Es decir, para la generalidad de los responsables del tratamiento las medidas de seguridad a implantar para proteger los datos personales no se recogen en una lista taxativa que es aplicable por igual a todo el mundo. Con este artículo 32, en mayo del año 2018, se introduce un concepto desconocido en campo de la protección de datos española: la autoevaluación por el responsable de las medidas de seguridad que son necesarias para proteger los datos personales que son objeto de tratamiento directamente por él o, en su caso, por encargados de tratamiento que tratan datos por cuenta suya.

Sin embargo, unos meses más tarde de la entrada en vigor de la LOPD-GDD, en diciembre del 2018, el Legislador español decidió que esta obligación de auto-imposición de las medidas de seguridad no sería de aplicación a las categorías de responsables y/o encargados citados en el art. 77 de la LOPD-GDD[1], que, cómo se puede comprobar en el pie de página, integran la totalidad de la Administración Pública española. Y es aquí es donde entra en juego la mencionada Disposición Adicional Primera que dice así:

“Medidas de seguridad en el ámbito del sector público:

  1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
  2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.”

Por tanto, la distintas entidades enumeradas en el art. 77, para proteger la integridad, confidencialidad y disponibilidad de los datos personales que traten, ya sea en calidad de responsable o encargado del tratamiento, han de (1) categorizar de acuerdo con el Anexo I del ENS (en categoría básica, media o alta) los sistemas de información utilizados para el tratamiento y (2), de acuerdo con el Anexo II, implementar aquellas medidas de seguridad (organizativas, operacionales y de protección) que sean acordes a la categoría otorgada al sistema.

Es decir, la DA 1ª despoja a las distintas administraciones públicas de la capacidad de decisión sobre las medidas de seguridad a implementar para proteger la integridad y la confidencialidad de los datos personales y les obliga a cumplir[2] con el muy exigente marco del Esquema Nacional de Seguridad.

APLICABILIDAD DEL ENS A LAS EMPRESAS PRIVADAS

Por otro lado, es importante reseñar que el párrafo final de la DA 1ª contiene un matiz que hace que la aplicabilidad del ENS sea, al menos potencialmente, universal.

“En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.”

Este párrafo se traduce en que toda entidad que preste o quiera prestar servicios a una Administración Pública ha de cumplir también con las medidas de seguridad que, en virtud del ENS, sean de aplicación a dicha administración de referencia.

Como consecuencia de dicho precepto, cada vez es más común, que las empresas privadas que se presentan a licitaciones del sector público encuentren reflejados en los pliegos la exigencia inexcusable de que cumplan con el Esquema Nacional de Seguridad y que hayan superado un proceso de certificación por una entidad debidamente acreditada.

Enrique Molina Jordano

Equipo Govertis

Art. 77 LOPD-GDD: a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos. b) Los órganos jurisdiccionales. c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas. e) Las autoridades administrativas independientes. f) El Banco de España. g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público. h) Las fundaciones del sector público. i) Las Universidades Públicas. j) Los consorcios. k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

[2] Se ha de remarcar que esa obligación de cumplimiento del ENS ya estaba vigente desde el 2010. Sin embargo, en la fecha de publicación del presente artículo, sólo un porcentaje ínfimo de los sistemas de información de categoría media o alta dependientes de la Administración han sido debidamente certificados conforme al RD 3/2010.

Las imágenes de videovigilancia como prueba judicial fuera del plazo de conservación

7 octubre, 2020 | DPD DPO

Como ya vimos en publicaciones anteriores, la Agencia Española de Protección de Datos (AEPD) ha venido aclarando todo lo relativo a los dispositivos de vídeo y sistemas videovigilancia mediante una serie de resoluciones, instrucciones y guías

Particularmente, en cuanto a la legitimación temporal del tratamiento de las imágenes de esas fuentes.

A modo de prolegómenos, comentar que el Reglamento General de Protección de Datos (RGPD), en su considerando 39, anuncia la necesidad de “garantizar que se limite a un mínimo estricto” el plazo de conservación de los datos personales, los cuales a su vez deben ser “adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados”.

El artículo 22.3 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), concreta –en cuanto a los tratamientos con fines de videovigilancia– que “los datos serán suprimidos en el plazo máximo de un mes desde su captación”. 

Se trata del mismo plazo que ya estableció la Instrucción 1/2006 de la AEPD, cuando todavía se llamaba “plazo de cancelación”. En 2019, en su Guía sobre el uso de videocámaras para seguridad y otras finalidades, la AEPD ha precisado que el plazo de un mes indicado en dicha Instrucción es, efectivamente, de supresión.

Ahora bien, si durante el tratamiento legítimo (dentro del mes desde su captación) se observa que las imágenes pueden “acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”, existe el deber de comunicar la existencia de la grabación “en un plazo máximo de 72 horas” y su entrega a las autoridades (art. 22.3 LOPDGDD). Consecuentemente, las imágenes pasarían a ser tratadas ya en el marco del respectivo procedimiento judicial, investigación policial o procedimiento administrativo sancionador (nueva lógica de conservación que es igualmente aplicable cuando se incoe un expediente disciplinario en el ejercicio de la potestad sancionadora de los empresarios ante incumplimientos laborales de los trabajadores).

Pero, ¿qué pasaría si unos hechos –que en principio merecerían reproche penal, administrativo o laboral– se descubren revisando imágenes guardadas más de lo debido? Es decir, superando el plazo mensual para ello, habiendo incumplido la LOPDGDD por no destruir los archivos. ¿Podrían servir como prueba en juicio? 

Por una parte, en virtud del artículo 11.1 de la Ley Orgánica de Poder Judicial, “no surtirán efecto las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales”. Siendo la protección de datos un derecho fundamental ex art. 18.4 de la Constitución Española, “cuando alguna de las partes, o incluso el tribunal de oficio, considere que en la obtención u origen de alguna prueba admitida se han vulnerado derechos fundamentales habrá de alegarlo de inmediato…”, dispone el art. 287 de la Ley de Enjuiciamiento Civil.

Desde la doctrina jurídica, el magistrado Suárez-Quiñones en su artículo «Las videograbaciones como prueba en el proceso penal» [en: Boletín del Ministerio de Justicia (estudios doctrinales), 2006, número 2024, pág. 13] expone que las grabaciones de cámaras de seguridad tienen un “plazo de validez” como prueba y recuerda: “las imágenes y sonidos obtenidos por cualquiera de las maneras previstas, serán destruidos en el plazo de un mes desde su captación”. Plazo que, por cierto, en caso de tratamientos que surgen de investigaciones profesionales, sería de tres años, según el art. 49.4 de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Por otra parte, en nuestros juzgados y tribunales el planteamiento en cuestión no resulta del todo pacífico.

En la jurisdicción social encontramos posturas más flexibles a este tipo de actos del empresario, en vez de declarar su nulidad (como se hace por motivo de violar el derecho fundamental a la protección de datos en la Sentencia del Tribunal Constitucional 29/2013). Así, la justificación viene por el lado de incidir en una supuesta separación entre la actividad probatoria y la calificación que deba darse a circunstancias como la sanción de un trabajador. Nótese la Sentencia del Tribunal Superior de Justicia de Cataluña 7109/2000 que sostiene lo siguiente: “la calificación del despido debe vincularse al móvil que lo determina, o a la violación de derechos y libertades del art.  55.5 ET, y no a la ilegalidad de alguna de las pruebas aportadas al proceso, ello puede, no obstante, determinar la improcedencia [no la nulidad] del despido”.

En el ámbito de lo penal, a falta de mayor jurisprudencia en este sentido, llama la atención la Sentencia del Tribunal Supremo 4281/2019, cuyo fundamento jurídico tercero redunda en un intento de separar la valoración de unas imágenes de videovigilancia entre “el ámbito de la propia legislación reguladora de protección de datos, es decir, en el tratamiento que al efecto puede llevar la Agencia de protección de datos” y la “incidencia en el proceso penal”. Se apunta pues a que no valdría alegar la mera vulneración, sino que cabe establecer un grado concreto de invasión de un derecho constitucional (como el de la propia imagen o el de la protección de datos) a partir del cual alcanzamos la nulidad de la prueba.   

La citada sentencia, ponderando la seguridad pública, con el interés social de la persecución y prueba del delito, sugiere que existe una diferencia entre el alcance de las “correcciones administrativas” que pueda imponer la AEPD y lo que sería la validez de las imágenes en sede judicial para convertirse en prueba documental. Los requisitos que apunta el alto tribunal para discernir dicha diferencia se limitarían únicamente a “no vulnerar derechos fundamentales como el de la intimidad o la dignidad de la persona al captarlas” y no “hacerlo en espacios, lugares o locales libres y públicos, y dentro de ellos nunca en espacios considerados privados (como los aseos, vestuarios) sin autorización judicial”. Aparentemente, desde este planteamiento aislado –aunque de momento no contrastable con otros casos de jurisprudencia mayor–, se concibe dentro orden penal la asunción puntual de una suerte de ligas de derechos fundamentales en la que la protección de datos jugaría en segunda división. 

En cualquier caso, independientemente del fin para el que se realiza la disposición, el mero hecho de no haber suprimido los archivos cuando así tocaba ya constituye una infracción muy grave de la normativa de protección de datos.

De hecho, la posibilidad de reclamar ante la Agencia –con la certeza sobre el sentido del pronunciamiento y sanción– sirve, si no como desincentivo a valerse en juicio de este tipo de imágenes para quien las guarde, como un instrumento en manos de la parte afectada para su defensa o negociaciones. 

Andreu Yakúbuv-Trembach

Equipo Govertis

Rastreo de usuarios por internet y medidas para minimizarlo

30 septiembre, 2020 | DPD DPO

Cuando visitamos páginas webs por medio de ordenadores, móviles, tabletas u otros dispositivos, nuestra privacidad se ve amenazada por distintas prácticas que, mediante el envío de identificadores únicos, permiten distinguir al usuario y sus hábitos de navegación 

A través de diversos rastreadores, las organizaciones, los prestadores de servicios y las páginas webs, entre otros, obtienen información y datos que posteriormente podrán ser utilizados con fines de publicidad, analíticos, estadísticos, para ofrecer servicios concretos, crear perfiles, o como base para el desarrollo de mejoras o nuevos productos y serviciosDe esta forma, logran un conocimiento exhaustivo de cada usuario.  

Para poder recopilar dicha información se utilizan distintas tecnologías que impactan de forma directa sobre la privacidad de los usuarios en cuestión. Las más conocidas por todos son las cookies, pero no son el único método, hay muchos otros: almacenamiento local, logs de servidores, identificadores únicos de publicidad, huella digital, etc.  

Teniendo en cuenta lo anterior, ¿Cómo podemos reducir este seguimiento de actividad en la navegación en internet y proteger nuestro anonimato?  

Para dar respuesta a esta cuestión, recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado en su página web una serie de recomendaciones que resumiremos a continuación y que pueden ser consultadas en la página web de la AEPD de forma completa.  

Recomendaciones para usuarios sin conocimientos avanzados: 

  • Navegadores, aplicaciones y redes sociales: 
    • Se recomienda elegirlos, instalarlos o utilizarlos teniendo en cuenta las garantías de privacidad que ofrecen, atendiendo a los últimos análisis que se publiquen sobre ellos. Evitando el acceso a aquellos servicios que no ofrecen garantías adecuadas.  
    • Revisar y configurar las opciones de personalización, perfiles y publicidad que brindan.  
    • Evitar instalar aplicaciones que no sean necesarias. 
    • Evitar, en lo posible, iniciar sesión en el navegador, o al menos, evitar que la sesión se mantenga abierta de forma indefinida.  
    • Configurar el navegador para no sincronizar datos de navegación con los del usuario de sesión. 
  • Protección avanzada anti-rastreo: 
    • Mantener las aplicaciones y navegadores actualizados con el fin de disfrutar de las últimas tecnologías anti-rastreo 
    • En caso de que el navegador disponga de protección avanzada (anti rastreo/seguimiento) se recomienda activar o mantener activada esta configuración eligiendo el nivel más elevado.  
    • Si el navegador no dispone de protección avanzada anti-rastreo/seguimiento, se pueden instalar extensiones que realicen esta función, siempre que ofrezcan garantías adecuadas 
  • Respecto a las cookies: 
    • Se aconseja configurar el navegador para bloquear las cookies de terceros, como mínimo para cuando se navegue en modo privado 
    • Configurar el navegador para que al cerrar la página web las cookies se borren de forma automática. 
    • Borrar las cookies manualmente cada cierto tiempo.  
  • Para poder navegar por sitios que exigen mayor acceso a tus datos puedes seguir las siguientes opciones: 
    • Contar con dos navegadores distintos para que, si las configuraciones restrictivas te impiden acceder a algunos servicios, puedas hacerlo con el otro navegador que otorga mayores permisos.  
    • Añadir una excepción en la configuración del navegador que estés utilizando, pero estarás exponiendo información personal con los sitios incluidos en la excepción. 
  • Configura tu dispositivo:  
    • Cambia las opciones de tu dispositivo de forma que no se utilice el identificador de publicidad para crear perfiles o mostrar anuncios personalizados basados en la localización o el perfil.  
    • Si el dispositivo lo permite, también puedes cambiar el identificador de publicidad cada cierto tiempo desde las opciones de configuración de privacidad. 

Recomendaciones para usuarios con conocimientos avanzados: 

  • Configurar en la red doméstica un bloqueador de consultas DNS.  
  • Navegar a través de una VPN (red privada virtual) o la red TOR. 
  • Instalar máquinas virtuales en tu sistema, incluyendo únicamente un navegador de Internet y navegar en las sesiones virtuales. 
  • Utilizar sistemas operativos diseñados para preservar la privacidad y el anonimato.  

 Referencia:  https://www.aepd.es/sites/default/files/2020-09/nota-tecnica-evitar-seguimiento.pdf

Carolina Pena

Equipo Govertis

Competencia desleal y protección de datos

23 septiembre, 2020 | GDPR Legal

La Ley 3/1991, de 10 de enero, de Competencia Desleal tiene como objeto la protección de la competencia, persiguiendo el interés de todos los que participan en el mercado y prohíbe los actos de competencia desleal, incluida la publicidad ilícita en los términos de la Ley General de Publicidad. Algunas de estas conductas se relacionan con ilícitos penales recogidos en el Capítulo XI – De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores de nuestro Código Penal y otras, como veremos, tienen conexión con la normativa en materia de protección de datos. 

La norma, siguiendo un criterio restrictivo, considera que existe competencia desleal cuando se cumplan las dos condiciones siguientesque el acto se «realice en el mercado» (es decir, que se trate de un acto dotado de trascendencia externa) y que se lleve a cabo con «fines concurrenciales» (es decir, que el acto tenga por finalidad «promover o asegurar la difusión en el mercado de las prestaciones propias o de un tercero»). No se requiere ninguna condición ulterior; y, concretamente -según se encarga de precisar el artículo 3- no es necesario que los sujetos -agente y paciente- del acto sean empresarios (la Ley también resulta aplicable a otros sectores del mercado: artesanía, agricultura, profesiones liberales, etc.), ni se exige tampoco que entre ellos medie una relación de competencia.  

Por su parte, el Capítulo II de la ley tipifica las conductas que se reputan desleales, comenzando con una cláusula general que considera desleal «todo comportamiento que resulte objetivamente contrario a las exigencias de la buena fe». Asíen las relaciones con consumidores y usuarios se entiende contrario a las exigencias de la buena fe el comportamiento de un empresario o profesional que no cumpla la diligencia profesional, entendida ésta como el nivel de competencia y cuidados especiales que cabe esperar de un empresario según las prácticas honestas del mercado, que distorsione o pueda distorsionar de manera significativa el comportamiento económico del consumidor medio o del miembro medio del grupo destinatario de la práctica, si se trata de una práctica comercial dirigida a un grupo concreto de consumidores.  

Más allá de la cláusula general, la norma establece una generosa tipificación de los actos concretos de competencia desleal. En concreto, el artículo 8 regula las prácticas engañosas y considera las mismas aquellos comportamientos susceptibles de mermar de manera significativa, mediante acoso, coacción, incluido el uso de la fuerza, o influencia indebida (entendida como la utilización de una posición de poder en relación con el destinatario de la práctica para ejercer presión, incluso sin usar fuerza física ni amenazar con su uso), la libertad de elección o conducta del destinatario en relación al bien o servicio que afecte o pueda afectar a su comportamiento económico. 

En lo que en materia de protección de datos interesa, debemos hacer referencia a la Disposición adicional decimosexta de la LOPDGDD, que regula lo que considera, a los efectos previstos en el mencionado artículo 8, las prácticas agresivas en materia de protección de datos y enumera las mismas.  

Dos de las prácticas desleales están relacionadas directamente con las autoridades de control en materia de protección de datos en nuestro país, tanto de la autoridad nacional -la Agencia Española de Protección de Datos-, como de las autonómicas -el Consejo de Transparencia y Protección de Datos, la Autoridad Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos-. Estas conductas son las siguientes: 

  • Actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados. 
  • Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios. 

Respecto de estas prácticas, la AEPD en su campaña ‘LOPD a coste cero’1 aclaró que el empleo por los ofertantes de servicios relacionados con la protección de datos de signos institucionales (por ejemplo, el logotipo de la AEPD o de entidades de certificación acreditadas) para hacer creer que cuentan con el aval de organismos públicos supondría una práctica agresiva considerada como desleal. 

Otras conductas estarían vinculadas más concretamente al tráfico mercantil, a saber: 

  • Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales. 
  • Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente. 
  • Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos. 

La AEPD en la arriba mencionada campaña ‘LOPD a coste cero’ indicó que en caso de que los ofertantes publiciten servicios a un coste notoriamente inferior a los precios de mercado, se podría estar cometiendo competencia desleal. 

Por su parte, el artículo 12 de la Ley de Competencia Desleal define como conducta desleal la explotación de la reputación ajena, considerando como tal «el aprovechamiento indebido, en beneficio propio o ajeno, de las ventajas de la reputación industrial, comercial o profesional adquirida por otro en el mercado» 

Vamos a encontrar conductas que pueden considerarse como explotación de la reputación ajena que también pueden infringir la normativa de protección de datos: este será el caso, por ejemplo, cuando nos encontremos ante la publicación de la imagen de una persona con fines publicitarios sin su consentimiento. Esta conducta podría encuadrarse en un acto desleal de explotación de la reputación ajena, pero también podría suponer una infracción de la normativa de protección de datos, al carecer este tratamiento de datos de una causa de licitud legítima; además en los tratamientos relativos a la imagen es de especial importancia tener en consideración lo que indica la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.  

Estas situaciones podrán ser más relevantes cuando se trata de personajes públicos, pero podrán constituir una infracción en materia de protección de datos cuando se trate de una persona anónima. 

Finalmente, el artículo 29.2 de la Ley 3/1991 regula una modalidad de prácticas agresivas por acoso, considerando desleal «realizar propuestas no deseadas y reiteradas por teléfono, fax, correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la medida en que esté justificado legalmente para hacer cumplir una obligación contractual». 

La propia norma indica que el empresario debe, en estas comunicaciones, permitir al consumidor dejar constancia de su oposición a seguir recibiendo propuestas comerciales de dicho empresario o profesional. Y añade que «Este supuesto se entenderá sin perjuicio de lo establecido en la normativa vigente sobre protección de datos personales, servicios de la sociedad de la información, telecomunicaciones y contratación a distancia con los consumidores o usuarios, incluida la contratación a distancia de servicios financieros». 

Como sabemos, la normativa de protección de datos exige la existencia para este tratamiento de datos de los consumidores de una causa de licitud de las establecidas en el artículo 6 RGPD, debiendo tenerse en cuenta igualmente lo establecido en los artículos 21 y 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Un ejemplo típico que podemos encontrar al respecto es el de aquellas empresas que adquieren bases de datos de clientes, sin comprobar si los datos se recabaron de forma lícita y si existe una causa de licitud para la cesión de estos datos, además de la obligación que en este caso existiría de cumplir con el artículo 14 RGPD. 

Verónica Gutiérrez  

Equipo Govertis