Transparencia vs. Protección de Datos para la Publicidad de las Subvenciones y Ayudas Públicas

21 junio, 2019 | GDPR Legal

A los efectos de aplicar el tamiz de la protección de datos personales en la publicidad de las subvenciones y ayudas públicas destinadas a personas físicas, nos encontramos con una serie de disposiciones recogidas de forma dispersa en diferente legislación estatal y, en su caso, autonómica.

Por un lado, nos encontramos con las disposiciones del Real Decreto 130/2019, de 8 de marzo, por el que se regula la Base de Datos Nacional de Subvenciones (BDNS) y la publicidad de las subvenciones y demás ayudas públicas (artículo 7.5), así como la Ley 38/2003, de 17 de noviembre, General de Subvenciones (artículos 18 y 20).

Por otro lado, con la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (artículo 15) y, en su caso, la legislación al respecto que hubiera en la Comunidad Autónoma.

Y, por último, entra en esta conjugación la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (Disposición Adicional Séptima).

Ante el galimatías normativo en lo que respecta a la protección de datos para la publicidad de subvenciones y ayudas públicas, entendemos oportuno aunar los criterios, con los cuales realizar la pertinente publicidad de la subvención o ayuda pública:

No se publicarán las subvenciones o ayudas públicas concedidas a personas físicas cuando:

  • Se trate de datos de categoría especial (artículo 9 RGPD) o datos de condenas e infracciones penales (10 RGPD).
  • La persona física se encuentre en una situación de protección especial que pueda verse agravada con la cesión o publicación de sus datos personales, en particular, cuando sea víctima de violencia de género o de otras formas de violencia contra la mujer. Así como, cuando son “otorgadas por motivos de vulnerabilidad social” según reza, por ejemplo, la legislación catalana (artículo 15 de la Ley 19/2014, de 29 de diciembre).

No tratándose de datos de categoría especial, atenderemos a:

  • Un ejercicio de ponderación, atendiendo a los criterios del artículo 15.3 de la citada Ley 19/2013 y, en su caso, los definidos por la legislación autonómica en transparencia.
  • En todo caso, los datos que se publicarían del beneficiario serían Nombre y Apellidos, más cuatro números aleatorios del DNI/Pasaporte/NIE o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse. A estos efectos, véase la “Orientación para la aplicación provisional de la Disposición Adicional Séptima de la LOPD-GDD”

Esta pauta, también podría aplicarse a subvención o ayuda pública que tenga como destinatario, a persona física, en condición de profesional (autónomo o liberal) o empresario individual (comerciante, industrial o naviero).

KEEP READING

Junio y la Protección de Datos de menores

7 junio, 2019 | GDPR Legal

¿Por qué Junio? Porque es un mes en el que se concentran en colegios actuaciones de fin de curso, graduaciones, pero también es el fin de temporada para clubes deportivos, escuelas de música, academias…. Y el momento de realizar esas representaciones y actuaciones, en las que podemos ver el progreso de nuestros hijos, disfrutando del ambiente en el que han estado durante el año escolar.

Eventos en los que se toman fotografías y realizan vídeos de niños, y en los que no solo los centros educativos y organizadores han de poner especial atención, sino también nosotros puesto que en ocasiones esas imágenes no son solo de nuestros hijos.

Los responsables de estos eventos, directores y hasta profesores se ponen nerviosos cuando ven a padres, abuelos, familiares, amigos y personas ajenas al colegio, realizando los vídeos y/o fotografías. ¿Por qué? Porque saben que la imagen del menor es un dato personal, indicamos en uno de los artículos del blog, uso de fotografías en RRSS, para cuyo tratamiento han solicitado el consentimiento de los padres o tutores del menor, conforme al RGPD y, en el caso de Colegios siguiendo instrucciones de su DPD, pero los asistentes a estos actos no disponen de ese consentimiento para realizar el tratamiento. Aunque una posible propuesta será prohibir realizar vídeos o fotografías, no es la única opción que tienen los organizadores.

¿Qué pueden hacer en estos casos? Como señala la  AEPD  en su Guía para centros educativos: “Cuando los centros educativos organicen y celebren eventos (fiestas de Navidad, fin de curso, eventos deportivos) a los que asistan los familiares de los alumnos, constituye una buena práctica informarles, por ejemplo, al solicitarles la autorización para participar o mediante avisos o carteles, de la posibilidad de grabar imágenes exclusivamente para su uso personal y doméstico (actividades privadas, familiares)”

Para ayudar a los colegios a cumplir con la normativa de privacidad algunas entidades educativas (como Generalitat Valenciana) han publicado directrices entre las que se encuentra un Modelo de cartel de aviso para la captación de imágenes por madres, padres o familiares.

Modelo cartel de aviso padres

Así pues, ¿los padres pueden realizar grabaciones de vídeo y fotografías en estos casos?

  • Sí se podrán tomar fotografías y vídeos de las actividades desarrolladas en colegios, clubes y demás centros, siempre y cuando se trate de imágenes captadas exclusivamente para su uso personal y doméstico.
  • Si las imágenes captadas por los familiares, amigos y asistentes se difunden más allá del ámbito personal, por ejemplo mediante su publicación en Internet accesible en abierto, los familiares asumirían la responsabilidad por la comunicación de las imágenes a terceros que no podrían realizar salvo que hubieran obtenido el consentimiento previo de los interesados.

Antes de difundir imágenes de menores tendremos que consultar a sus padres o tutores si podemos publicar aquellas en las que aparezcan. Incluso si esos menores son nuestros hijos/as deberíamos evitar como señala la AEPD  el sharenting, compartir en redes sociales y/o Internet de manera indiscriminada fotos, vídeos, actividades y anécdotas de la vida de nuestros hijos menores.

 

KEEP READING

Publicación de calificaciones universitarias y la nueva LOPD

31 mayo, 2019 | GDPR Legal | , , , , , , , , ,

Una problemática recurrente en el ámbito universitario es la relativa publicación de las notas de los alumnos. Tradicionalmente, las calificaciones se “colgaban” en el tablón de anuncios de la Universidad, y todo aquel que pasara por allí, ya fuera alumno, progenitor “curioso” o ciudadano anónimo, tenía acceso a las mismas.

Traducido a la normativa de protección de datos, esta publicación supone una comunicación de datos de carácter personal, que debe basarse en una causa de licitud, esto es, uno de los motivos que contempla la Ley para que dicho tratamiento de datos sea válido.

Calificaciones universitarias con la antigua LOPD

Con la antigua LOPD (Ley Orgánica 15/99, de Protección de Datos), la regla general de licitud era el consentimiento del afectado, salvo excepciones, como que una norma con rango de ley contemplara ese tratamiento concreto. Antes de la entrada en vigor de la Ley Orgánica 4/2007, de 12 de abril de Universidades, esa publicación de notas en los tablones era ilegal, salvo que se hubiera recabado previamente el consentimiento de los estudiantes.

La DA 2ª  de la citada Ley Orgánica 4/2007 sí contempló la excepción, y amparó la publicación de las calificaciones de los alumnos sin consentimiento del interesado.

Calificaciones universitarias con el nuevo RGPD

Esta situación no ha cambiado con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de Derechos Digitales (LOPD-GDD), que incluye entre sus bases de legitimación para tratar los datos el interés público basado en una norma con rango de ley, como es este caso.

Pero no basta, de acuerdo con el RGPD y la LOPD-GDD, que la publicación sea lícita (PRINCIPIO DE LICITUD DEL TRATAMIENTO), sino que también debe cumplir con el resto de principios generales de la norma, como el de TRANSPARENCIA, MINIMIZACIÓN DE DATOS o LIMITACIÓN DEL PLAZO DE CONSERVACIÓN, entre otros. Esto implica que la publicación debe hacerse de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones, como en el caso de que se publicara, por ejemplo, en Internet. Por todo esto se recomienda:

  • Publicación calificaciones en Intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo, habiendo informado previamente a los alumnos en la matriculación.
  • Si de esta forma no fue posible, publicación en tablones de anuncios del centro, siempre que no se encuentren en las zonas comunes de los centros, se garantice que el acceso a los mismos queda restringido a dichas personas y se adopten las medidas necesarias para evitar su público conocimiento por quienes carecen de interés en el mismo.
  • En cuanto a los datos a publicar:
  • Plazo de conservación de la publicación: calificaciones provisionales mientras transcurre el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados. 

 

Documentación relacionada:

Informe AEPD 2019-0030

https://www.aepd.es/media/informes/2019-0030-publicacion-calificaciones.pdf

Orientación para la aplicación provisional de la DA 7ª de la LOPDGDD

https://www.aepd.es/media/docs/orientaciones-da7.pdf

KEEP READING

Uso de fotografías en RRSS

24 mayo, 2019 | GDPR Legal | , , , , ,

El uso y compartición de fotografías en las redes sociales es uno de los aspectos que caracterizan dichas comunidades, bien sea para un uso profesional (Linkedin, Xing) o más personal (Facebook, Twitter, Instagram).

Desde el punto de vista jurídico, el hecho de compartir fotografías en redes sociales tiene diversas implicaciones y puede estar sujeto a diferentes normas que regulan desde la propiedad de la fotografía hasta los aspectos relativos a su contenido, con especial atención al contenido cuando en la fotografía aparecen personas físicas.

Propiedad de la imagen en Redes Sociales

Respecto a la propiedad de la imagen, hay que tener en cuenta las disposiciones del Real Decreto legislativo 1/1996 por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (en adelante LPI). Esta ley reconoce una serie de derechos morales y de explotación a los autores de las fotografías, diferenciando en caso de que se consideren obras artísticas, literarias o científicas; o meras fotografías.

Para utilizar en RRSS fotografías de terceros, será necesario ser titular de los derechos necesarios para el uso que se quiere realizar (como por ejemplo un uso comercial o publicitario) y en su caso abonar al titular de los derechos la compensación pactada.

Contenido de la imagen en Redes Sociales

En cuando al contenido, además de que los objetos que aparezcan en la fotografía puedan estar protegidos por la LPI, también podrían estar protegidos por otras normas como la Ley 17/2001 de Marcas, o la Ley 20/2003 de Protección del Diseño Industrial.

Si en el contenido de la fotografía aparecen personas físicas, entran en juego dos marcos normativos de gran relevancia:

  1. Por un lado: el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los.derechos digitales. (en adelante, LOPDGDD).
  2. Por otro lado, la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (en adelante LO 1/1982).

La imagen como Dato Personal

La imagen está considerada como un dato personal de acuerdo a la definición de dato personal proporcionada por el art 4 del RGPD, y como tal, cualquier tratamiento que se realice de imágenes de personas identificadas o identificables ha de cumplir con los requisitos, obligaciones y principios del RGPD y su tratamiento deberá estar legitimado por una de las bases de legitimación del art 6 del RGPD.

Respecto a la LO 1/1982, hay que tener en cuenta que el art 7 de esta Ley considera una intromisión ilegítima en la intimidad de las personas “la captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos”, salvo en los siguientes casos:

  • Que se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
  • La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
  • La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

Por lo que, conforme a esta Ley, para poder captar, reproducir o publicar la fotografía de una persona es necesario que dicho uso esté expresamente autorizado por ley, o que el titular de los derechos hubiera consentido expresamente. (art 2.2 Ley 1/1982).

En conclusión, para utilizar una fotografía en redes sociales, hay que ostentar los derechos de propiedad intelectual, y si aparecen personas físicas identificadas o identificables obtener la cesión de su imagen y cumplir con las obligaciones en materia de protección de datos.

KEEP READING

Estrategias para combatir ciberataques. ¿Cómo reducir el impacto?

17 mayo, 2019 | GDPR Legal | , ,

Cuando hablamos de ciberseguridad no podemos evitar pensar en los ciberataques que han sufrido reconocidas empresas. Y nos preguntamos: ¿Podemos combatir los ciberataques? Aunque existen diferentes tipos de ciberataques que podemos sufrir, la mayoría de ellos se componen de 4 etapas. A continuación hablamos de cada una de las etapas y de las estrategias a seguir en cada una de ellas para reducir el impacto.

¿Cuáles son las etapas de un ciberataque?

Investigación

  • Investigar y analizar información disponible de la víctima, para identificar posibles vulnerabilidades.

Detección

  • Obtener un fallo en el sistema, donde la vulnerabilidad pueda ser explotada.

Intrusión

  • Aprovechar la vulnerabilidad para obtener el acceso no autorizado.

Afectación

  • Realizar actividades dentro de un sistema objetivo.

Controles de seguridad para cada etapa del ciberataque

Los siguientes controles de seguridad, aplicados en cada etapa de un ataque, puede reducir la exposición de su organización a un ciberataque exitoso.

Investigación

  • Formación y Concienciación

Forme a todos los usuarios, para que evalúen qué tipo de información incluyen en documentos públicamente disponibles y contenido web.

Los usuarios también deben ser conscientes de los riesgos de hablar de asuntos relacionados con el trabajo en las redes sociales. Y el peligro de ser blanco de ataques de Phishing.

Detección

  • Seguridad perimetral

Puede bloquear servicios inseguros o innecesarios, o solo habilitar el acceso a sitios web permitidos.

  • Protección contra código malicioso

Puede bloquear correos electrónicos maliciosos y evitar que se descargue código malicioso de sitios web.

  • Política de contraseñas

Puede evitar que los usuarios utilicen contraseñas poco seguras y bloquear las cuentas después de un número bajo de intentos fallidos.

  • Configuración Segura

Restrinja las funcionalidades de los sistemas al mínimo necesario para las operaciones de la empresa, aplíquela sistemáticamente a todos los dispositivos que se utilizan en ella.

Intrusión

  • Gestión de las vulnerabilidades

Aplique los parches lo antes posible para limitar la exposición a las vulnerabilidades de software conocidas.

  • Supervisión

Supervise y analice toda la actividad de la red para identificar cualquier actividad maliciosa o inusual.

  • Protección contra código malicioso

Protección contra código malicioso en el acceso a internet de la empresa.

  • Configuración Segura

Elimine el software innecesario y las cuentas de usuarios creadas por defecto. Asegurase de cambiar las contraseñas predeterminadas y desactivar los servicios configurados por defecto.

  • Control de Acceso

Un buen mantenimiento del control de acceso de los usuarios, puede restringir a las aplicaciones, los privilegios y los datos que los usuarios puedan acceder.

  • Entrenamiento del Usuario

El entrenamiento del usuario es extremadamente valioso para reducir las probabilidades de producirse un ataque de ingeniería social.

  • Control de dispositivos

Un correcto control de los dispositivos conectados a la red interna, puede prevenir el acceso no autorizado a servicios críticos o inseguros.

Afectación

  • Etapa de afectación

Una vez que un atacante ha logrado su acceso, es mucho más difícil detectar sus acciones y erradicar su presencia.

Aquí es donde puede ayudar un enfoque más profundo y holístico de la seguridad cibernética.

¿Qué medidas tomas para prevenir los ciberataques?

 

KEEP READING

La importancia de actualizar el software y no convertirlo en vulnerabilidad a múltiples amenazas

5 abril, 2019 | GDPR Legal | , , , ,

Utilizar software sin actualizaciones hace que sean vulnerables a múltiples amenazas. Los ciberdelincuentes lo saben y han puesto foco en estas herramientas.

KEEP READING

El ENS como parte del RGPD. Aproximación al Esquema Nacional de Seguridad.

22 marzo, 2019 | GDPR Legal

Hace un año aproximadamente publicábamos un artículo en el que  hacíamos referencia a la  Disposición adicional primera del Proyecto de Ley Orgánica de Protección de Datos relativa a las medidas de seguridad en el ámbito del sector público.

Con la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), los responsables de tratamiento enumerados en el art 77 de la mencionada Ley, -esto es, los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos, los órganos jurisdiccionales, la Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local; los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas; las autoridades administrativas independientes; el Banco de España; las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público; las fundaciones del sector público; las Universidades Públicas; los consorcios y los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales-,  deberán  aplicar a los tratamientos de datos de carácter personal las medidas de seguridad que correspondan de las previstas en el ENS, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

Por otro lado, en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, también se verá obligado a aplicar las medidas de seguridad que se  corresponderán con las de la Administración pública de origen que en todo caso deberán ajustarse al Esquema Nacional de Seguridad.

¿Pero sabemos realmente en qué consiste el ENS?

Ámbito de aplicación

En caso de duda sobre el ámbito de aplicación del ENS, resulta de interés consultar la guía 830 del CCN–STIC.

Regulación

  • Real Decreto 951/2015, de 23 de octubre, de modificación del R.D. 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Normas técnicas de seguridad
  • Guías CCNN-STIC de Seguridad de los Sistemas de Información y Comunicaciones.

¿Cuáles son sus objetivos?

Su objeto principal es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por requisitos mínimos que permitan una protección adecuada de la información. Podemos enumerar los siguientes:

  • Creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas de seguridad que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Establecer una Política de Seguridad en el uso de medios electrónicos, constituida por los requisitos mínimos para una protección adecuada de la información.
  • Introducir elementos comunes para las Administraciones Públicas en materia de seguridad de las tecnologías de la información.
  • Aportar un lenguaje común para facilitar la interacción de las Administraciones Públicas.
  • Aportar un tratamiento homogéneo de la seguridad, cuando participen diversas entidades.
  • Facilitar un tratamiento continuado de la seguridad

¿Qué sistemas, aplicaciones o servicios están comprendidos en el ENS?

  • Sedes electrónicas
  • Registros electrónicos
  • Sistemas de información accesibles electrónicamente por los ciudadanos
  • Sistemas de información para el ejercicio de derechos.
  • Sistemas de Información para el cumplimiento de deberes.
  • Sistemas de Información para recabar información y estado del procedimiento administrativo

 

¿Qué medidas de seguridad recoge el ENS?

De acuerdo con el ENS,  la adopción de medidas de seguridad deberá ser proporcional a la naturaleza de la información, el sistema y los servicios a proteger mediante la determinación de la categoría del sistema, atendiendo a  los riesgos a los que están expuestos.

Medidas ENS

 

Medidas recogidas en el ANEXO II ENS

Medidas de seguridad recogidas en el Anexo II

Así, para saber las medidas de seguridad concretas de carácter organizativo, operacional y de protección de entre las 75 recogidas en el Anexo II que deberemos aplicar al  sistema  en cuestión,  resultará necesario determinar previamente la categoría del sistema (básica, media o alta),  en función de la valoración del impacto que tendrá un incidente que afectará a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad, siguiendo el procedimiento establecido para ello en el Anexo I. Las medidas de seguridad a implantar deberán recogerse en la declaración de aplicabilidad o SOA de la organización.

Se puede obtener más información sobre el ENS, así como acceder a las guías técnicas de seguridad en la página web del CCN CERT.

KEEP READING

Contenido del Informe de Evaluación de impacto en Protección de Datos.

8 marzo, 2019 | GDPR Legal

Con la entrada en vigor del RGPD empezamos a familiarizarnos con las evaluaciones de impacto en protección de datos ¿pero conocemos realmente cuál debe ser su contenido?

De acuerdo con lo indicado en el artículo 35.7 RGPD:

7. La evaluación deberá incluir como mínimo:

  1. Una descripción sistemática de las operaciones del tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  2. Una evaluación de la necesidad y la proporcionalidad de las operaciones del tratamiento con respecto a su finalidad.
  3. Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1 y,
  4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

En base a lo anterior, la guía de evaluaciones de impacto de la AEPD propone que el informe contenga al menos:

  • Contexto:
    • Describir el ciclo de vida de los datos: descripción detallada del ciclo de vida y del flujo de datos en el tratamiento. Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad del tratamiento.
    • Analizar la necesidad y proporcionalidad del tratamiento: análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.
  • Gestión de riesgos:
    • Identificar amenazas y riesgos: Identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades del tratamiento.
    • Evaluar los riesgos: evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
    • Tratar los riesgos: respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.
  • Conclusión y validación:
    • Plan de acción y conclusiones: Informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

Además de estos puntos, cada organización podrá incluir otros apartados que considere necesarios o convenientes para una mejor información a la alta dirección y el resto de destinatarios del informe como, por ejemplo, un análisis costes-beneficios de las distintas medidas de seguridad recomendadas en el informe o cualesquiera otros que se juzguen adecuados.

Finalmente, el lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los destinatarios del mismo, o al menos, si no es posible evitar ciertos términos jurídicos o tecnológicos, es conveniente incluir un glosario de términos.

 

Equipo de Govertis 

Logotipo de Govertis

KEEP READING

¿En qué consiste la nueva Regulación del Testamento Digital?

4 marzo, 2019 | GDPR Legal | , ,

Básicamente, el art. 2.2 de la Ley Orgánica 3/2018 de Protección de Datos de Carácter Personal y Garantía de derechos digitales establece que la misma no será de aplicación “a los tratamientos de datos de personas fallecidas”. No obstante, en el artículo siguiente art. 3,  fija los criterios conforme a los cuales las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, pueden acceder a los datos personales de aquél. Tal como dispone el artículo “las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión”, siempre que la persona fallecida no lo hubiese prohibido expresamente (o así lo establezca una ley) y si bien dicha prohibición “no afectará al derecho de los herederos a acceder a los contenidos que pudiesen formar parte del caudal relicto”.

¿A quién afecta la nueva Regulación del Testamento digital?

Por lo citado anteriormente, la nueva Ley Orgánica establece la posibilidad de saber las personas que están legitimadas para poder acceder a los contenidos digitales de la persona fallecida, a no ser que se hubiera realizado una prohibición expresa a ese derecho de acceso, que en ningún momento supone una restricción de acceso al resto del contenido en el caudal relicto.

Así que la posibilidad de ejercitar el derecho de acceso a las instrucciones realizadas por la persona fallecida se podrá realizar por el albacea testamentario, representantes legales del menor fallecido, Ministerio Fiscal y aquellas personas que representen a las personas con discapacidad.

Además, estas personas legitimadas podrán instar la solicitud a los responsables del tratamiento  en los términos establecidos por la instrucción del fallecido y en particular, la eliminación de los perfiles personales en redes sociales o servicios equivalentes. Por ejemplo, Google dispone de un Administrador de cuentas inactivas para que las personas legitimadas puedan solicitar el cierre de las cuentas del fallecido.

Facebook también incluye la figura del albacea digital para que un tercero, tras el fallecimiento de una persona, se haga cargo del patrimonio digital.

En definitiva, la nueva normativa en protección de datos trata de recopilar situaciones cotidianas que necesitan una regulación específica debido a la demanda social, la proliferación de redes sociales y de comunicación digital preferentemente.

Otro aspecto relevante, es que el art. 96 de la LOPDGDD no regula una nueva forma testamentaria sino que se mantiene lo regulado en el Código Civil y demás normas reguladoras. Es decir que en nuestro ordenamiento jurídico no existe la disposición “mortis causa” exclusivamente digital, ya que se necesita la intervención de un notario para que el testamento tenga validez jurídica. Ahora bien, se puede disponer de nuestro patrimonio digital tal como se recogía en el art. 685 y 687 del Código Civil.

Lo que regula realmente la nueva normativa en protección de datos es la disposición de bienes de contenido patrimonial y  la gestión realizada por los prestadores de la sociedad de la información. Por ejemplo, las compras realizadas pendientes de entrega, el saldo existente en cuentas o monederos electrónicos (Pay-Pal, Amazón, Google Wallet), los bitcoins, todo este contenido pasa a formar parte de la masa activa de la herencia, pero, sin ningún tipo de especialidad, respecto a los demás bienes del causante.

Por último, en el art. 96 se establecen que los requisitos y condiciones de validez de las instrucciones se realizará mediante real decreto, y adaptándose a los criterios establecidos en determinadas comunidades autónomas por razón de su derecho civil, foral o especial de aplicación.

Conclusión

En definitiva, no se establece un nuevo testamento porque ya se encuentra regulado en el Código Civil y demás normativa de aplicación sino que se establecen los sujetos legitimados para el acceso a la información del fallecido. Además, sobre el contenido del testamento se podrá especificar los diferentes usuarios y contraseñas de los perfiles del testador en Internet, instrucciones sobre quién puede cancelar las cuentas, conservarlas, realizar gestiones, qué smartphones, Tablet, ordenadores son necesarios incluir en el testamento por contener información relevante, y en definitiva, la disposición de esos nuevos elementos tecnológicos que nos encontramos hoy en día y que es interesante incluir al realizar el testamento ya que todos estos bienes digitales pasarán a formar parte de nuestra herencia, pudiendo otorgar el derecho de acceso de esta información a generaciones futuras.

 

Equipo de Govertis 

Logotipo de Govertis

KEEP READING

Censo electoral y protección de datos

22 febrero, 2019 | GDPR Legal | , , , ,

Este 2019 nos trae uno de los años con más citas electorales de nuestra democracia. A las ya previstas elecciones europeas, locales y autonómicas, se suman ahora las elecciones generales y, quién sabe si a lo largo de este 2019 no se disuelva algún parlamento autonómico entre los que no se renuevan el próximo 26 de mayo. Trataremos en esta entrada la regulación del censo electoral en relación con la protección de datos.

El artículo 41.5 de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral Generales (LOREG) establece que los representantes de cada candidatura podrán obtener dentro de los dos días siguientes a la proclamación de su candidatura una copia del censo del distrito correspondiente, ordenado por mesas, en soporte apto para su tratamiento informático, que podrá ser utilizado exclusivamente para los fines previstos en la presente Ley. Alternativamente los representantes generales podrán obtener en las mismas condiciones una copia del censo vigente de los distritos donde su partido, federación o coalición presente candidaturas. Asimismo, las Juntas Electorales de Zona dispondrán de una copia del censo electoral utilizable, correspondiente a su ámbito”.

Sobre este precepto y su compatibilidad con la normativa en materia de protección de datos se pronunció la Agencia Española de Protección de Datos en su Informe 0244/2014. En el mismo, se afirma que la cesión a las candidaturas proclamadas de los datos del censo electoral se encuentra amparada por lo dispuesto en el artículo 11.2 a) de la Ley Orgánica 15/1999. Hoy deberíamos hablar de que esta cesión de datos se encuentra amparada en el artículo 6.1.c) RGPD. Como bien señala la LOREG, podrán usarse estos datos “exclusivamente para los fines previstos en la presente Ley”.

El informe de la Agencia prescribe igualmente que el producto resultante de la cesión tendrá la consideración de fichero de datos de carácter personal, por lo que cada candidatura o partido político debería tener un fichero inscrito en la Agencia Española de Protección de Datos. Esta obligación, con la entrada en vigor del RGPD se transforma en la obligación del responsable del tratamiento (candidatura o partido político) de incluir en su registro de actividades de tratamiento este tratamiento de datos efectuado, con los requisitos establecidos en el artículo 30 RGPD.

En cuanto a la conservación de los datos, la AEPD aclara que la vinculación a la finalidad establecida por el artículo 41.5 de la LOREG implica que una vez celebradas las elecciones debería procederse a la supresión de los datos recibidos, que no podrían ser utilizados más que durante la campaña, de forma que al concluir esta y celebrarse las elecciones se encontraría vedada cualquier posterior utilización de la información y ampara esta afirmación en el artículo 4.5. LO 15/1999. Actualmente el principio de minimización de los datos recogido en el artículo 5.1.c) RGPD establece que los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, por lo que la conclusión de la AEPD se mantiene intacta al respecto.

Sin embargo, existe un cambio sustancial en lo establecido por la Agencia. Si en 2014, la AEPD entendía que excepcionalmente no cabía que el interesado manifestase su negativa al tratamiento, procediéndose en todo caso a la cancelación de los datos al término de la campaña electoral, la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales cambia este paradigma con la inclusión de la Disposición final tercera. Uno, que modifica el apartado 3 del artículo 39 LOREG, y que otorga el derecho de oposición a los electores sobre su inclusión en las copias del censo electoral que se faciliten a los representantes de las candidaturas para realizar envíos postales de propaganda electoral.

Sobre la aplicación de esta modificación legal se pronunció el pasado 23 de enero la Junta Electoral Central mediante Acuerdo 2/2019, en el que indicó:

“1º) Con objeto de facilitar la tramitación de las solicitudes de los electores que se opongan a su inclusión en las copias del censo electoral que la Oficina del Censo Electoral debe entregar a los representantes de las candidaturas para realizar envíos de propaganda electoral, dichas solicitudes podrán plantearse con anterioridad a la convocatoria de un proceso electoral, en Ayuntamientos, Consulados y Delegaciones Provinciales del Censo Electoral. Asimismo, podrán realizarse en la sede electrónica del Instituto Nacional de Estadística, una vez que la Oficina del Censo Electoral haya habilitado dicho trámite.

2º) La referidas solicitudes de exclusión tendrán efecto permanente hasta que el elector se manifieste en sentido contrario. 

3º) La Oficina del Censo Electoral comunicará a los electores la exclusión solicitada. 

4º) Esta exclusión deberá resultar compatible con que los representantes de las candidaturas puedan disponer de la lista completa de electores a efectos de votación y escrutinio, con los datos imprescindibles para la identificación del elector”. 

Podemos concluir por tanto, que este derecho de oposición será permanente y hasta que el elector cambie de idea y así lo comunique. Se dará al elector la posibilidad de presentarlo en diferentes lugares y, además, se prevé la posibilidad de efectuar este trámite online. Finalmente, este derecho de oposición no implica que partidos políticos y candidaturas no obtengan los datos de los electores que han ejercido este derecho, pues igualmente tendrán los datos de éstos limitando su finalidad a efectos de votación y escrutinio.

Equipo de Govertis. 

Logotipo de Govertis

KEEP READING