Blog de LOPD y protección de datos

Artículos profesionales sobre protección de datos personales y LOPD

Artículos relacionados con el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPD) y buenas prácticas para proteger nuestra información personal.

Artículos profesionales sobre protección de datos personales y LOPD

En Indalics actuamos como auditores de protección de datos personales colegiados en Almería, Granada, Málaga, Sevilla, Madrid, Murcia, Córdoba, Alicante y Jaén.


Implantanción LOPD en despachos de abogados

Protección de datos: Pedro De La Torre, CEO de Indalics y perito informático colegiado impartió la ponencia “Implantación LOPD en despachos de abogados” durante jornada celebrada en el Ilustre Colegio de Abogados de Málaga

Implantanción LOPD en despachos de abogados

Implantanción LOPD en despachos de abogados

Pedro De La Torre impartió la ponencia “Implantación LOPD en despachos de abogados” durante jornada celebrada en el Ilustre Colegio de Abogados de MálagaIlustre Colegio de Abogados de Málaga como parte de la preocupación de dicha institución en que los despachos profesionales de sus colegiados cumplan con la normativa en materia de protección de datos personales y limiten en lo posible las responsabilidades ante terceros en caso de incidencia.

A la jornada acudieron alrededor de 30 profesionales así como un buen número de profesionales del derecho que pudieron seguir la jornada vía streaming.

La jornada se estructuró en 3 grandes áreas temáticas:

  • Fundamentos prácticos y legales de la protección de datos personales en España.
  • Mecanismos de cumplimiento de la LOPD a implantar en el despacho.
  • Buenas prácticas.

Desde una perspectiva práctica, se introdujo a los asistentes en los principios básicos a seguir al enfrentarse a una implantación de la LOPD en su despacho profesional, los derechos de las personas sobre las que tratan datos y, sobre todo, comprender que este proceso va más allá de un “quitamultas” o de limitar la responsabilidad en caso de desastre.

Los procesos que intervienen en asegurar los datos de carácter personal son análogos a los que se han de seguir para asegurar la información corporativa de su despacho. Así mismo, la simple auditoría de su forma de trabajar a fin de plasmarlo en un documento ofrece la posibilidad de auditar posteriormente el propio funcionamiento del despacho y posibilitar la mejora en las distintas áreas en las que sea necesario.

En el turno de preguntas, a la mayoría de asistentes les preocupó en gran medida la cesión de datos a terceros, en especial a los procuradores. Dicha cesión es habitual, dado el ejercicio de la procura y la intervención de estos profesionales en los procesos judiciales. Por ello, cada profesional de la abogacía deberá hacer suscribir un contrato de confidencialidad y de gestión de los datos de carácter personal a cada procurador con el que colaboren, o bien que el propio procurador incluya estas cláusulas en el contrato de servicios que suscriba con el abogado y/o con su cliente.

Desde Indalics esperamos haber contribuido a la mejora de los datos de carácter personal en los despachos de abogados, toda vez que manejan información muy sensible de muchisimos ciudadanos.

¿Qué te ha parecido la información?
Comparte esto:

El fraude de la LOPD a coste 0

Protección de datos: Hoy les hablaré del extendido fraude de la LOPD a coste 0, signo de la desprotección que sufren los usuarios de este tipo de servicios.

El fraude de la LOPD a coste 0

El fraude de la LOPD a coste 0

Desde hace tiempo, los profesionales colegiados que prestamos servicios de seguridad de la información venimos detectando que hay empresas y autónomos que, sin ser profesionales en la materia, ofrecen la implantación, asesoramiento o auditorías para el cumplimiento de la LOPD a coste 0,  con cargo a los fondos de la Fundación Tripartita. En este tipo de conducta, a parte de un servicio de muy baja calidad, le están haciendo ser partícipe de un fraude, ya que los créditos de formación se utilizan para formar a los trabajadores y no para que al empresario le salga gratis un servicio.

Normalmente este tipo de empresas les dicen que todos los años tienen que hacer un curso, porque los servicios prestados caducan. Nada más lejos: lo que quieren es cobrar todos los años el dinero del que dispone su compañía para formar a sus trabajadores.

La Agencia Tributaria está abriendo expedientes sancionadores ya que los servicios de asesoría y consultoría en materia de Protección de Datos incluye un IVA que en este tipo de cursos no se está aplicando.

Comunicado de la Fundación Tripartita

A continuación le reproduzco el comunicado de la Fundación Tripartita a este respecto:

“Utilización de bonificaciones para LOPD – Nota informativa

Comunicado a las empresas que realizan formación para sus trabajadores, en previsión de errores en las bonificaciones relacionadas con la implantación de sistema de protección de datos de carácter personal

La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoria y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude.

El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que este crédito está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores.

La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y puesto en marcha los mecanismos de control oportunos, para constatar las bonificaciones practicadas y evitar en el futuro que las empresas beneficiarias que se bonifican por formación se vean implicadas en una cadena de errores, teniendo que devolver las cuantías bonificadas.

Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoria y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.

La Fundación Tripartita hace un llamamiento a todos los usuarios para que en caso de recibir alguna oferta de este tipo de servicios u otros de similares características, contacten con el servicio al cliente de la Fundación en: servicioalcliente@fundaciontripartita.org”

Consecuencias del fraude en la LOPD

Las consecuencias del fraude de la LOPD a coste 0 son muy variadas, pero le comentaré sucintamente las más graves:

  • En el ámbito tributario: Está participando en un fraude tributario, en concreto como colaborador necesario para no abonar el correspondiente IVA, por lo que tendrá que afrontar las consecuencias civiles o penales que se deriven, tanto la persona jurídica, como el consejo de dirección de la compañía.
  • En el ámbito laboral: Como ya se ha comentado estaría destinando los fondos para formación de sus empleados, gestionados por la Fundación Tripartita, a otros menesteres no contemplados en la legislación. Tendría que devolver los fondos, con intereses de demora, y afrontar las responsabilidades civiles y penales que se deriven.
  • En el ámbito de la protección de datos: Los servicios prestados con este método son de escasísima calidad, no cumpliendo realmente lo establecido en la legislación en materia de protección de datos, por lo que puede enfrentarse a cuantiosas multas por su incumplimiento. Tenga en cuenta que en este tipo de servicios no se le ofrece garantía de cumplimiento alguna, ya que se disfrazan como formación: las multas las tendrá que pagar usted.

El fraude de la LOPD a coste 0 puede salirle terriblemente caro querido lector. Extreme las precauciones y exija siempre garantías a su prestador de servicios, como que le acredite tener suscrito un seguro de responsabilidad civil profesional o pertenecer a un colegio profesional.

¿Qué te ha parecido la información?
Comparte esto:

Alerta ante fraudes en consultoría de protección de datos

La AEPD alerta de fraudes en consultoría en protección de datos personales

La Agencia Española de Protección de Datos (AEPD) ha alertado en las últimas semanas  de varias actuaciones y fraudes en consultoría en protección de datos personales con graves consecuencias para los receptores de los servicios.

Alerta ante fraudes en consultoría de protección de datos

Comunicado de la AEPD

La AEPD hace hincapié en la necesidad de dejar las labores de protección de datos en manos de expertos profesionales que realizan su labor atendiendo a las normas legislativas. En caso contrario estaría incurriendo, sin saberlo, en faltas que pueden ocasionar sanciones y hacerle objeto de fraude.

El fraude más reciente que ha puesto de manifiesto la Agencia consiste en el envío por parte de empresas y particulares de varias comunicaciones que haciéndose pasar por la AEPD. En dicho envío comunican a los usuarios un requerimiento de la AEPD sobre el cumplimiento de la normativa de protección de datos, incluso advirtiendo sobre el régimen sancionador aplicable. En la propia comunicación las empresas fraudulentas ofrecen sus servicios de asesoría y consultoría en protección de datos con el fin de que el negocio se adapte a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD).

La Agencia Española de Protección de Datos, en un comunicado, ha querido aclarar que no realiza requerimientos en los términos que se han indicado y advierte a aquellos que los reciban para que analicen detenidamente la identificación del remitente a fin de evitar confusiones.

Evite ser objeto de fraude al realizar la protección de datos

La Agencia pide la ayuda de todos para evitar estos fraudes y recomienda que ante el recibo de estas comunicaciones, los afectados contacten con su personal. La AEPD señala que analizará las denuncias que reciba sobre estas conductas, reservándose el ejercicio de las acciones legales pertinentes para impedir que aquellos que tratan datos personales sean víctimas de este tipo de prácticas a través de la utilización engañosa de su imagen.

A su vez, la Agencia alerta sobre aquellas empresas que ofrecen sus servicios para realizar auditorías de seguridad por vía telefónica, ya que estas auditorías telefónicas de medidas de seguridad no permitirían en ningún caso obtener los resultados establecidos en la normativa de protección de datos. El concepto de auditoría de los ficheros de seguridad de nivel medio y/o alto implica necesariamente la realización de comprobaciones en los sistemas de información auditados, algo que no es posible llevar a cabo por vía telefónica.

El fraude de los cursos de formación en materia de protección de datos

Así mismo se viene observando empresas que ofertar auditorías de protección de datos a empresas por precios irrisorios, con el compromiso de realizar luego un curso de formación con cargo a la Fundación Tripartita impartido por la misma empresa. Esta práctica constituye un fraude mediante el cual la empresa auditora se embolsa el dinero de la formación sin impartirla.

Confíe sólo en profesionales colegiados

Para evitar fraudes, exija siempre que su auditor de protección de datos personales le certifique que se encuentra adscrito a un colegio profesional de informática y que cuenta con un seguro de responsabilidad civil profesional con el que responda de cualquier daño que le pueda generar un trabajo profesional defectuoso.

¡Las LOPD low cost le pueden salir carísimas, querido lector!

¿Qué te ha parecido la información?
Comparte esto:

Guerra empresarial por nuestros datos personales

Guerra empresarial por nuestros datos personales

Nueva guerra entre las telecos y las empresas de contenidos digitales a cuenta de los datos personales de los clientes y su uso comercial.

Guerra empresarial por nuestros datos personales

El origen del conflicto entre telecos y empresas de contenidos digitales

Es menester poner en antecedentes al lector de este conflicto, largo y durante mucho tiempo soterrado.

En un principio las operadoras quisieron que las empresas de contenidos les pagaran por el uso de sus redes de datos. Si nos atenemos al argumento de que utilizan la red sin trasladar beneficio directo a las operadoras sería lícito pensar que existe un desnivel en el equilibrio empresarial. Sin embargo son las empresas de contenidos digitales las que aportan valor: si se contratan líneas de datos es gracias a que existen los servicios ajenos a las operadoras, como whatsapp, Facebook o Twitter. Finalmente las operadoras no consiguieron salirse con las suya.

El siguiente episodio de esta guerra que nada tiene que ver con la protección de datos de los clientes fue el alumbramiento de la nueva normativa europea de neutralidad de la red, en la que se persiguió de nuevo desde las operadoras el pago por uso de las redes de datos a las empresas de contenidos.

Telefónica pretende lanzar una app que administre lo que compartimos en Internet

Aparentemente ésta sería una muy buena noticia para los usuarios: contar con una app que nos permita la protección de datos personales y el cobro a las compañías de contenidos por el uso de dicha información. Con ello WhatsApp, Google, Facebook y compañía tendrían que pagar a los usuarios por los datos que utilicen a través de las redes de Telefónica. ¿Les suena? Nuevamente las operadoras pretenden que las compañías de contenidos tengan que pagar por el uso de la red de datos, esta vez de forma indirecta.

La información asociada es muy valiosa para los servicios de Internet, por lo que la intención de Telefónica es que sea el usuario sea quien la controle. Pero hay un gran pero que a nadie se le escapa: la propia Telefónica registrará todos esos datos, algo que no redunda precisamente en la privacidad y en la protección de datos personales, ya que Telefónica sí que dispondrá de toda esa información y, además, de forma gratuita.

Quien controla los datos personales controla el comercio online

Querido lector, por mucho que quieran convencernos, nuestros datos personales se filtran continuamente a Internet y se comercia con ellos. Las normas actuales de protección de datos personales son absolutamente ineficaces dado que no hay un control real de su cumplimiento.

La prueba palpable es esta guerra empresarial por nuestros datos: están ahí, y su uso en marketing digital es fundamental para comercializar productos y servicios a través de Internet.

El problema de fondo: la falta de regulación

WhatsApp o Telegram ofrecen servicios similares a los que posee cualquier teleoperadora (mensajes, llamadas…), por lo que, según múltiples voces, deberían atenerse a las mismas reglas. Sobre todo teniendo en cuenta que la mayor parte de las aplicaciones utiliza el número de teléfono para registrarse, algo que las equipararía al SMS. Sin embargo, estos servicios se consideran servicios de sociedad de la información y no estrictamente de telecomunicaciones, por lo que tienen una legislación aparte, mucho más laxa.

Es una simple cuestión de tiempo que el marco regulador abarque también a las compañías de contenidos, pero es precisamente el tiempo el que juega a su favor.

Las compañías de contenidos fagocitarán a las operadoras

Llegados a un marco regulador común, las compañías de contenidos comenzarán una carrera por adquirir operadoras de telefonía. Pueden, y lo harán, ya que les resulta más barato que empezar desde 0. En este sentido Google ya experimenta a baja escala con crear una red propia de telefonía, con que imaginen.

La clave de por qué sostengo esto está en que las compañías de contenidos son las que realmente aportan valor, las que están consiguiendo enormes plusvalías y las que engordan sus cotizaciones bursátiles. La capitalización bursátil de Telefónica es actualmente de 48.360 millones de euros, siendo la mayor operadora AT&T con una capitalización de 214.310 millones de euros. Por contra la capitalización bursátil de Google asciende a 546.000 millones de dólares, Apple 535.000 millones, y Facebook 308.000 millones. Además la tendencia es de crecimiento, frente a las constantes caídas de las operadoras.

¡Las espadas están en alto!

¿Qué te ha parecido la información?
Comparte esto:

Archivo de denuncia por instalación de videocámaras

Archivo de denuncia por instalación de videocámaras

Hoy en esta sección de protección de datos personales examinamos la resolución R/02634/2009 de la Agencia Española de Protección de Datos, se archiva denuncia contra MONTALUR RESTAURACIÓN, S.L. por instalación de videocámaras en su establecimiento.

Protección de datos archivo de denuncia por instalación de videocámaras

Los hechos

Con fecha de 17 de diciembre de 2008, tiene entrada en la Agencia un escrito remitido por la Policía Municipal de Madrid adjuntando, Acta de Inspección e informe, relativo a la inspección realizada en el establecimiento denominado “Los Cien Montaditos”, sito en la (C/……1), de Madrid. La Policía manifiesta que en el local hay instaladas seis cámaras de video distribuidas por el local, siendo estas fijas y desconociendo si alguna enfoca a la vía pública. Disponen de cartel informativo donde se informa de zona videovigilada y el responsable ante el que ejercitar sus derechos Montalur Restauración S.L. Asimismo dispone de los impresos en los que se detalla la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999. El responsable del establecimiento manifiesta que las imágenes son grabadas en un disco duro y son borradas cada 15 días.

El Responsable del establecimiento declara, en cuanto a la información solicitada de la empresa de seguridad que “No aplica dado que nuestro sistema de vigilancia se ha instalado sin fines de seguridad y por parte de una empresa especializada en instalaciones informáticas”.

Se aportan los contratos de todos los trabajadores del establecimiento en los que se recoge las cláusulas laborales firmadas por cada uno de los trabajadores, conteniendo el consentimiento de cada uno de ellos en cuanto que han sido informados y expresamente consienten la incorporación de sus datos a los ficheros de datos de carácter personal de los que es responsable la empresa, consintiendo, a su vez, de forma inequívoca, la existencia de cámaras dirigidas a las zonas de trabajo, pudiendo el trabajador ejercer los derechos de acceso, rectificación, cancelación y oposición , dirigiéndose por escrito al responsable del fichero. Asimismo, los propios trabajadores reconocen la existencia de dicha cláusula en sus contratos.

Se aporta Certificado de fecha 23 de noviembre de 2009, firmado por el Supervisor del Local, D. A.A.A., en el que manifiesta que ninguna de las cámaras enfoca al público, sino sólo a los trabajadores y que todos los trabajadores al ser contratados fueron informados de la existencia de las cámaras y de la finalidad de las mismas, consintiendo expresamente su uso.

La resolución

La Agencia Española de Protección de Datos Personales resuelve ARCHIVAR a la entidad MONTALUR RESTAURACIÓN, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, a cuenta de denuncia por instalación de videocámaras en su establecimiento.

Por qué se archiva la denuncia

Como pueden ver en el expediente público, la denuncia se archiva al no observarse vulneración de la legislación en materia de protección de datos, por dos motivos fundamentales:

  1. No se obtienen imágenes ni de clientes, ni de transeuntes, únicamente del personal contratado por la empresa.
  2. Los trabajadores, en sus cláusulas contractuales, tienen recogido el hecho de que se les pueda videovigilar para cerciorarse del cumplimiento de las condiciones de dicho contrato.

Publicación realizada bajo licencia Creative Commons

¿Qué te ha parecido la información?
Comparte esto:

Qué supone el nuevo reglamento europeo de protección de datos

Qué supone el nuevo reglamento europeo de protección de datos

Hoy les mostraré someramente qué supone el nuevo reglamento europeo de protección de datos aprobado el pasado 14 de Abril por el Parlamento Europeo.

Qué supone el nuevo reglamento europeo de protección de datos

Las nuevas reglas europeas en materia de protección de información personal recibieron el 14  de abril el visto bueno definitivo del Parlamento Europeo. La reforma pretende devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital. También incluye nuevas normas mínimas sobre el uso de datos para fines judiciales y policiales.

Fomento de la economía digital y derechos de los consumidores

Con este reglamento de protección de datos se consigue un nivel uniforme de protección en toda la Unión Europea, ya que por primera vez hay una norma común a todos los Estados Miembro. Supone un sí claro a los derechos de los consumidores y a la competencia en la era digital, en el que los ciudadanos podrán decidir por sí mismos qué información quieren compartir.

Por otra parte también se ofrece más claridad a las empresas, con una norma única para toda la UE que refuerza la confianza y la seguridad jurídica e impulsa la competencia justa.

Disposiciones más significativas del nuevo reglamento de protección de datos

A continuación se muestran las disposiciones más significativas de este nuevo reglamento europeo de protección de datos:

  • Se garantiza el derecho al “olvido”, mediante la rectificación o supresión de datos personales
  • Se deberá contar con consentimiento claro y afirmativo de la persona concernida al tratamiento de sus datos personales, bien mediante cláusula contractual en contrato de servicios, bien mediante documento de consentimiento para el tratamiento de sus datos.
  • Derecho a trasladar los datos personales a otro proveedor de servicios.
  • Derecho a ser informado si los datos personales han sido pirateados o sustraídos por ciberdelincuentes.
  • Lenguaje claro y comprensible sobre las cláusulas de privacidad.
  • Multas de hasta el 4% de la facturación global de las empresas en caso de infracción.
  • Se introduce la figura del Delegado de Protección de Datos.

Cambios que afectan a las empresas

El nuevo reglamento europeo de protección de datos agilizará considerablemente la carga burocrática, reduciendo los trámites a los que se enfrentan las empresas, sobre todo los autónomos y pymes. Además  unificará las normativas actuales que hay en cada país miembro, lo que mejorará el tráfico transfronterizo de productos y servicios en el Mercado EU.

En función del tipo de datos personales tratados, las obligaciones que deberán acatar las empresas serán proporcionales al riesgo que implica, por su naturaleza, el tratamiento, la cesión a terceros o incluso el peligro que supondría un acceso no autorizado a los mismos. Podemos afirmar que, de esta manera, se pretende reducir o suprimir formalismos burocráticos sobrantes.

Qué es el Delegado de Protección de Datos

El Delegado de Protección de Datos tiene las siguientes funciones:

  • Informar y asesorar a los responsables y encargados del tratamiento de datos personales y a sus empleados de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
  • Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
  • Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
  • Actuar como punto de contacto de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.

El apartado 5 del artículo 35 de la norma determina que el DPO deberá ser nombrado en base a sus “cualidades profesionales y, en particular, su conocimiento” en la materia de la protección de datos, que le capacite para cumplir las tareas que le atribuye el Reglamento. Esas competencias o capacidades acreditadas se obtendrán a través de estudios reglados y oficiales. Queda pendiente que cada Estado Miembro legisle sobre los estudios que facultan para ejercer como DPO

Están obligados a nombrar un Delegado de Protección de Datos:

  • Las Administraciones Públicas, excepto Tribunales.
  • Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
  • Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas (artículo 9) y de datos relativos a condenas e infracciones penales (artículo 10).

No están obligados a tener delegado de Protección de Datos, pero es conveniente:

  • Empresas (normalmente PYMEs) y otras entidades cuya actividad principal NO consista en el tratamiento masivo de datos personales que estén especialmente protegidos o que requieran una observación a gran escala de sus titulares.

infografia reglamento europeo proteccion datos

Publicación realizada bajo licencia Creative Commons

¿Qué te ha parecido la información?
Comparte esto:

Mail Marketing y protección de datos personales

Mail Marketing  y protección de datos personales

Hoy les hablaré del problema del Mail Marketing y las transferencias internacionales de datos, y de cómo podemos vulnerar la legislación en materia de protección de datos personales sin ser conscientes de ello.

Mail Marketing  y protección de datos personales

Sentencia judicial europea

Una reciente sentencia del Tribunal Superior de Justicia de la Unión Europea declara que EEUU no garantiza un nivel adecuado de protección de datos personales.

La Directiva Europea sobre el tratamiento de los datos personales dispone que en principio sólo se pueden transferir dichos datos a un país tercero si éste garantiza un nivel de protección adecuado de dichos datos. También conforme a la Directiva, la Comisión puede declarar que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales.

El Tribunal de Justicia considera que resulta corroborado por dos Comunicaciones de la Comisión que las autoridades estadounidenses podían acceder a los datos personales transferidos a partir de los Estados miembros a ese país y tratarlos de manera incompatible.

Cómo afecta esto al mail marketing: El caso Mailchimp

Hay que tener en cuenta que la dirección de correo electrónico de una persona es un dato personal, y como tal, queda bajo el amparo de la Ley Orgánica de Protección de Datos (LOPD).

Cuando introducimos la direcciones de correo electrónico de los destinatarios en la plataforma de MailChimp®para realizar el envío de los mensajes en una campaña de Mail Marketing, a nivel legal, se está produciendo una transferencia internacional de datos personales, ya que dichos servidores están ubicados en EEUU y estamos registrando en ellos datos personales de ciudadanos españoles (su dirección de mail y otros datos). Con ello estaríamos realizando una transferencia internaciona de datos.

Con la situación actual, una vez invalidado el Acuerdo de Puerto Seguro (al que estaba adherido MailChimp®), dicha transferencia internacional de datos se está produciendo a un país (EEUU) que no proporciona un nivel de protección equiparable a la LOPD, según la Agencia Española de Protección de Datos.

Si una transferencia internacional de datos se va a realizar a un país que no ofrece un nivel de protección equiparable al del país origen es necesario obtener previamente la autorización de la Directora de la Agencia Española de Protección de Datos, o estar en alguna de las excepciones contempladas.

En caso de realizar dicha transferencia internacional de datos sin obtener previamente la mencionada autorización, la misma puede ser calificada como una infracción muy grave, sancionada con una multa de entre 300.001 y 600.000 euros.

Recomendación

Haga que su proveedor de servicios de sociedad de la información le certifique la ubicación geográfica de los servidores que contendrán los datos y por qué países circulará la información. ¡Evítese sobresaltos!

¿Qué te ha parecido la información?
Comparte esto:

Redes sociales y protección de datos personales

Redes sociales y protección de datos personales

Hoy voy a hablarles de cosas a tener en cuenta respecto del uso de redes sociales y protección de datos de carácter personal.

Redes sociales y protección de datos personales

Resolución de la Agencia Española (AEPD)

Para ilustrarles me valdré de una resolución de la AEPDAEPD de 23 de marzo de 2015 relativa a protección de información personal en redes sociales, más concretamente, en Facebook: Un señor interpuso denuncia según la cual “Recibió el día 25 de marzo de 2014 a las 19:02 horas en su línea ***TEL.1 un mensaje comercial en el que figuraba como remitente la línea móvil ***TEL.2 y el texto del mensaje era “Mira mi foto en XXXX.

Legislación en mano, podría tratarse de una comunicación comercial no solicitada ni consentida, constitutiva de una infracción de la normativa de protección de datos, acarreando la correspondiente sanción. Se consideraría SPAM “cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa”. La ley 34/2002, de Servicios de la Sociedad de la Información y del comercio Electrónico prohíbe “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

Ante la denuncia, la Agencia Española de Protección de Datos (AEPD) constata que “en la dirección que consta en el SMS de texto dirige al navegador de internet a la descarga de la aplicación “XXXX” de videollamadas y chat para su uso en terminales con sistemas operativos IOS, Android y Windows Phone”. También que “en el sitio web de la aplicación XXXX se advierte en la política de privacidad que al instalarla se da permiso para acceder a la libreta de direcciones y agenda de contactos, informando que una de las finalidades de la recopilación de esa información es para conectar con sus contactos”. La Agencia concluye que no estamos ante una comunicación comercial enviada por un prestador de servicios de la sociedad de la información, que es lo único que puede considerarse prohibido.

Para que estuviésemos ante un servicio de la sociedad de la información ofrecido por un prestador de servicios, la acción debería constituir una actividad económica para quien remite la comunicación, es decir, debería obtener un beneficio de tipo económico.

En conclusión

En conclusión, tendremos que seguir sufriendo las recomendaciones a juegos online de nuestros contactos en Facebook, pero también deberemos tener cuidado con lo que autorizamos cada vez que instalamos una nueva aplicación en nuestros dispositivos, pues la mayoría de las veces estamos autorizando el uso de nuestro nombre y nuestros datos para realizar determinadas actuaciones que quizá no interesen o incluso molesten a nuestros amigos y contactos.

¿Qué te ha parecido la información?
Comparte esto:

El peligro de las LOPD low cost

El peligro de las LOPD low cost

Hoy les voy a hablar sobre el peligro de las LOPD low cost: trabajos de auditoría LOPD y consultoría de protección de datos personales a precios asombrosamente bajos.

El peligro de las LOPD low cost

Las ofertas LOPD

Como ya sabrán, la LOPD, regula en España el tratamiento de los datos personales, de forma automatizada o manual. Lo dispuesto en dicha ley debe ser cumplido por todas las personas físicas y jurídicas, públicas o privadas, que manejen datos de carácter personal con el fin último de proteger información sensible y salvaguardar el derecho a protección de datos personales de los ciudadanos.

Los riesgos de la auditoría LOPD low cost

Como también sabrán, hay multitud de ofertas en Internet que realizan una supuesta auditoría LOPD por precios irrisorios, de alrededor de 60€, frente a otras ofertas con un coste muy superior. ¿Cuáles son las diferencias? ¿Por qué hay que tener cuidado con las ofertas tan sospechosamente baratas? Ahí van algunas razones:

  • Un fallo en la gestión de la información, un acceso no autorizado, una pérdida de datos por cualquier incidencia, puede hacer tambalear los cimientos de cualquier empresa, de la tipología y sector que sea. Las ofertas low-cost no le ofrecen ningún tipo de garantía de servicio.
  • En una LOPD low-cost no va a encontrar un buen equipo que no sólo haga que cumpla la ley, sino que sea cercano, que sea confiable, que hable su mismo lenguaje y que le tranquilice respecto al cumplimiento de esta norma básica.
  • En una LOPD low-cost no va a encontrarse a consultores especializados. Un consultor es un asesor especializado, un profesional muy cualificado con mucha formación y mucho dinero invertido en ella. Su saber hacer puede convertir una entidad mediocre en una entidad puntera, o una empresa con dificultades en una empresa saneada; aporta ese plus, esa distinción para que esa empresa, da igual su tamaño, forma o color, supere las expectativas de sus clientes, de sus trabajadores, ofreciendo valor añadido.
  • Un trabajo de consultoría LOPD va más allá de dar de alta una serie de ficheros ante la Agencia de Protección de DatosAgencia de Protección de Datos y contar con un documento tipo que el “consultor” low-cost personaliza cambiando la razón social de cada uno de sus clientes.
  • Una LOPD low-cost no le va a aportar mejoras en la manera en que gestionar la información en su entidad porque ni tan siquiera va a examinar la información que maneja.
  • En caso de problema o multa, el “profesional” que le prestó sus servicios desaparecerá del mapa: será usted quien responda por sus fallos.
  • El supuesto profesional que le va a atender en una consultoría LOPD low cost, a buen seguro, no será un profesional colegiado.

Las entidades que confían y valoran un adecuado trabajo profesional invierten no sólo en un cumplimiento normativo, sino en seguridad y en eficiencia, en su continuidad y en su crecimiento. Invierten en valores tan importantes como la confianza y la tranquilidad de saber que siempre va a tener una respuesta de un profesional altamente cualificado, capaz de lidiar con sus problemas e inquietudes por complejos que sean. Esa es la principal diferencia con una LOPD low-cost

¿Qué te ha parecido la información?
Comparte esto:

Organismos públicos no podrán cruzar datos personales

Los organismos públicos no podrán cruzar datos personales sin informar

Los organismos públicos no podrán cruzar datos personales de los ciudadanos sin el pleno conocimiento de los interesados, según establece una sentencia del Tribunal de Justicia Europeo (TJUE). Así se recoge en una novedosa sentencia en el ámbito de la protección de datos personales.

Los organismos públicos no podrán cruzar datos personales sin informar

Sentencia en el asunto C-201/14 Smaranda Bara y otros/Președintele Casei Naționale de Asigurări de Sănătate y otros

El ponente, el magistrado Carl Gustav Fernlund, estima que la Directiva que regula la protección de datos personales establece que todo tratamiento debe ser conforme con los principios relativos a la calidad de los datos y con alguno de los principios sobre la legitimación de su tratamiento.

La Directiva sobre protección de datos personales regula el tratamiento de los datos personales cuando están contenidos o destinados a figurar en un fichero.

La Sra. Smaranda Bara y otros ciudadanos rumanos son trabajadores por cuenta propia. La administración tributaria rumana transmitió sus ingresos declarados a la Caja Nacional del Seguro de Enfermedad, que exigió entonces el pago de atrasos de cotizaciones al régimen del seguro de enfermedad.

Los interesados impugnan ante la Curtea de Apel Cluj (Tribunal de apelación de Cluj, Rumanía) la legalidad de esa transmisión desde el punto de vista de la Directiva. Consideran que sus datos fueron utilizados con fines distintos de aquéllos para los que habían sido inicialmente comunicados a la administración tributaria, sin ser informados de ello previamente.

El Derecho rumano permite a las entidades públicas transmitir datos personales a las cajas de seguro de enfermedad para que éstas puedan determinar la condición de asegurado de los interesados. Estos datos se refieren a la identificación de las personas (nombre, apellido y domicilio), pero no incluyen los relativos a los ingresos obtenidos.

En este contexto, la Curtea de Apel Cluj pregunta, esencialmente, al Tribunal de Justicia si el Derecho de la Unión se opone a que una administración pública de un Estado miembro transmita datos personales a otra administración pública con vistas a su ulterior tratamiento sin que los interesados hayan sido informados de esa transmisión ni de ese tratamiento.

En su sentencia dictada hoy, el Tribunal de Justicia considera que la exigencia de tratamiento leal de los datos personales obliga a una administración pública a informar a los interesados de que sus datos van a ser transmitidos a otra administración pública para su tratamiento por ésta en su calidad de destinataria de los datos. La Directiva exige expresamente que cualquier posible limitación a la obligación de información se adopte mediante medidas legales.

La Ley rumana que prevé la transmisión gratuita de los datos personales a las cajas del seguro de enfermedad no constituye una información previa que pueda dispensar al responsable del tratamiento de su obligación de informar a las personas de quienes recaba los datos. En efecto, dicha Ley no define ni los datos que pueden transmitirse ni las condiciones de la transmisión, que figuran únicamente en un protocolo bilateral celebrado entre la administración tributaria y la caja del seguro de enfermedad.

Por lo que respecta al ulterior tratamiento de los datos transmitidos, la Directiva dispone que su responsable debe comunicar a los interesados su propia identidad, los fines de ese tratamiento y cualquier otra información necesaria para garantizar un tratamiento leal de los datos. Entre esa información adicional se incluyen las categorías de datos de que se trate y la existencia de derechos de acceso y de rectificación.

El Tribunal de Justicia observa que el tratamiento por la Caja Nacional del Seguro de Enfermedad de los datos transmitidos por la administración tributaria implicaba informar a los interesados de los fines de ese tratamiento y de las categorías de datos de que se trataba. En este caso, la Caja del Seguro de Enfermedad no facilitó los mencionados datos.

En conclusión

El Tribunal de Justicia concluye que el Derecho de la Unión se opone a que dos administraciones públicas de un Estado miembro se transmitan y traten datos personales sin que los interesados hayan sido previamente informados de ello.

¿Qué te ha parecido la información?
Comparte esto: