Entradas

La Agencia Española de Protección de datos ha multado Amazon Road Transport Spain, S.L. (“Amazon Road”) con dos millones de Euros al no cumplir el principio de licitud del tratamiento al tratar datos personales relacionados con antecedentes penales.

Amazon Road es parte del grupo Amazon, encargándose de proporcionar distintos servicios de distribución a dicho grupo.

La Unión General de Trabajadores fue la encargada de presentar reclamación ante la AEPD, indicando que Amazon Road estaba solicitando certificado de ausencia de antecedentes penales a candidatos a distintos puestos de trabajo.

¿Supone el solicitar certificado de carencia de antecedentes penales un tratamiento de datos de naturaleza penal regulado por el Reglamento General de Protección de Datos?

La empresa reclamada alegó ante la AEPD lo siguiente : “un certificado de antecedentes penales que ponga de manifiesto que una persona concreta carece de condenas penales no recoge de manera estricta ningún dato relacionado con condenas e infracciones penales”.

Sin embargo la AEPD no está de acuerdo con este argumento al considerar que la información contenida en un certificado de existencia de antecedentes penales o de no existencia de los mismos, así como su solicitud, supone un tratamiento de datos. La información que se está tratando es un dato relativo a condenas penales, estando vinculado con una persona física concreta.

La AEPD multa a Amazon

La AEPD multa a Amazon Road con una sanción de dos millones de Euros por no cumplir con el RGPD, estando en el mismo regulado el tratamiento de los datos personales de naturaleza penal.

Dicho tratamiento de datos de naturaleza penal sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas” (art. 10 del RGPD) o “solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal” (art. 10 de la LOPDGDD). Por ello la AEPD, indicando la no existencia dentro de del derecho de una norma que permita llevar a cabo el tratamiento de datos de antecedentes penales pretendido, concluye que «no cabe, en este caso, acudir a otras bases jurídicas para legitimar el tratamiento de datos personales relativos a condenas e infracciones penales”.

Adapta tu empresa o entidad a la LOPD, abogados expertos.

El segundo martes de cada Febrero se celebra el Día de la Internet segura, siendo el lema de está edición «juntos por una internet mejor». Se trata de un evento internacional   promovido por la red INSAFE/INHOPE, contando con el apoyo de la Comisión Europea, celebrado con el fin de concienciar acerca de la necesidad de dar un uso responsable, respetuoso y seguro de la tecnología, siendo fundamental la toma de conciencia de los riesgos que supone navegar por la red para niños y adolescentes.

En España, el Instituto Nacional de Ciberseguridad (INCIBE), celebra el #DíaDeInternetSegura con distintos eventos y talleres, centrados en la identificación de amenazas y riesgos a la hora de navegar, haciendo especial hincapié en el enorme riesgo que suponen las redes sociales para los menores. Puedes ver la agenda aquí.

Desde Equal, al estar íntimamente relacionada la navegación segura con la protección de datos, nos gustaría compartir un decálogo de buenas prácticas a la hora de usar Internet tanto en nuestra vida personal como profesional :

1. No responda ni haga clic a correos electrónicos de remitentes que no conoce.

2. Las contraseñas de sus dispositivos han de ser cambiadas de forma regular, evitando usar la misma en diversas cuentas o dispositivos.

3. Use contraseñas complejas, con un mínimo de 8 caracteres, conteniendo mayúsculas, minúsculas, números y caracteres especiales.

4. No deje sus redes sociales abiertas en equipos a los que pueda acceder otra persona en su ausencia.

5. A la hora de publicar contenido en redes sociales es fundamental configurar las opciones de privacidad de nuestras cuentas.

6. No compartamos todo lo que recibamos, es preciso analizar y verificar la veracidad de la información antes de difundirla.

7. No acepte en redes sociales a personas que no conoce.

8. Publicar todo lo que hacemos, lugares a los que vamos, es algo a evitar, dicha información puede ser usada por delincuentes.

9. Evite intercambiar material audiovisual íntimo a través de Internet. suponen un riesgo, dichos contenidos posibilitan poder recibir ciberacoso o grooming.

10. Máxima precaución a la hora de tener encuentros con personas que haya conocido en entornos digitales, siempre existe la posibilidad de que sea un perfil falso.

Hablando de riesgos, ¿acaso no es arriesgado no tener adaptada tu empresa o entidad a la LOPD?, las sanciones que impone la AEPD son cuantiosas, por no hablar de la mala imagen que percibirán sus clientes.

Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

En 2006, el Comité de Ministros del Consejo de Europa decidió poner en marcha el Día de la Protección de Datos, que se celebra cada año el 28 de enero.

El Día de la Protección de Datos se celebra a nivel mundial y se llama el «Día de la Privacidad» fuera de Europa. El 28 de enero de 2022 se celebró la 16ª edición del Día de la Protección de Datos, su objetivo es concienciar sobre el derecho a la protección de datos. El Consejo de Europa, iniciador de esta importante celebración, sigue desempeñando un papel de liderazgo fomentando y dando a conocer las iniciativas que se llevan a cabo en esta ocasión.

Este día marca el aniversario de la firma del Convenio 108, el Convenio mundial de protección de datos. Durante más de 40 años, el Convenio 108 ha influido y dado forma a la protección de la privacidad y la protección de datos en Europa y más allá. Su versión modernizada (conocida como Convención 108+) seguirá haciéndolo.

El objetivo principal de este día es educar al público sobre los desafíos de la protección de datos e informar a las personas sobre sus derechos y cómo ejercerlos. En esta perspectiva, el Premio Stefano Rodotà, instituido por el Comité del Convenio 108, premia proyectos de investigación académicos innovadores y originales en el campo de la protección de datos.

Desde Equal Protección de Datos queremos difundir e informar de la importancia que tiene en materia de protección de datos el conocimiento por parte de toda la ciudadanía de los derechos en relación a la protección de datos personales :

Derechos de Acceso, rectificación y supresión

El derecho de acceso está regulado en el artículo 15 de la LOPD y en los artículos 27 al 30 del Real Decreto 1720/2007. Este derecho permite al interesado obtener información sobre sus datos de carácter personal que trata un responsable del fichero, sobre su origen y sobre las comunicaciones de los mismos. El plazo de contestación es de 1 mes, y este puede ser denegado en caso de que se haya ejercido en los 12 meses anteriores, cuando lo prevea la ley o cuando sea solicitado por una persona distinta del afectado.

El derecho de rectificación está regulado en el artículo 16 de la LOPD y en los artículos 31 al 33 del Real Decreto 1720/2007. Este es el derecho del afectado a que se modifiquen los datos que resulten inexactos o incompletos. El plazo de contestación es de 10 días y cabe destacar que si los datos hubieran sido cedidos previamente, el responsable ha de comunicar la rectificación al cesionario en el plazo de 10 días.

El derecho de supresión es muy parecido al de rectificación, tal es así que se encuentra regulado en los mismos artículos que el anterior. Este es el derecho que tiene el afectado a solicitar la supresión de los datos que resulten inadecuados o excesivos.

Podrás ejercitar este derecho ante la persona responsable solicitando la supresión de tus datos de carácter personal cuando concurra alguna de las siguientes circunstancias:

  • Si tus datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo
  • Si se retira el consentimiento prestado a la persona responsable.
  • Si te has opuesto al tratamiento de tus datos personales siempre que se den las siguientes situaciones
    • El tratamiento se basaba en el interés legítimo o en el cumplimiento de una misión de interés público, y no han prevalecido otros motivos para legitimar el tratamiento de tus datos
    • A que tus datos personales sean objeto de mercadotecnia directa, incluyendo la elaboración perfiles.
  • Si tus datos personales han sido tratados ilícitamente
  • Si tus datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique a la persona responsable del tratamiento
  • Si los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (condiciones aplicables al tratamiento de datos de los menores en relación con los servicios de la sociedad de la información).

Además, el RGPD al regular este derecho lo conecta de cierta forma con el denominado “derecho al olvido”, de manera que este derecho de supresión se amplíe de tal forma que la persona responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos.

No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

Derechos de oposición, de limitación al tratamiento y de portabilidad

El derecho de oposición se encuentra regulado en los artículos 35 y 36 del Real Decreto 1720/2007 y consiste en la facultad que posee el titular de los datos para dirigirse al responsable del fichero y requerirle para que deje de tratar sus datos de carácter personal en los siguientes supuestos: cuando se están tratando sus datos personales sin su consentimiento; cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad o prospección comercial, y cuando el tratamiento tenga por finalidad la adopción de una decisión basada únicamente en un tratamiento automatizado de sus datos. El plazo de contestación es de 10 días y decir que el responsable del fichero deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho a oposición.

El derecho de limitación al tratamiento, consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, si bien su ejercicio presenta dos vertientes:

Puedes solicitar la suspensión del tratamiento de tus datos:

  • Cuando impugnes la exactitud de tus datos personales, durante un plazo que permita al responsable su verificación
  • Cuando te hayas opuesto al tratamiento de tus datos personales que el responsable realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si estos motivos prevalecen sobre los tuyos

Solicitar al responsable la conservación tus datos:

  • Cuando el tratamiento sea ilícito y te has opuesto a la supresión de tus datos y en su lugar solicitas la limitación de su uso
  • Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones

El derecho a la portabilidad se crea de cara a reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.

No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.

Derecho a no ser objeto de decisiones individuales automatizadas

El derecho a no ser objeto de decisiones individuales automatizadas pretende garantizar que no seas objeto de una decisión basada únicamente en el tratamiento de tus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte significativamente de forma similar.

Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de tus datos personales que evalúe aspectos personales, en particular analizar o predecir aspectos relacionados con tu rendimiento en el trabajo,  situación económica, salud, las preferencias o intereses personales, fiabilidad o el comportamiento.

No obstante, este derecho no será aplicable cuando:

  • Sea necesario para la celebración o ejecución de un contrato entre tú y el responsable
  • El tratamiento de tus datos se fundamente en tu consentimiento prestado previamente

No obstante, en estos dos primeros supuestos, el responsable debe garantizar tu derecho a obtener la intervención humana, expresar tu punto de vista e impugnar la decisión.

  • Esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado.

A su vez, estas excepciones no se aplicarán sobre las categorías especiales de datos (art.9.1), salvo que se aplique el artículo 9.2.letra a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior.

Derecho de información

Cuando se recaban tus datos de carácter personal, el responsable del tratamiento debe cumplir con el derecho de información.

Para dar cumplimiento a este derecho, la AEPD recomienda que esta información se te facilite por capas o niveles de manera que:

  • Se te facilite una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan tus datos personales.
  • Y, por otra parte, se te remita el resto de las información, en un medio más adecuado para su presentación, compresión y, si se desea, archivo.

La información a facilitar por capas o niveles sería la siguiente:

1.ª Capa: Información básica (resumida)

  • La identidad del responsable del tratamiento
  • Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese
  • La base jurídica del tratamiento
  • Previsión o no de cesiones. Previsión o no de transferencias a terceros países
  • Referencia al ejercicio de derechos

 2.ªCapa:  Información adicional (detallada)

  • Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese).
  • Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada.
  • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo.
  • Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
  • Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la Autoridad de Control.

Datos no obtenidos directamente de ti

En el supuesto en que tus datos personales no hayan sido obtenidos directamente de ti, se te facilitará, además de la información indicada anteriormente:

En la información básica (1ª capa, resumida):

  • la fuente (procedencia) de los datos

Y en la información adicional (2ª capa, detallada):

  • la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público
  • la categoría de datos que se traten

Esta información se te facilitará dentro de un plazo razonable, a más tardar en un mes, salvo que:

  • Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado
  • Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez

Desde Equal Protección de datos nos encargamos de que tu empresa o entidad cumpla con El RGPD y la LOPD, llevando a cabo una adaptación total de tu negocio en materia de protección de datos. Somos Abogados expertos, déjate asesorar y evita sanciones.

Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

La agencia reguladora francesa en materia de protección de datos, la CNIL, ha sancionado a Google y Facebook con multas por un total de 210 millones de euros en relación a la manera en la que facilitan la gestión del consentimiento de instalación de cookies a los usuarios de sus servicios.

El consentimiento para el uso de cookies es clave para la normativa de la UE sobre privacidad de datos y una de las principales prioridades de la CNIL.

El organismo de control ha considerado que tanto Google como Facebook dificultan el rechazo de los usuarios a la instalación de ciertas Cookies, dando un plazo de tres meses a dichas empresas para cumplir la normativa o enfrentarse a sanciones de 100.000 euros por cada día de retraso.

La responsable de protección de datos y sanciones de la CNIL, Karin Kiefer, manifiesta que a la hora de aceptar las cookies el usuario simplemente tiene que hacer click en el botón aceptar, siendo un procedimiento realmente sencillo, sin embargo, rechazar las cookies, cuando debiera ser igual de fácil que aceptarlas, no lo es, ya que es preciso ir revisando categoría por categoría de cookies.

En su comunicado, la Comisión Nacional de Informática y Libertades indicó haber comprobado que, si bien los gigantes tecnológicos ofrecían un botón virtual para permitir la aceptación inmediata de las cookies, no había un equivalente para rechazarlas con la misma facilidad.

Google, que ha sido multado con 150 millones de euros, se ha comprometido a trabajar activamente con la CNIL de cara a realizar los cambios pertinentes para simplificar el proceso de denegación de instalación de cookies, poniendo de manifiesto que «la gente confía en nosotros para que respetemos su derecho a la privacidad y los mantengamos seguros. Entendemos nuestra responsabilidad de proteger esa confianza»

Por su parte Facebook, ahora propiedad de Meta, y sancionada con 60 millones de Euros, dijo estar «revisando» la decisión de multarle con 60 millones de euros. Indicando que :»Nuestros controles de consentimiento de cookies proporcionan a las personas un mayor control sobre sus datos, incluyendo un nuevo menú de configuración en Facebook e Instagram, donde las personas pueden revisar y gestionar sus decisiones en cualquier momento, y seguimos desarrollando y mejorando estos controles»

Multas anteriores

Las cookies son muy valiosas para Google y Facebook como forma de personalizar la publicidad, siendo su principal fuente de ingresos.

Desde que la UE aprobó el RGPD en 2018, las empresas de internet se enfrentan a normas más estrictas que les obligan a buscar el consentimiento directo de los usuarios antes de instalar cookies en sus ordenadores.

No es la primera vez que Google, propiedad de Alphabet, recibe fuertes multas por incumplir la ley europea, ya fue objeto de la anterior multa récord de la CNIL, de 100 millones de euros, en 2020.

El gigante estadounidense de la venta al por menor, Amazon, también fue multado con 35 millones de euros por infringir las normas.

En 2020, la CNIL reforzó los derechos de consentimiento sobre los rastreadores de publicidad, indicando que los sitios web que operan en Francia deben mantener un registro de la negativa de los usuarios de Internet a aceptar cookies durante al menos seis meses. También señaló que los usuarios de Internet deberían poder reconsiderar fácilmente cualquier acuerdo inicial sobre las cookies a través de un enlace web o un icono que debería ser visible en todas las páginas del sitio web.

La situación en España

La AEPD, organismo controlador en materia de protección de datos en España, en Julio del 2020, actualizó y puso a disposición de empresas, ciudadanos y profesionales, la guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos. Dando un plazo de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento de instalación de cookies.

Un año y medio después, las empresas cuyas webs están adaptadas al RGPD en materia de gestión del consentimiento informado de instalación de cookies, son una minoría.En el caso de páginas propiedad de PYMES y autónomos la práctica totalidad no están adaptadas al RGPD y la LOPD, apreciándose irregularidades tales como, el uso del consentimiento tácito, la redacción de una política de cookies incompleta o la configuración errónea del modelo de capas.

Desde Equal, de cara a evitar sanciones y cumplir con el RGPD, siempre recomendamos asegurarnos de que nuestra web está adaptada a la norma, ofreciendo dentro de nuestros servicios de adaptación a la LOPD, la revisión gratuita del estado de gestión del consentimiento de instalación de cookies.

Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

Según información del diario económico “Cinco Días”, la Comisión de Justicia del Congreso, y posteriormente el Pleno de 18 de octubre, han aprobado los pertinentes trámites del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los derechos digitales.

La negociación no ha sido precisamente sencilla y ha obligado a encajar muchas sensibilidades. Los expertos exigían la simplificación de un Proyecto ciertamente complejo en origen. Las autoridades autonómicas demandaban el respeto de su marco competencial y el diseño de un modelo coordinado y armónico.

El proceso de información pública y el trámite de enmiendas pusieron de manifiesto los problemas e inconsistencias que acompañan a todo Proyecto de Ley. Y para introducir complejidad en la ecuación, se ha abordado la inserción de un título dedicado a la garantía de los derechos digitales.

Por otra parte, se ha modificado profundamente el Estatuto de la Agencia Española de Protección de Datos apostando por un modelo de comisionado parlamentario. La presidencia será propuesta por el Gobierno y ratificada por el Congreso atendiendo a criterios de mérito y capacidad y acompañada por un adjunto escogido de igual modo. El esfuerzo ha sido sin duda ímprobo y el resultado meritorio.

El impacto en nuestro Derecho y economía de esta norma, es muy importante, estamos asistiendo al nacimiento de un conjunto de normas que deberían ayudarnos a introducirnos en el proceso de la transformación digital.

No sólo se trata de tener en cuenta el Reglamento General de Protección de Datos, la LOPD, o la Ley de seguridad de las redes y sistemas de información. Debemos estar muy atentos a la gestación de los reglamentos e-Privacy y e-evidence, a la revisión de la Directiva sobre reutilización de datos del sector público, o a una posible nueva norma sobre uso de datos.

Pueden destacarse aspectos muy significativos de la nueva LOPD: videovigilancia, relaciones laborales y controles empresariales, sistemas de denuncias internas, ampliación de los supuestos de nombramiento de un delegado de protección de datos, mantenimiento de los ficheros Robinson y del deber de bloqueo, clarificación del régimen sancionador, desconexión digital, derechos de los menores, entre otros.

Pero sin duda, existe un elemento nuclear que afecta al conjunto de la norma: nuestra privacidad.

En España la garantía del derecho fundamental a la protección de datos y el compromiso de los poderes públicos en dotar de relevancia y protección a este derecho se mantiene y profundiza. Ello implica que tanto el sector público, como el privado, deben rediseñar sus procesos pensando en privacidad.

El futuro de la transformación digital implica un compromiso compartido en el diseño de la privacidad que implique a los sectores y se oriente a la definición de objetivos viables para los derechos y para la digitalización.

Según informa el diario económico “Cinco Días”, las autoridades públicas podrán acceder a datos personales en el marco de una investigación de un delito que no tenga especial gravedad, si dicha injerencia no resulta grave.

El Tribunal de Justicia de la Unión Europea, en respuesta a una cuestión sobre la aplicación de  la Directiva sobre la privacidad y las comunicaciones electrónicas, ha indicado que el acceso de las autoridades públicas a datos personales almacenados por los proveedores de servicios de comunicaciones electrónicas en el marco de una investigación de un delito que no tenga una especial gravedad, se puede hacer.

El Tribunal reconoce que el acceso a datos que permitan identificar a los titulares de las tarjetas SIM activadas con un teléfono móvil sustraído, sus nombres, apellidos e incluso sus direcciones, constituye una injerencia en sus derechos fundamentales a la vida privada y a la protección de datos, consagrados en la Carta. Sin embargo, considera que dicho acceso no resulta tan grave como para que deba limitarse a la lucha contra la delincuencia grave.

De este modo, el Tribunal Europeo responde a la cuestión planteada por la Audiencia Provincial de Tarragona respecto a la adopción de la decisión del juez instructor, en virtud de las alternativas dadas por la legislación española, para determinar el nivel de gravedad de un delito respecto del cual se autoriza la conservación y la cesión de los datos personales.

El caso que propició la respuesta del Tribuna europeo, fue a raíz de la investigación de un robo con violencia de una cartera y un teléfono móvil, para la cual la Policía Judicial solicitó al Juzgado de Instrucción que le concediera acceso a los datos personales o de filiación de los usuarios de los números de teléfono activados desde el teléfono sustraído durante un período de doce días desde la fecha del robo.

La sentencia europea señala que la Directiva sobre la privacidad y las comunicaciones electrónicas enumera objetivos que pueden justificar una norma nacional que regule el acceso de las autoridades públicas a estos datos y establezca de ese modo una excepción al principio de confidencialidad de las comunicaciones electrónicas. El Tribunal de Justicia observa que la Directiva no limita el objetivo de la prevención, investigación, descubrimiento y persecución de delitos a la lucha contra los delitos graves, sino que se refiere a los delitos en general.

En otra sentencia, se referían solo a delitos graves, pero se ha aclarado, que en ese caso era porque afectaba a los derechos fundamentales.

Por tanto, conforme al principio de proporcionalidad, una injerencia grave sólo puede estar justificada en este ámbito por el objetivo de luchar contra la delincuencia que a su vez también deba calificarse de grave. En cambio, cuando la injerencia no es grave, dicho acceso puede estar justificado por el objetivo de prevenir, investigar, descubrir y perseguir delitos en general.

Según informa “El País”, el Tribunal Constitucional se ha pronunciado por primera vez sobre el derecho al olvido digital. Y lo ha hecho para extender este derecho a las hemerotecas de los periódicos.

El Constitucional rechaza que los medios de comunicación tengan que eliminar de sus informaciones antiguas los datos personales de ciudadanos que estuvieran implicados en hechos pasados que ahora les puedan perjudicar, pero sí obliga a los medios a eliminar de sus buscadores internos la posibilidad de encontrar esas informaciones a partir del nombre y apellido del afectado.

La sentencia del Constitucional hace referencia a una información publicada en EL PAÍS en 1985 y que, como todas las noticias del diario, puede consultarse en internet gracias a la digitalización de la hemeroteca. La noticia en cuestión hablaba de dos detenidos por tráfico de drogas y se detallaban las circunstancias de la detención, su ingreso en prisión y datos personales. Más de 20 años después, en 2009, cuando los protagonistas de la información ya habían cumplido condena por contrabando y tenían cancelados los antecedentes penales, comprobaron que al introducir su nombre y apellidos en Google o Yahoo el enlace a la hemeroteca digital que contenía la noticia aparecía entre los primeros resultados de la búsqueda.

El derecho al olvido, reconocido en una sentencia del Tribunal de Justicia de la UE de 2014, permite impedir la difusión de información personal a través de Internet. Incluye el derecho a limitar la difusión indiscriminada de datos personales cuando ya no tiene relevancia ni interés público y pueden lesionar los derechos de las personas, aunque la publicación original sea legítima. En el caso de los buscadores de Internet, supone limitar la difusión de enlaces cuando carezca de justificación y dañe al afectado.

Los afectados exigieron en los tribunales que el periódico eliminara de su hemeroteca digital sus nombres y apellidos y adoptara medidas para que la página web de la noticia no apareciera en los motores de búsqueda de Internet de empresas como Google pero tampoco en el buscador interno del diario. Un juzgado de Barcelona y la Audiencia Provincial habían accedido a sus peticiones, pero el Supremo estimó en octubre de 2015 parcialmente el recurso presentado por el periódico y rechazó que EL PAÍS tuviera que alterar el archivo para eliminar de la información los nombres y apellidos de los afectados y restringir la búsqueda en su buscador.

Los protagonistas de la información acudieron al Constitucional, que ahora les ha dado en parte la razón. La sentencia dictada por la Sala Primera y cuya ponente ha sido la magistrada María Luisa Balaguer, mantiene que el diario no tiene que borrar de su hemeroteca los datos personales de los implicados, pero sí eliminar la posibilidad de llegar a esa información introduciendo sus nombres y apellidos en el buscador de EL PAÍS.

El Constitucional admite que la libertad de información constituye “no solo un derecho fundamental de cada persona sino también una garantía de la formación y existencia de una opinión pública libre y plural”. Pero añade que este derecho no es absoluto, sino que debe ser modulado por dos elementos: el valor del paso del tiempo a la hora de calibrar el impacto de la difusión de una noticia sobre el derecho a la intimidad del afectado y la importancia de la digitalización de las noticias para facilitar el acceso a la información de todos los usuarios de Internet.

Según informa el diario El País, la nueva normativa sobre protección de datos es obligatoria en toda la Unión Europea.

El Reglamento General de Protección de Datos (RGPD) exige a las empresas y organismos que estén en contacto con datos personales, bajo amenaza de cuantiosas sanciones, que recaben tu consentimiento expreso para seguir conservando esta información y poder utilizar los datos personales. Además, si van a hacer uso de los datos de sus clientes, deben conseguir la conformidad por cada una de las acciones para las que los utilicen.

Por este motivo, y más allá de la molestia que pueda suponer gestionar tal cantidad de mensajes, es fundamental conocer los nuevos derechos otorga el RGPD.

La nueva normativa obliga a las empresas a recabar tu consentimiento expreso para guardar tus datos, y a informarte, con un lenguaje claro y sencillo, de para qué fines se utilizarán, el fundamento jurídico para el tratamiento, y si serán transferidos fuera de la UE.

Además, las empresas tienen que informarte de durante cuánto tiempo se conservarán tus datos, con quién se compartirán y tus derechos fundamentales de protección de datos, cómo presentar una reclamación, cómo retirar tu consentimiento y los datos de contacto de la organización responsable del tratamiento y de su delegado de protección de datos, en caso de haberlo.

Las empresas necesitan recabar nuestro consentimiento expreso para mantener nuestros datos y así poder seguir utilizándolos, el poder del ciudadano es el de decidir quién puede disponer de ellos y para qué. Si decides no renovar tu consentimiento, las compañías deben eliminar tus datos personales de sus bases de datos y, por supuesto, no utilizarlos.

Hay que comprobar que en el mail o mensaje que recibes se explica claramente qué tipo de datos se guardan y para qué fines específicos se utilizarán. No te pueden pedir una autorización general, y tampoco solicitarla a través de formularios con casillas pre marcadas.

Al facilitar datos personales a las compañías, estas deben informarte y recabar tu autorización sobre las posibles transferencias de información a países fuera del Espacio Económico Europeo o que no ofrecen un nivel de seguridad equivalente al español.

Una vez finalizada la relación contractual, y debido a distintas exigencias legales (como la conservación de las facturas) las compañías pueden mantener los datos de sus antiguos clientes, pero siempre informando del plazo máximo.

Tienes derecho a solicitar el acceso a los datos personales que la compañía tenga sobre tí y a obtener una copia en un formato accesible.

Hay que aclarar que un dato personal es cualquier información, referida a una persona física, que permita identificarte o hacerte identificable. Hay datos que solo son personales si van asociados a un nombre o al DNI, como, por ejemplo, la edad. Una fotografía, al ser la imagen de una persona, es un dato personal. No son datos personales los profesionales, como, por ejemplo, el NIF de un autónomo.

Permite al interesado exigir la corrección de datos inexactos o a completar los datos personales incompletos.

El responsable asignado, tiene la obligación de rectificar o completar los datos y de comunicar esta rectificación a los responsables del tratamiento a los que se hubiera comunicado esta información personal.

Permite al interesado pedir la supresión de sus datos personales si considera que ya no son relevantes, son erróneos o fueron obtenidos de manera ilícita. Si han sido publicados en un entorno electrónico, puede pedir que se supriman los enlaces, copias o réplicas de los mismos.

Existen unos supuestos especiales en los que no podrás ejercer tu derecho al olvido, específicamente, cuando prevalezca el derecho a la libertad de expresión e información.

Según informa el diario “El País” Cambridge Analytica obvió el derecho a la intimidad de 50 millones de Estadounidenses y ha sido acusada de romper todos los moldes, incluidos los legales, mezclando política, espionaje y manipulación informativa.

La intimidad de 50 millones de usuarios de Facebook ha sido supuestamente violada y sus datos personales usados sin su consentimiento para la campaña electoral de Donald Trump, algo que ocurrió hace dos años. Sin embargo los afectados aún no han sido informados y posiblemente ni siquiera han sido identificados por la empresa de Mark Zuckerberg.

Washington, Londres y Bruselas han exigido explicaciones y en el horizonte ha emergido la sombra de Cambridge Analytica, una compañía que durante años fue considerada el gran prodigio de la alquimia electoral y que ahora, tras una investigación The New York Times y The Observer, amenaza con desintegrar a todo el que se le acercó.

Desde el caído consejero de Seguridad Nacional, Michael Flynn, hasta el ex estratega jefe de Trump, Steve Bannon, y el yerno presidencial, Jared Kushner, todos tuvieron trato con Cambridge Analytica y todos se mantienen estos días un paso atrás.

La compañía fue creada en 2013 para participar en la política estadounidense. Su principal inversor (15 millones de dólares) fue el multimillonario Robert Mercer, gran padrino de Steve Bannon, de su portal Breitbart y de las corrientes oscuras de la nueva ultraderecha americana. El objetivo de Mercer era emplear en la liza electoral las asombrosas técnicas psicográficas anunciadas por la empresa. Un método casi orwelliano sobre cuya verdadera eficacia hay dudas, pero que pronto obnubiló al entorno de Trump.

La pequeña firma, liderada por Alexander Nix, está especializada en recoger datos online y crear con ellos perfiles de los votantes. Fichas que sirven de diana a la publicidad electoral. Si conoces la personalidad del elector, puedes ajustar mucho más tus mensajes y multiplicar el impacto, ha señalado Nix. La prioridad, bajo esta premisa, no radica ya en la edad, sexo o raza del votante, sino en las tendencias emocionales. Conociéndolas, se puede influir en ellas. Esa es la mercancía que vende Cambridge Analytica.

El modelo, como ha analizado el portal Vox, fue desarrollado por el investigador de la Universidad de Cambridge Michael Kosinski y, a grandes rasgos, surge de conectar los likes de un usuario en Facebook con un test de personalidad (OCEAN) que mide si un individuo es abierto a la experiencia, meticuloso, extrovertido, amable u obsesivo.

Este retrato, unido a la información de acceso libre que flota en el universo digital sobre el usuario (compras, hábitos, viajes…), sirve para configurar el llamado perfil psicográfico. Un instrumento pretendidamente revolucionario que, a juicio de sus autores, permite prever la tendencia de voto.

Los republicanos contrataron los servicios de Cambridge Analytica durante las legislativas de 2014 en Arkansas, Carolina del Norte y New Hampshire. El éxito sonrió y, en las primarias para las presidenciales, la compañía pasó a trabajar para los conservadores Ted Cruz y Ben Carson.

Derrotados estos candidatos, la empresa no tuvo empacho en ponerse al servicio del emergente Trump. La contratación la formalizó su yerno, Jared Kushner.

El anteproyecto de la LOPD con el que se pretende adaptar la nueva legislación europea derivada del nuevo Reglamento a nuestro ordenamiento jurídico se incluye la modificación respecto al tratamiento de los datos de personas fallecidas.

En este momento un gran número de personas comienza a tener ciertas nociones sobre la LOPD, que asegura una protección de nuestros datos personales, si bien todavía hay mucho desconocimiento sobre su uso y destino, o cómo evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados, siendo necesario contar con el asesoramiento legal de profesionales del Derecho en muchos casos para poder ejercer efectivamente los derechos que en el ámbito de la protección de datos nos corresponde.

 ¿Cómo se pueden ejercer en este caso los derechos de la persona ausente?

La pregunta surge cuándo “no estamos”, es decir, cuando la persona interesada ha fallecido. Con la regulación actual se hacía complicado, ya que los derechos derivados de la LOPD son personalísimos, por lo que con frecuencia hemos visto determinadas trabas para que estos fueran ejercidos por personas distintas, al no poder ser ejercidos, lógicamente, por el propio interesado.

El anteproyecto de la nueva LOPD, en el mencionado artículo 3, permite que los herederos que acrediten tal condición puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro.

También se posibilita el ejercicio de estos derechos al albacea testamentario o a la persona o institución a la que el fallecido hubiera concedido expresamente esta facultad. Los requisitos y condiciones para la validez de este mandato se establecerán por real decreto, el año que viene.

En caso de que el fallecido sea un menor o incapaz sujeto a medidas de apoyo, los derechos de acceso, rectificación o supresión pueden ejercerse también por el Ministerio Fiscal.

Al margen de esto, que supone un avance, la gran problemática que nos encontramos en este tiempo es qué sucede con los perfiles y los datos personales de las personas fallecidas en las redes sociales.

Según un estudio realizado por la Universidad de Massachusetts revela que para el año 2098 la popular red social tendrá más usuarios muertos que vivos (https://mundohispanico.com/noticias/que-hace-facebook-con-los-perfiles-de-personas-fallecidas ).

En el caso de Facebook, se permite establecer un contacto de legado, el cual será la persona elegida por el propio usuario para administrar su cuenta en el caso de que se produzca el fallecimiento de su titular. (http://www.eleconomista.es/tecnologia/noticias/7417719/03/16/Facebook-tendra-mas-usuarios-fallecidos-que-vivos-en-el-ano-2098.html )

La cuenta pasará a ser conmemorativa y “el contacto de legado” podrá elegir entre las siguientes opciones:

Establecer una publicación para el perfil, como por ejemplo, compartir un último mensaje en nombre del usuario o facilitar información acerca del funeral, contestar a “peticiones de amistad” y sustituir y actualizar la foto de perfil y de portada.

El “contacto de legado” puede descargar también, una copia de todas las cosas compartidas por el usuario. Así mismo, Facebook específica aquello que el contacto de legado puede y no puede hacer:

– No puede entrar en la cuenta antes de que se produzca el fallecimiento.

– Borrar o modificar publicaciones o cosas compartidas por el usuario en su biografía.

– Borrar personas del listado de amigos.

– Para preservar el derecho al olvido de los usuarios, también permite que el usuario indique para el caso de su fallecimiento si prefiere que su cuenta pase a ser conmemorativa o se elimine de manera permanente.

Para dejar un heredero en Facebook, vaya a la configuración de su cuenta, seleccione la opción seguridad y luego “Legado de contacto”. Escriba el nombre del heredero de su cuenta y listo, esta persona podrá no solo crear un perfil en su honor cuando usted muera, sino también tendrá acceso a toda su información, que no incluyen sus mensajes privados.

En el caso de Twitter, para la eliminación de una cuenta de una persona fallecida, se exige que se pongan en contacto con la misma, una persona autorizada o un familiar cercano a la persona fallecida.

El procedimiento a seguir sería enviar un correo electrónico con ciertos datos, como el certificado de defunción para evitar denuncias falsas o no autorizadas.

También se permite que los familiares más cercanos puedan solicitar el borrado de contenidos como imágenes o vídeos donde el usuario fallecido aparezca.

Si bien el borrado de este contenido solamente se llevaría a cabo en el caso de que no fuera de interés para el resto de usuarios. Como ejemplo de contenido de interés, sería que el usuario apareciese en una noticia, en este caso, Twitter no procedería a su eliminación.

Los herederos no podrán ejercer el derecho de acceso, rectificación o supresión cuando el fallecido lo hubiera prohibido expresamente o así se indique en una ley.

En LinkedIn señalan que darán dicha información de acuerdo a la ley o si hay algún requerimiento muy importante de carácter legal. En Google señalan que «en raros casos podrán dar información de la cuenta a un representante autorizado». (http://www.abc.es/tecnologia/redes/20140702/abci-sucede-cuentas-redes-muertes-201407012051.html )

Aunque también puede ocurrir que queramos lo contrario, de hecho ya existen servicios, que ofrecen la posibilidad de mantener con vida las redes cuando ya haya fallecido la persona. Con base en un análisis algorítmico de tus actualizaciones y conductas en las redes, ofrecen mantener tus perfiles actualizándose como si tú mismo lo estuvieras haciendo y así proveerte de una supuesta inmortalidad, al menos digital.  (http://pijamasurf.com/2016/03/facebook-como-cementerio-digital-cuantos-perfiles-activos-de-personas-fallecidas-hay/ )

 

 

Mujer demanda a hotel para descubrir identidad de su amante.

Mujer demanda a un hotel para descubrir la identidad de su amante.

Las infidelidades nos traen, en numerosas ocasiones circunstancias de lo más curiosas. En esta ocasión nos encontramos con un proceso judicial iniciado contra un hotel para averiguar la identidad del amante.

El caso se basa en la denuncia de una mujer ante un tribunal alemán al hotel en el que se alojó hace varios años con un amante, después de que el establecimiento se negara a facilitarle la identidad y los datos personales del hombre.

Según la sentencia del tribunal, la mujer,  se alojó con su acompañante masculino entre el 4 y el 7 de junio de 2010 en una habitación en la segunda planta de un hotel de su ciudad. El 14 de marzo de 2011, dio a luz a un niño al que llamó Joel y cuyo padre sospecha que podría ser el hombre con el que había compartido habitación nueve meses antes en el hotel, del que sólo conoce su supuesto nombre de pila, Michael.

La mujer, con la intención de reclamar al posible padre de su hijo el pago de la manutención correspondiente, solicitó al hotel que le facilitara el nombre completo y la dirección de su acompañante.

Ley de Protección de datos

La denuncia se basa en que la Ley de Protección de Datos le daba derecho a conocer esa información, mientras que el hotel sostenía que no tenía obligación de facilitar información personal de sus huéspedes.

Igualmente, el caso resulta curioso, ya que en el período en el que la mujer se alojó con su acompañante en el hotel había cuatro personas registradas con el nombre de Michael y la mujer no fue capaz de identificarlo de manera inequívoca.

La demanda contra la cadena hotelera, se interpuso en Múnich, ante el Tribunal de primera instancia de esa ciudad, pero el juez que instruyó el caso la rechazó. Según su argumentación, «el derecho a la privacidad y a la protección del matrimonio y de la familia de los hombres afectados prima» sobre el derecho a la protección de la familia y el derecho a la manutención de la demandante.


“Este derecho se vería afectado al facilitar los datos, pues se pondrían de manifiesto de manera irrefutable la posibilidad de una relación sexual con la demandante, que fue madre de un niño”.


Igualmente, el afectado, tiene el derecho “al respeto de su esfera privada e íntima” que protege, entre otras, la obligación de tener que revelar sus relaciones sexuales, subraya el tribunal en su comunicado. “Este derecho se vería afectado al facilitar los datos, pues se pondrían de manifiesto de manera irrefutable la posibilidad de una relación sexual con la demandante, que fue madre de un niño”.

La sentencia agrega que «la demandante es incapaz de presentar detalles adicionales» que permitan identificar a la persona que estaría obligada a pagar la manutención del niño y desconoce, además, si el nombre que le dio el hombre es el real.

 

Peligros de colgar fotos en internet.

Equal, siempre ha defendido un uso responsable de los datos personales y las fotos en internet.  Aquí vemos una reflexión de la Universidad Abierta de Cataluña sobre este tema que nos puede hacer pensar.

La profesora de Derecho y Ciencia Política de la UOC, Mónica Vilasau ha dicho:


“Poca gente lee las condiciones de uso que imponen las redes sociales para poder tener acceso al servicio porque suelen ser textos largos y pesados y tenemos tendencia a aceptar las condiciones sin mirarlas mucho o nada”


La simple acción de leer las condiciones de las redes sociales, es algo muy básico, que puede evitarnos muchos sobresaltos y dudas sobre nuestros datos.

El informe sobre el uso de redes sociales de la agencia de estudios IAB de 2016, destaca que en España ocho de cada diez internautas de entre 16 y 55 años usan las redes sociales.

Un punto clave que destacan los expertos, es que hay que distinguir si los lugares en los que compartimos datos, permiten cierto control  o en cambio son espacios totalmente abiertos, como una web, Twitter o Instagram, en la que lo que se comparte es público y se puede hacer viral más rápidamente.

Propiedad intelectual en redes sociales


De las fotos personales publicadas en internet, se informa que “en las condiciones de uso, lo que hacen estas plataformas es obtener a su favor una licencia de todos los derechos de propiedad intelectual de todos los contenidos que colgamos, si no hubiera esta cesión de derechos, la herramienta no podría funcionar”.


Cada vez que alguien hacen un retuit, un comentario o comparte un apunte, «hace un acto de explotación y, por tanto, si Facebook no tuviera nuestra autorización, no se podrían hacer estas acciones y el sistema no funcionaría como red social”.

“A efectos de propiedad intelectual, compartir comporta dos actos de explotación: la reproducción y la comunicación pública; y, por tanto, si no cedes al menos estos dos derechos, la red no funciona”.

Los propietarios de estas redes sociales, hacen negocio con nuestros datos, éstas no funcionarían si no fuese por el tráfico de datos personales que permiten vender nuestros datos como manera de financiación.

La problemática de internet, es que resulta muy complejo analizar el flujo de datos. Las redes sociales viven de esto, y aunque en muchas ocasiones han salido informaciones sobre posible cesiones ilegales o vulneraciones de seguridad, hay que tener en cuenta que controlarlo resulta complejo.

Desde Equal insistimos en la necesidad de conocer las aplicaciones, sitios o redes sociales donde compartimos nuestra información. Conocer qué sucede con nuestros datos y cómo se puede modificar nuestra privacidad es un punto muy importante que como ya hemos dicho nos aliviará muchos dolores de cabeza.

 

Adaptación LOPD para empresas y autónomos - Información GRATIS