Entradas

Cook elogia a la UE

Según informa el diario “El País”, Tim Cook, actual director ejecutivo de Apple ha elogiado a la Unión Europea por la legislación respecto a la Protección de Datos.

Apple no se ha convertido en la empresa con más valor de la historia gracias al comercio de datos, sino mediante la venta de productos de diseño útiles, aunque también carísimos. Por eso, la protección de la privacidad apenas representa un problema para la compañía.

Sus rivales tecnológicos —Amazon, Facebook y Google— obtienen sus beneficios multimillonarios gracias a la información sobre sus clientes.

Los elogios que llegan desde Silicon Valley son dignos de atención, sobre todo teniendo en cuenta que la jefa de protección de datos de Facebook también se pronunció ante al Parlamento Europeo a favor de una normativa parecida a la de la UE para Estados Unidos.

Las grandes tecnológicas defienden las normas europeas y contradicen el rechazo de su propio Gobierno a la regulación de datos de Bruselas.

El principal argumento es que resulta evidente que Silicon Valley se toma en serio la protección de los consumidores de Internet que la UE va a imponer de ahora en adelante bajo la amenaza de sanciones draconianas.

Hasta ahora, los gigantes tecnológicos habían desplegado libremente su aspiradora de datos por todo el mundo. En los primeros tiempos de la Red, la resistencia en contra era pequeña debido a que los servicios gratuitos ofrecidos parecían de gran utilidad, pero, sobre todo, porque poca gente se daba cuenta del riesgo que ello entrañaba para la esfera privada y, en consecuencia, para las libertades individuales. Las empresas pronto se volvieron tan grandes e importantes que apenas se podía hacer nada contra su poder de influencia, especialmente en su mercado nacional.

La Unión Europea ha dado la vuelta radicalmente a las reglas del juego, y lo ha hecho de tal manera que las consecuencias alcancen a los colosos de Internet. De ello se podrán beneficiar no solo los ciudadanos de la Unión Europea. Dado que el flujo de datos, dinero y mercancías suele rebasar inevitablemente el territorio de la Unión.

Información médica con fines de investigación

Según informa el diario “El País” para investigar sobre dolencias que afectan al 7% de la población el Big data puede ser la respuesta.

La Unión Europea está dando un impulso decidido a la salud digital y a la secuenciación de al menos un millón de genomas, lo que nos permitirá comprender y abordar mejor las enfermedades que tienen una base genética como el cáncer, la diabetes, las cardiovasculares y las raras.

El conocimiento de los mapas genéticos, junto con la combinación y análisis de grandes volúmenes de información recogida por distintas fuentes a escala mundial, supondrá un salto cualitativo en el conocimiento de estas enfermedades.

En un futuro nuestro historial médico estará disponible en cualquier centro sanitario al que acudamos, y los datos clínicos obtenidos en exámenes tradicionales podrán combinarse con otros sobre nuestros hábitos y circunstancias para ayudar a definir tratamientos más personalizados y eficaces.

Pero este nuevo panorama plantea otras cuestiones sobre las que debemos reflexionar, decidir y legislar. La primera de ellas, de quién son los datos. Si a un paciente le hacen una radiografía, es esa persona propietaria de los datos que se obtienen o lo es el hospital público, que, pagado con nuestros impuestos, podría hacer uso de ellos y emplearlos en una investigación que redundaría en beneficio de todos.

Los pacientes suelen ser muy generosos con sus datos cuando se trata de ayudar a la investigación clínica, pero ponen por delante, con razón, la protección de su intimidad.

El paciente debería dar un consentimiento informado para el uso de sus datos, igual al que se requiere para otros servicios menos sensibles que el de la sanidad. Sin embargo, no está claro cuál es el alcance de ese consentimiento, y la pregunta es si se podrían usar en cualquier tipo de investigación, de cualquier enfermedad, en cualquier circunstancia. Probablemente la respuesta sea no, pero tampoco es razonable que se limite tanto el alcance del consentimiento que haga inviables investigaciones futuras.

Dada la sensibilidad máxima de los datos relativos a la salud, es necesario que la intimidad de los pacientes se proteja además con la “anonimización” de los datos, es decir, la eliminación de cualquier dato que permita identificar a la persona.

Los datos son el oro de nuestro tiempo, un negocio gigantesco para quien sabe aprovecharlos. Y así como los sistemas públicos de salud recogen la inmensa mayoría de nuestros datos sanitarios, el sector privado quiere acceder a ellos para llevar a cabo investigación clínica.

Los datos pueden servir para curar si están bien dirigidos, pero pueden convertirse en un arma de doble filo, cuando las aseguradoras no quieran cubrir a determinadas personas por su genética, o que las empresas no quieran contratar por el historial médico de un aspirante a un puesto.

Medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

El pasado viernes 27 de julio fue aprobado en Consejo de Ministros el Real Decreto-ley 5/2018 para adaptar algunos aspectos urgentes del Reglamento Europeo de Protección de Datos (RGPD).

Como hemos venido informando, la normativa española debe adaptarse al nuevo Reglamento Europeo en aquellos preceptos en los que este deje margen o bien en todo aquello que lo contravenga. Para ello se aprobó el pasado 24 de noviembre de 2.017 el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Dicho Proyecto está en fase de enmiendas y aprobación parlamentaria y, mientras llega su aprobación definitiva, se ha hecho necesaria la aprobación de este Decreto-Ley para regular algunas materias que por razones de urgencia no pueden esperar a que el Proyecto de ley esté definitivamente aprobado. De hecho no se espera dicha aprobación definitiva hasta al menos principios del año 2.019.

Por ello, lo primero a tener en cuenta es que el período de vigencia del Decreto-Ley 5/2018 es desde el día siguiente al de su publicación en el BOE, esto es, desde el 31 de julio, y únicamente hasta que se apruebe el Proyecto de Ley, tal y como establece su Disposición final única.
Lo que este Real Decreto viene a regular de manera preventiva y excepcional es la inspección y el régimen sancionador en materia de protección de datos y los procedimientos en caso de una posible vulneración del Reglamento.
Así, se deroga tanto el artículo 40 como el Título VII (a excepción del artículo 46) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Las medidas más importantes contenidas en el Real Decreto son:

• Delimitación de los sujetos responsables de los tratamientos a los que les es aplicable el régimen sancionador
• La determinación de los plazos de prescripción de las infracciones y sanciones previstas en la norma europea
• Peculiaridades de los procedimientos

Del mismo modo, por ejemplo, se indica que “la Agencia Española de Protección de Datos podrá inadmitir una reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:

a) Que no se haya causado perjuicio al afectado.
b) Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.”

Con ello se da continuidad al mecanismo del apercibimiento, contemplado hasta ahora en el artículo 45.6 de la antigua LOPD, y que con bastante frecuencia se estaba aplicando.
Seguiremos atentos a otras novedades normativas y, en especial, al trámite parlamentario de la nueva LOPD.

Whatsapp y Facebook vs Unión Europea

Whatsapp y Facebook vs Unión Europea

Whatsapp y Facebook vs Unión Europea. El conflicto por las nuevos términos de Whatsapp, que permiten compartir información personal con Facebook, sigue más activo que nunca.

En este marco, nos encontramos con que las Autoridades europeas de protección de datos han solicitado mediante carta al consejero delegado y cofundador de WhatsApp, Jan Koum, que la app de mensajería instantánea pare de compartir los datos de sus usuarios con Facebook.

Esta actualización a lo largo de agosto y septiembre de los términos de su servicio y la política de privacidad, introduciendo cambios sobre la forma en la que maneja la información personal de sus usuarios.

El documento enviado por las instituciones europeas cuestiona aspectos de la nueva política de privacidad, como la validez del consentimiento prestado por los usuarios, la eficacia de los mecanismos ofrecidos por la compañía para que estos puedan ejercer sus derechos y los efectos que puede tener sobre aquellos que no usen Facebook.

Las Autoridades europeas de Protección de Datos actuarán y tomarán decisiones en función de la respuesta que ofrezcan WhatsApp y Facebook.

Con ese fin, han solicitado toda la información disponible por ellas, como nombres, números de teléfono, direcciones de correo electrónico o direcciones postales. También quieren saber qué origen tienen los mismos y qué destinatarios reciben la información.

A nivel nacional, encontramos que la Agencia Española de Protección de Datos inició a principios de este mes una investigación de oficio para examinar las comunicaciones de datos personales realizadas entre WhatsApp y Facebook, así como los tratamientos que dicha comunicación genera.

12 Respuestas del nuevo Reglamento General de Protección de Datos

12 Respuestas del nuevo Reglamento General de Protección de Datos

12 Respuestas del nuevo Reglamento General de Protección de Datos.

La agencia ha publicado un artículo explicando con preguntas y respuestas, las principales novedades del nuevo marco normativo a los ciudadanos, ayudando así a las organizaciones a adaptarse a los cambios que incorpora y cumplir así con sus obligaciones.

  1. Si ya ha entrado en vigor el reglamento, ¿se sigue aplicando la actual normativa de protección de datos?

Este nuevo Reglamento ha entrado en vigor el 25 de mayo de 2016 pero su aplicación no llegará hasta mayo de 2018. Hasta esa fecha, todas las normas españolas que regulan esta materia siguen siendo plenamente válidas y aplicables.

  1. ¿Y entonces por qué se ha publicado?

Estos dos años hasta la aplicación del Reglamento están destinados a permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose.

  1. ¿A quién se aplicará este nuevo reglamento?

Se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea. Igualmente se amplía su ámbito de aplicación a responsables y encargados no establecidos en la UE, siempre que estos realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

  1. ¿Para los ciudadanos que significa que el Reglamento amplíe el ámbito de aplicación territorial?

Representa una garantía adicional a los ciudadanos europeos, ya que actualmente, para tratar datos no es necesario mantener una presencia física sobre un territorio. Es por esto que con este cambio se va a permitir que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países.

  1. ¿Y para los ciudadanos se presenta alguna novedad?

Se presentan nuevas figuras para los consumidores, como el derecho al olvido y el derecho a la portabilidad.

El derecho al olvido es el derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, la supresión de sus datos cuando estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.

El derecho a la portabilidad implica poder solicitar la recuperación de los datos personales en un formato que le permita su traslado a otro responsable.

  1. ¿Cambia la edad de consentimiento para el tratamiento de datos?

Si bien el reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales es de 16 años. Sin embargo, permite que cada Estado miembro establezca la suya propia, en España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

  1. ¿Qué implica la responsabilidad activa recogida en el Reglamento?

Este nuevo Reglamento se basa en la prevención por parte de las organizaciones que tratan datos. Las empresas en este caso deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.

Estas medidas que el Reglamento prevé, pueden resumirse en:

– Protección de datos desde el diseño

– Protección de datos por defecto

– Medidas de seguridad

– Mantenimiento de un registro de tratamientos

– Realización de evaluaciones de impacto sobre la protección de datos

– Nombramiento de un delegado de protección de datos

– Notificación de violaciones de la seguridad de los datos

– Promoción de códigos de conducta y esquemas de certificación.

  1. Y con todos estos cambios, ¿no habrá una mayor carga de obligaciones para las empresas?

En muchos de estos casos el cambio será la gestión de la protección de datos, siendo distinta de la que se viene empleando ahora.

Esta distinción se ve clara, ya que muchas de estas son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.

  1. ¿Cambia la forma en la que hay que obtener el consentimiento?

Las novedades que encontramos para poder considerar que el consentimiento es que el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado

Es por ello que las empresas deberían revisar la forma en la que obtienen y registran el consentimiento, ya que algunas prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

  1. Entonces, ¿las empresas revisar sus avisos de privacidad?

Sí. El nuevo Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias.

  1. En qué consiste el sistema de ‘ventanilla única’?

Este es uno de los mayores cambios que presenta la directiva, por lo que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora.

Igualmente, cada Autoridad de protección de datos europea, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas.

  1. ¿Todas las empresas van a tener que a aplicar ya las medidas contempladas en el Reglamento?

Como ya hemos explicado, no, ya que el Reglamento está en vigor, pero no será aplicable hasta 2018.

Bien es cierto, por otra parte que puede resultar interesante para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.