Jueves, 19 Febrero 2015 17:25

El uso de cookies en Europa

Cookie: pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario. Dentro de sus funciones las principales son: llevar el control de usuarios del sitio web, así como conseguir información sobre los hábitos de navegación del usuario.

Esta misma semana, la Agencia Española de Protección de Datos (en adelante AEPD) hacía públicos los resultados del primer análisis coordinado, con otras Autoridades europeas, sobre el uso de cookies en Europa.

El objetivo del estudio era analizar las páginas webs más visitadas por los ciudadanos europeos, con el fin de obtener una visión internacional y global sobre las condiciones en las que se instalan las cookies en los ordenadores de los usuarios. Siempre fomentando el cumplimiento de la protección de datos, así como el máximo respeto a la privacidad de los datos de carácter personal por parte de los responsables, todo ello con una clara orientación hacia la concienciación por parte de los usuarios. 

Siete Autoridades competentes en privacidad y telecomunicaciones: Dinamarca, Eslovenia, Francia, Grecia, Países Bajos, Reino Unido y República Checa, junto con la AEPD han examinado un total de 478 sitios webs, seleccionados de entre las 250 páginas webs más visitadas en cada uno de los países. Todas ellas pertenecían  básicamente a tres sectores, en concreto: comercio electrónico, medios de comunicación y servicios públicos. 

Hace escasos días se hablaba en los medios de que “las autoridades europeas de protección de datos se ponen duros con Facebook sobre su nueva política de privacidad”. Según publicó el diario The Register, el Grupo de Trabajo del Artículo 29 ha creado un grupo de trabajo especial para investigar los nuevos términos y condiciones de privacidad de datos de la red social.

A las autoridades europeas de protección de datos les preocupa que la unión de muchos servicios diferentes ofrecidos por Facebook puedan violar las leyes de privacidad de la UE.

Así anunciaba Facebook, a finales de 2014, la modificación de su política de privacidad: “A partir del 30.01.2015, al utilizar nuestros servicios, estarás aceptando nuestras condiciones, nuestra política de datos y nuestra política sobre cookies actualizadas; también estarás mostrando tu acuerdo con que te mostremos anuncios mejorados basados en las aplicaciones y los sitios que utilices”.

Adelantamos, que las modificaciones introducidas por la red social, no afectarán a las restricciones de privacidad que los usuarios tengamos ya configuradas, es decir, que según Facebook, seguimos siendo propietarios del contenido e información que publicamos en la red y podemos controlar cómo compartimos la misma a través de la configuración nuestra privacidad.

¿Cuáles han sido entonces los cambios fundamentales? Los principales cambios de la “normativa “de Facebook afectan sobre todo:

La semana pasada se confirmaba que el gigante Google, modificará su política de privacidad para garantizar el derecho a la protección de datos de los ciudadanos europeos.

La decisión de Google viene motivada tras las investigaciones realizadas por el ICO, (Information Commissioner's Office), órgano regulador que vela por el derecho a la información y la privacidad de los ciudadanos del Reino Unido.

Google ha adquirido un compromiso, en firme, y así lo ha formalizado por escrito ante el ICO, para que la futura política de privacidad del gigante prevista para el 30 de junio de este mismo año, se ajuste a las exigencias del órgano regulador.

Como el propio Steve Eckersley, Responsable de Cumplimiento en el ICO ha manifestado: "este compromiso llega tras varios años de investigación y un extenso diálogo". Conversaciones que comenzaron allá por el 2012, cuando Google a pesar de ya haber realizado cambios en su política de privacidad, muchos organismos europeos se quejaron de que la misma seguía sin ser del todo clara, en especial con respecto a el desarrollo de nuevos servicios y la potencial cesión de datos a través de los servicios.

Destacamos algunos de los aspectos que se recogen en el compromiso firmado con la ICO, y que nos parecen interesantes resaltar. En un futuro cercano podremos comprobar si, efectivamente, Google materializa y cómo lo hace para lleva a cabo los cambios a los que se ha comprometido.(Texto completo en ICO ruled).

EL pasado viernes, a través de un comunicado de prensa en la página web oficial del Poder Judicial, se hacía público que la Audiencia Nacional establece los criterios para conocer el “derecho al olvido”.

La sala de lo Contencioso-Administrativo ha dictado 18 sentencias, de las cuales en 14 se desestima los recursos de Google, reconociendo el derecho a la protección de datos de los particulares.

Los criterios sobre los que se fundamenta la Sala de la Audiencia Nacional, derivan de la aplicación de la doctrina establecida en Luxemburgo, la  conocida sentencia  del “derecho al olvido” , dictada en mayo de 2014 por el Tribunal de Justicia de la Unión Europea que resolvía una cuestión prejudicial planteada por la propia AN a la Gran Sala.

Como ya consideró en su momento la Agencia Española de Protección de Datos, el  TJUE ratificó el criterio y ahora de nuevo la AN hace uso de ello: tanto Google Spain SL como a Google Inc, están dentro del ámbito de aplicación de las leyes europeas, y por tanto deben cumplir la normativa en materia de protección de datos. (Art.4.1 letra a) de la Directiva 95/46).

El TJUE determinó que el gestor de un motor de búsqueda en internet es responsable del tratamiento que aplique a los datos de carácter personal que aparecen en las páginas web publicadas por tercero y, por tanto, debe respetar la directiva comunitaria sobre protección de datos, pese a que la publicación en dichas páginas hubiera sido en sí misma lícita.

Volviendo a los criterios, analizamos ahora algunos de los que, según la Audiencia Nacional, se deberán seguir para poder ejercitar el “derecho al olvido”:

El 12 de enero de 2015 la Comisión Europea hacía públicos los resultados de la encuesta pública que lanzó en abril de 2015 al respecto de la Sanidad Móvil (mHealth).

Con la Salud Electrónica se quiere dar un paso más a la asistencia sanitaria tradicional, utilizando para ello las tecnologías de la información, con un claro propósito, mejorar productos, servicios y procesos sanitarios. En definitiva, el bienestar de los europeos a través de dispositivos móviles.

En la consulta pública se invitaba a los ciudadanos europeos a presentar sus opiniones sobre once temas relacionados con el uso de la mHealth en Europa. Los temas a opinar estaban, en su mayoría, relacionados con la protección de datos, incluida la seguridad de los datos de salud, la situación actual del marco jurídico aplicable de la UE, la seguridad del paciente y la transparencia de la información, así como la interoperabilidad entre los diferentes agentes intervinientes.

Se han obtenido un total de 211 respuestas diferentes provenientes de autoridades públicas, profesionales sanitarios, asociaciones de pacientes y empresarios del sector. El mayor número de respuestas provienen de Bélgica (47), Reino Unido (26), Alemania (20) y Francia (19). La Comisión recibió 19 respuestas de fuera de la UE, incluyendo 8 de los Estados Unidos (parece que los españoles todavía tenemos asignaturas pendientes). De todas las respuestas, la privacidad y seguridad del paciente, así como la definición de un marco jurídico claro son los aspectos que más preocupan a los encuestados.

A raíz del terrible atentado terrorista  al semanario satírico 'Charlie Hebdo' en París, ha vuelto a la palestra europea el debate sobre la creación de un “superfichero” de viajeros, el conocido PNR (Registro de Nombres de Pasajeros), cuya finalidad según el Ministerio del Interior Español, así como los representantes de los otros 14 estados miembros que están a favor de su creación, sería la lucha contra el terrorismo y detectar, de forma “precoz”, a posibles delincuentes peligrosos.

Los datos de carácter personal de los viajeros objeto de tratamiento por parte de las diferentes compañías áreas y que conformarían el PNR son de diversa índole, ente los que destacamos: datos sobre el embarque del pasajero, la cancelación del viaje y número de asiento que va a ocupar en el avión, si va solo o acompañado, el número de acompañantes y la identidad de estos. Está claro que son muchos, los datos que sobre nosotros y acompañantes se van a recoger y ceder.

Bien hemos dicho que el debate ha vuelto a la palestra, ya que en 2013 la cuestión, poco más o menos, se dejó cuando La Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) rechazó su creación por entender que vulneraba la Directiva 95/46/CE sobre protección de datos personales de la UE.

Conscientes de lo amplios aspectos que desde una óptica de protección de datos se podrían hablar o debatir respecto del “superfichero”, vamos a centrar nuestro análisis sobre cuáles podrían ser los requisitos más importantes que debería cumplir la creación del mencionado fichero para que sea conforme a lo establecido en la Directiva 95/46/CE y por ende, en nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el RD 1720/2007 que la desarrolla.

No son pocas las ocasiones en las que la prensa se hace eco de alguna sentencia relacionada con la difusión de imágenes o vídeos a través de redes sociales, sobre todo WhatsApp y normalmente con contenido sexual, sin contar con el consentimiento del afectado. Sin más y dicho así, lo primero que se piensa es que la persona que ha enviado esas imágenes o vídeos está cometiendo un hecho ilícito.

Lo cierto es que la respuesta que puedo dar, a priori, es que a veces sí a veces no, me explico, para ello voy a recurrir en primer lugar al artículo 197 apartado 1 del Código Penal, el cual establece: "El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses" y al aparatado 4 "Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores."

Si nos encontramos en el caso que se describe en el artículo, es decir, que alguien se hace con las imágenes de un tercero sin su consentimiento y a su vez las difunde a otros terceros, está claro que esa persona está cometiendo un delito de descubrimiento y revelación de secretos tipificado en el mencionado artículo 197 del Código Penal.

Pero ¿qué ocurre si la persona que difunde las imágenes, sin consentimiento, las ha obtenido por voluntad propia del afectado? esto es, que ha sido un mero receptor de las imágenes ¿Está cometiendo un delito? Pues en estos casos, hoy por hoy, nos podemos encontrar con sentencias contradictorias.

Miércoles, 24 Diciembre 2014 10:29

Algunas peculiaridades del derecho de acceso

El derecho de acceso, es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos. De esta forma se describe en el artículo 27 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Además, en el apartado 2 del mismo artículo, se establece que en virtud del derecho de acceso, el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.

Por otro lado, el artículo 28 del Real Decreto 1720/2007 indica que, el afectado podrá optar por recibir la información a través de uno o varios sistemas de consulta del fichero, como son la visualización en pantalla, escrito, copia o fotocopia remitida por correo, certificado o no, telecopia, correo electrónico u otros sistemas de comunicaciones electrónicas.

De la lectura de los mencionados artículos, a priori, se podría entender que el legislador establece en términos absolutos el derecho de los afectados a acceder a cuanta información de ellos se esté tratando por parte de un responsable del fichero.

En la práctica, el derecho de acceso no es absoluto, y por tanto tienen sus limitaciones, vamos a verlo a través de dos situaciones en las que ya sea como titulares de datos o como responsables de ficheros nos podemos encontrar:

La semana pasada se publicó la sentencia a través de la cual el Tribunal de Justicia de la Unión Europea establece que la Directiva 95/46 sobre protección de los datos de carácter personal, se aplica a las grabaciones realizadas con cámaras de vigilancia por personas físicas en su vivienda familiar y dirigidas a la vía pública.

En julio de 2014, en este mismo blog, ya hacíamos referencia a la imposibilidad de apelar a la excepción doméstica, recogida en la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, respecto a la instalación de cámaras de vigilancia, cuando la grabación se extendiese al espacio público, entre otros supuestos que se analizaban.

En su momento hicimos mención también a la opinión por parte del Abogado General del TJUE de la posibilidad de recurrir al artículo 7 letra f de la Directiva 95/56, de forma que si se puede demostrar un interés legítimo que prevalece sobre los derechos de los afectados que están siendo grabados, se podría determinar la legitimidad de las grabaciones de imágenes con sistemas de videovigilancia pese a grabar la vía pública.

Página 11 de 11

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal