A estas alturas de la película, para nadie es desconocido el uso, cada vez más prolífico, de estos "juguetes" que sobrevuelan nuestras cabezas.

Originalmente diseñados para cumplir tareas de carácter militar, hoy en día los drones se están utilizando para una gran variedad de usos civiles, comerciales o, incluso, policiales, como por ejemplo, la supervisión y la inspección de infraestructuras o instalaciones industriales, publicidad, ocio y entretenimiento, cartografía, para control fronterizo, para la seguridad y la vigilancia por parte de las Fuerzas y Cuerpos de Seguridad, entre otros muchos usos.

Pero, ¿qué son los llamados VANT o dones?

El Real Decreto 1489/1994, de 1 de julio, por el que se aprueba el Reglamento de la Circulación Aérea Operativa define como Vehículo aéreo no tripulado (VANT) a aquél vehículo aéreo propulsado que no lleva personal como operador a bordo. Los vehículos aéreos no tripulados incluyen solo aquellos vehículos controlables en los tres ejes. Además:

a) Es capaz de mantenerse en vuelo por medios aerodinámicos.
b) Es pilotado de forma remota o incluye un programa de vuelo automático.
c) Es reutilizable.
d) No está clasificado como un arma guiada o un dispositivo similar de un solo uso diseñado para el lanzamiento de armas.

En principio, y así se ha llegado a entender durante algún tiempo es que la mayor parte de los fines civiles o comerciales para las que se empleaban los "drones" no comportaban la captación o grabación de imágenes (voces) de personas físicas identificadas o identificables, por tanto, no implicaban la existencia de un tratamiento de datos personales a los efectos de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).

Sin embargo, a medida que el uso de estas aeronaves se fue poniendo de moda, y su utilización en el ocio, los servicios y la fotografía aumentaba, hicieron surgir las dudas y plantearse la posibilidad de que en su uso se pudieran captar imágenes de personas físicas identificadas o identificables, lo que obligaría a tener presentes los principios y obligaciones de la LOPD.

En nuestro último artículo nos centrábamos en analizar las diferentes directrices y obligaciones, para los envíos de publicidad, derivadas de la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento 1720/2007 (RDLOPD) que la desarrolla.

En esta ocasión, nos centraremos en estudiar qué obligaciones debemos seguir para el envío de publicidad siguiendo los criterios establecidos en la Ley de Servicios de la Sociedad de la Información (LSSI).

Como ya comentamos con anterioridad, el ámbito de aplicación de la LOPD alcanza respecto de las personas físicas, en cambio en la LSSI se regulan las comunicaciones comerciales por vía electrónica, esto es, correo electrónico o cualquier otro sistema de mensajería electrónica como medio de comunicación comercial, sin que la condición de persona física o jurídica del destinatario sea relevante.

Es un dato importante y a tener muy presente, pues aquí, por ejemplo, una comunicación comercial enviada a un email tipo "info" que encontramos en cualquier página web de cualquier empresa, estaría dentro del ámbito de aplicación de la LSSI.

En el Anexo de la LSSI, en el apartado f) define "comunicación comercial", como "toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional".

Es decir, que un "inofensivo" email en el que simplemente saludas a un potencial cliente, pero aprovechamos para poner el logo de nuestra empresa, puede ser considerado como una comunicación comercial, aunque en el cuerpo del email no se haga referencia explícita a los productos o servicios ofertados.

Por su parte, el artículo 21 de la LSSI regula el envío de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes y establece que:

Sábado, 11 Julio 2015 16:15

La publicidad en la LOPD y en la LSSI (I)

Una práctica más que habitual en el día a día de cualquier empresa es el envío de publicidad a clientes o potenciales clientes.

Una práctica, en la que si no se siguen las directrices y obligaciones marcadas tanto en la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento 1720/2007 (RDLOPD)  que la desarrolla, como en la Ley de Servicios de la Sociedad de la Información (LSSI), pueden suponer importantes sanciones por parte del órgano regulador, esto es, la Agencia Española de Protección de Datos.

En los próximos artículos vamos a analizar y explicar cuáles son esas directrices y obligaciones, señalando las diferencias entre la LOPD y la LSSI.

Como punto de partida indicar que la LOPD, tal y como se indica en su artículo 1 "tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar"

Es decir, que su ámbito de aplicación alcanza respecto de las personas físicas.

Sin embargo la LSSI regula las comunicaciones comerciales por vía electrónica sin que la condición de persona física o jurídica del destinatario sea relevante.

Como segunda puntualización, debemos señalar que cuando hablamos de publicidad en la LOPD, nos estamos refiriendo al correo directo (también conocido como mailing) que consiste en enviar información publicitaria por correo postal, como por ejemplo, un folleto publicitario, que suele ir acompañado de una carta personalizada.

En cambio y en relación con la publicidad en la LSSI, estaremos hablando del ciberbuzoneo (e-mailing), que es un método también de publicidad directa, pero en el que se utiliza el correo electrónico (o cualquier otro sistema de mensajería electrónica) como medio de comunicación comercial.

1. La publicidad en la LOPD y el RDLOPD.

El capítulo II del título IV del RDLOPD, lleva como título "Tratamientos para actividades de publicidad y prospección comercial"

EL artículo 45 del RDLOPD establece:

La semana pasada en este mismo blog, analizábamos las características y tipos de consentimiento existentes en materia de protección de datos. Vamos a ver ahora en qué casos no es necesario solicitar el consentimiento del afectado, y cuándo podremos revocar el mismo.

1. Supuestos de tratamientos y cesión de datos sin necesidad de obtener el consentimiento del afectado:

Tanto en la Ley Orgánica de Protección de Datos (LOPD), como en el RD 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), se establecen los casos en los que el responsable del fichero no precisa el consentimiento del titular para tratar sus  datos, que son:

1. Cuando lo autorice una norma con rango de ley o una norma de derecho comunitario (art. 10.2 a RDLOPD), en concreto cuando se produzcan, uno de los siguientes casos:

a. El tratamiento o la cesión tengan por objeto satisfacer un interés legítimo del responsable del tratamiento o del cesionario y el mismo se encuentre amparado por dichas normas, con la limitación de respetar  y garantizar el derecho al honor e intimidad personal y familiar.

b. El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

2. Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias. Estas competencias deben estar recogidas en una norma con rango de ley (art. 10.3 a RDLOPD).

"El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa"

(Artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante (LOPD))

El artículo 3h) de la LOPD, define el consentimiento como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen"·

La Agencia Española de Protección de datos ha venido describiendo, en diversos informes, las características exigidas en este artículo 3h), de manera que se entiende por:

1. Consentimiento libre, es aquel que ha sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el código civil (art. 1265 "será nulo el consentimiento prestado por error, violencia, intimidación o dolo".

2. Consentimiento inequívoco, se exige la realización de una acción u omisión, por parte del afectado, que implique la existencia del consentimiento.

3. Consentimiento específico, viene referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la LOPD "Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos"

4. Consentimiento informado, es preciso que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. A este respecto será preciso, que se facilite al interesado la información a que hace referencia el artículo 5.1 de la LOPD.

Una vez determinado los requisitos para entender por válido el consentimiento del afectado, analicemos ahora las formas de recabarlo:.

Esta semana, con motivo de la reunión del lunes 15 de junio del Consejo de Ministros de Justicia e Interior de la Unión Europea (JAI), algunos medios de prensa o incluso la propia Moncloa, en su página web oficial, publicaban titulares como "Los ministros de Justicia de la UE aprueban el Reglamento Europeo para reforzar la protección de datos en internet" o titulares como "Bruselas aprueba la nueva norma de protección de datos que reconoce el 'derecho al olvido'".

Nos gustaría aclarar, que ni se ha aprobado el texto definitivo del futuro Reglamento Europeo de Protección de Datos, y mucho menos se ha creado una nueva norma en el seno de la Unión Europea para reconocer el "derecho al olvido". Recordemos que el famoso "derecho al olvido" viene siendo reconocido desde la Sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, cuando en la misma ya se determinó, que el gestor de un motor de búsqueda en internet es responsable del tratamiento que aplique a los datos de carácter personal que aparecen en las páginas web publicadas por tercero y, por tanto, debe respetar la directiva comunitaria sobre protección de datos, pese a que la publicación en dichas páginas hubiera sido en sí misma lícita.

Además, el Reglamento Europeo de Protección de Datos, no se centrará sólo en regular el "derecho al olvido", será reconocido en uno de sus artículos, pero el Reglamento tiene un doble objetivo:.

El detective o investigador privado es un profesional que trabaja para particulares, empresas y cualquier otra entidad que les contrate, para realizar investigaciones de hechos y conductas privadas de otros terceros, con el fin de obtener pruebas para su cliente.

El artículo 6 de la Ley de Protección de Datos establece: "el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado (...)" con una excepción: "salvo que la ley disponga otra cosa".

Si nos basásemos en la primera parte de este artículo, terminaríamos nuestro post de hoy aquí, y la respuesta a la pregunta sería: NO. Pero la excepción nos obliga a analizar si existe una norma, de rango de ley, que habilite a un detective privado a tratar datos de terceros sin su consentimiento, y ni tan siquiera, al menos a priori, con el conocimiento de que sus datos de carácter personal están siendo tratados.

Hace prácticamente un año que entraba en vigor la nueva "Ley 5/2014, de 4 de abril, de Seguridad Privada" quedando derogada por disposición derogatoria única la Ley 23/1992, de 30 de julio, de Seguridad Privada, y cuantas normas de igual o inferior rango se opongan a lo dispuesto en esta ley.
En esta nueva ley se establece el objeto y ámbito de aplicación de la norma y fija las definiciones de seguridad privada, entre otros, de los despachos de detectives privados u otros de significada importancia, que hasta ahora permanecían jurídicamente imprecisos o indeterminados.

El pasado 29 de mayo se aprobó por el Consejo de Ministros la remisión a las Cortes del Proyecto de Ley Orgánica por la que se regula el acceso y publicidad de determinada información contenida en las sentencias dictadas en materia de fraude fiscal.

La publicación de datos de carácter personal, conforme a la Ley Orgánica de Protección de Datos es, a todos los efectos, una comunicación o cesión de datos tal y como se indica en el artículo 11.1: "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado".

Por tanto y según se desprende del presente artículo, para la publicación de los datos de carácter personal de los condenados, se necesitaría el consentimiento del afectado, pero en el caso que nos ocupa y puesto que estamos ante la aprobación de una ley orgánica, cabría la aplicación de la excepción recogida en el artículo 11.2: "El consentimiento exigido en el apartado anterior no será preciso: a) Cuando la cesión está autorizada en una ley".

¿Cuál es el objetivo y consecuencias reales que se derivan de esta nueva ley?

Como es sabido, dentro de las diferentes funciones que son competencia de la Agencia Tributaria está la función inspectora.

Pero, ¿qué ocurre cuando la Agencia Tributaria, en el ejercicio de esta función inspectora, solicita documentación susceptible de contener datos de carácter personal de terceros y además especialmente protegidos, como ocurre, por ejemplo, en las historias clínicas?

Cuando un centro sanitario se encuentra en un procedimiento inspector por parte de la Agencia Tributaria, y ésta le solicita información referida a personas que han recibido asistencia sanitaria de profesionales médicos, estaremos ante una cesión de datos de carácter personal, definida en el artículo 3 i) de la Ley Orgánica 15/1999 (LOPD) como: "toda revelación de datos realizada a una persona distinta del interesado".

Pero además, estaremos ante una cesión de datos que tendrán la consideración de datos de salud, de conformidad con la definición contenida en el artículo 5.1.g) del Reglamento 1720/2007 de desarrollo de la Ley Orgánica 15/1999, según el cual serán datos de carácter personal relacionados con la salud las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo.

Por lo tanto, y ante esta casuística especial, deberemos tomar como referencia lo que se indica en el artículo 7 de la LOPD cuyo apartado 3 establece como regla general que: "los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente".

A tenor de lo dispuesto en el antedicho artículo, lo que deberemos de clarificar, por tanto, es si efectivamente existe una norma con rango de ley que justifique la cesión de los datos descrita.:

Si la semana pasada, en este mismo blog, analizábamos la comunicación de datos (empleados, clientes etc.) entre las empresas que conforman un mismo grupo empresarial, en esta ocasión, vamos a centrarnos en una práctica más que habitual entre las empresas pertenecientes a un mismo grupo y es la prestación de servicios entre ellas.

En muchas ocasiones, no resulta fácil discernir cuándo estamos ante un encargo de tratamiento, y por tanto en aplicación del artículo 12 de la LOPD, y cuándo ante una comunicación o cesión de datos, artículo 11 de la LOPD.

El artículo 3 d) de la LOPD define al responsable del fichero o tratamiento como "la persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento".

Por su parte el artículo 3 g) de la LOPD indica que "el encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento".

Por tanto lo descrito en el artículo 3 g), sucederá siempre que la empresa prestataria del servicio no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicio contratado por el responsable del fichero, sin utilizarla en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la Ley Orgánica 15/1999, requerirá por lo general el consentimiento de los afectados.

En todo caso, le será de aplicación a la empresa o empresas prestatarias de los servicios el régimen establecido en el artículo 12 de la Ley Orgánica 15/1999 y en el Capítulo III del Título II del Reglamento que la desarrolla, caracterizado por las siguientes especialidades:

Página 9 de 11

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal