Es criterio uniforme de la Agencia Española de Protección de Datos, que la existencia de un grupo de empresas no afecta para que cada una de las sociedades, integradas en el mismo, no mantenga diferenciada y plena su personalidad jurídica. A todos los efectos jurídicos, la circunstancia de que una sociedad esté participada por otra, no afecta al hecho de que ambas sean distintas personas.

Un criterio uniforme, ratificado por Sentencia de la Sección Novena de la Sala de lo Contencioso-administrativo del Tribunal Superior de Justicia de Madrid, de 16 de octubre de 2000, cuando en su fundamento de derecho cuarto señala que, "(....) Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la matriz de los datos que le constan a la filial por las operaciones que esta última ha intervenido pues ello supone olvidarse de que se trata de personas jurídicas distintas".

Por lo tanto, y atendiendo a lo que acabamos de indicar, cada una de las empresas que integran un grupo serán responsables de sus propios ficheros de carácter personal.

Una vez sentadas las bases, vamos a analizar dos circunstancias, que se dan con bastante asiduidad en los grupos de empresas, y tienen un impacto directo en materia de protección de datos:

1. Comunicación de datos (empleados, clientes etc.) entre las empresas que conforman el grupo:

El pasado 21 de Abril tuvo lugar, en el Palacio Real de Madrid, la 7ª Sesión Anual Abierta de la Agencia Española de Protección de Datos. Este evento anual, tiene como objetivo servir como punto de encuentro entre el organismo público y los profesionales de la protección de datos, proporcionando una exposición sistemática de los cambios y las novedades acaecidas en el último año.

Una vez más, tal y como destacó y agradeció el director de la Agencia Española de Protección de Datos, José Luis Rodríguez Álvarez, la 7ª Sesión Anual Abierta fue todo un éxito, con un número de inscritos que superaba los 1200 expertos.

La sesión abierta de este año se centraba en analizar la reutilización de la información en el sector público y la alternativa de la anonimización. La entrada en vigor del nuevo régimen de reutilización previsto en la Directiva 2013/37, cuyo plazo de incorporación al derecho nacional concluye el próximo 18 de julio, va a incrementar el volumen de información en poder del sector público disponible y reutilizable, que si bien reportará importantes beneficios para la innovación y el desarrollo de la sociedad de la información, también incrementará los riesgos para la protección de la intimidad de las personas.

Por ello y a este respecto, José Luis Rodríguez Álvarez, anunció que se está elaborando el borrador de una "Guía sobre la protección de los datos personales en la reutilización de la información del sector público", que se publicará en la página web de la Agencia y que será sometido a consulta pública online para quienes deseen aportar sus observaciones, sugerencias y propuestas para la confección de la versión definitiva, como ya se ha hecho en ocasiones anteriores.

Algunas estimaciones dicen que en el 2020 el valor de los datos de carácter personal de los ciudadanos europeos podría alcanzar el billón de euros al año.

Es un hecho, que a nivel europeo, los consumidores nos encontramos cada vez más preocupados con la privacidad. Por ello, proporcionar un nivel adecuado de protección de datos en las empresas y entidades públicas y privadas es sinónimo de crecimiento y confianza.

Las últimas y numerosas violaciones que se han producido respecto del derecho fundamental a la protección de datos, han empujado a los consumidores a escapar de proveedores de servicios que no protejan adecuadamente sus datos personales. Aquellas empresas de la UE que ofrezcan servicios más respetuosos con la intimidad y privacidad de sus clientes, pueden ser más atractivas para los consumidores y, por tanto, más competitivas. Así lo entiende la propia Comisión Europea (en adelante la CE) en una hoja informativa que vio la luz el pasado 15 de abril, donde pone los puntos sobre las íes acerca de la reforma de la protección de datos de la UE y lo que la nueva normativa significará para el Big Data (recordemos que nos encontramos en la recta final sobre las negociaciones de la reforma del Reglamento Europeo de Protección de Datos).

La misma CE pone ejemplos recientes que demuestran lo antedicho:

- Apple anunció recientemente una inversión de 1.700 millones de euros en nuevos centros de datos en Europa.
- Salesforce.com ha anunciado que ampliará su inversión en Europa con la apertura de tres nuevos centros de datos en el Reino Unido, Francia y Alemania.
- IBM y Amazon.com están abriendo nuevos centros de datos en Alemania para ofrecer mayor privacidad en sus servicios.
- Zettabox.com es un ejemplo de una solución de almacenamiento en la nube verdaderamente europea. Su lema es "Es mejor en Europa". Zettabox decidió basar sus operaciones en Europa en su totalidad a fin de proporcionar un servicio de nube de alta calidad, con el más alto nivel posible de protección de los datos personales.

Si hace unas semanas, en este mismo blog, hablábamos de las peculiaridades del derecho de acceso, vamos hoy a analizar otro de los derechos ARCO (acceso, rectificación, cancelación y oposición) y va a ser este último el objeto de nuestro análisis por sus características especiales.

Si bien es cierto que nos encontramos ante un derecho igual de importante que el resto de los derechos ARCO, la propia Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), sólo lo menciona en diferentes ocasiones, pero sin llegar a desarrollarlo:

- En el artículo 6.4: "En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable de fichero excluirá del tratamiento los datos relativos al afectado".
- En el artículo 30.4, donde se regula los tratamientos de datos con fines de publicidad y de prospección comercial: "Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud".
- En el artículo 17, cuando describe el procedimiento a llevar a cabo para la satisfacción de los derechos ARCO: "1.Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamentariamente. 2. No se exigirá contra prestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación".
- En el artículo 18, cuando habla de la tutela de derechos ante la Agencia Española de Protección de Datos: "(...)2. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia de Protección de Datos o, en su caso, del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación (...)".

Debemos acudir al Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RDLOPD), donde en el Capítulo IV, del Título III se desarrolla el derecho de oposición.
El artículo 34 del RDLOPD, establece que: "El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo". Esta afirmación inicial, sólo será posible en los 3 siguientes supuestos, que analizaremos uno a uno:

Si hace unas semanas, en este mismo blog, nos planteábamos la cuestión de si la difusión de imágenes privadas vía redes sociales, era considerada un delito o no, desde el 31 de marzo y con la aprobación de la reforma del Código Penal, no cabe duda alguna.

Ya es una realidad materializada en el artículo 197 apartado 7 (no en el 4bis como se preveía en el anteproyecto): "Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona". Asimismo, se añade un agravante, imponiendo la pena en su mitad superior, para los casos en el que los hechos hubieran sido cometidos por el cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad, aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad necesitada de especial protección, o los hechos se hubieran cometido con una finalidad lucrativa.

En la propia exposición de motivos de la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, se indica que los supuestos a los que ahora se ofrece respuesta son aquellos en los que las imágenes o grabaciones de otra persona se obtienen con su consentimiento, pero son luego divulgados contra su voluntad , cuando la imagen o grabación se haya producido en un ámbito personal y su difusión, sin el consentimiento de la persona afectada, lesione gravemente su intimidad. Aunque la casuística puede ser muy variada, parece que se trata de perseguir fundamentalmente los casos conocidos como revenge porn o "porno vengativo"

Los Colegios Profesionales, como Corporaciones de derecho público, están dentro del ámbito de aplicación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (en adelante LTP), tal y como se establece en su artículo 2.1 e): "Las corporaciones de Derecho Público, en lo relativo a sus actividades sujetas a Derecho Administrativo".

En el presente artículo intentaremos analizar cómo armonizar las obligaciones derivadas de la nueva LTP, con las obligaciones exigidas por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD).

En los capítulos II y III de la LTP se detallan las obligaciones a cumplir por los sujetos obligados, respecto a la publicidad activa y el derecho de acceso a la información pública.

1. Del capítulo II y en relación con la publicidad activa, los Colegios Profesionales deberán:

 1. Publicar de forma periódica y actualizada la información cuyo conocimiento sea relevante para garantizar la transparencia de su actividad relacionada con el funcionamiento y control de la actuación pública.
2. La publicación de información obligatoria por la LTP, será publicada en las correspondientes sedes electrónicas o páginas web y de una manera clara estructurada y entendible para los interesados y, preferiblemente, en formatos reutilizables.
3. Establecer los mecanismos adecuados para facilitar la accesibilidad, la interoperabilidad, la calidad y la reutilización de la información publicada así como su identificación y localización.
4. Publicar información relativa a las funciones que desarrollan, la normativa que les sea de aplicación así como a su estructura organizativa. A estos efectos, incluirán un organigrama actualizado que identifique a los responsables de los diferentes órganos y su perfil y trayectoria profesional.
5. Hacer pública, como mínimo, la información relativa a los actos de gestión administrativa con repercusión económica o presupuestaria, a destacar:

a. La relación de los convenios suscritos, con mención de las partes firmantes (...).
b. Las subvenciones y ayudas públicas concedidas con indicación de su importe, objetivo o finalidad y beneficiarios (...).
c. Las retribuciones percibidas anualmente por los altos cargos y máximos responsables de las entidades, así como las indemnizaciones percibidas, en su caso, con ocasión del abandono del cargo (...).

Ayer tuvo lugar la vista en el Tribunal de Justicia de la Unión Europea, sobre un caso que puede tener mucha trascendencia en materia de protección de datos.

El caso tiene como objetivo dilucidar si son realmente válidas las transferencias internacionales de datos, por el simple hecho de que la entidad receptora de los mismos esté adherida al Acuerdo de Puerto Seguro.

Que el caso esté ante el TJUE, es el resultado de las denuncias presentadas, por el activista austriaco de privacidad Max Schrems, contra cinco empresas estadounidenses, en concreto, Apple, Facebook, Microsoft, Skype y Yahoo, ante las autoridades competentes de protección de datos de Alemania, Irlanda y Luxemburgo.

Debido a las importantes cuestiones, que sobre la legislación europea, en materia de protección de datos, se planteaban en las denuncias, el Tribunal Supremo de Irlanda decidió presentar cuestión prejudicial ante el TJUE.

Uno de los motivos principales por los que se está replanteando la validez del Safe Harbor, es el programa de vigilancia electrónica PRISM a cargo de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. Como recordaréis Edward Snowden (consultor tecnológico estadounidense y antiguo empleado de la CIA y de la NSA) reveló que la comunidad de inteligencia de Estados Unidos tiene acceso inmediato a los datos de los usuarios en poder de empresas de internet estadounidenses, incluidos las cinco denunciadas..

Cuando algunos empezábamos a sospechar que el Reglamento Europeo de Protección de Datos, había sido aparcado, por tiempo indeterminado, por las autoridades europeas, hace unos días salta la noticia de que se ha filtrado un documento en el que se detalla, en formato comparativa, un texto, de lo que parece el resultado de la negociación entre la Comisión y el Consejo sobre el Reglamento Europeo de Protección de Datos, en donde también se habrían incorporado las modificaciones sugeridas por el Parlamento Europeo.

En un primer golpe de vista al documento filtrado, que consta de un total de 305 páginas, podemos observar cómo la Comisión y el Consejo han reescrito y eliminado gran parte del contenido del documento original, dando lugar a un nuevo texto de Reglamento.

Vamos a centrarnos en algunas de las novedades más significativas que se han adoptado tras la negociación:

1.Desaparece la obligación de nombrar un Data Protection Oficer (DPO). Hemos pasado de ser una figura obligatoria para la Administración Pública, para empresas, independientemente del tamaño, que tratasen datos especialmente protegidos o para las empresas con un tratamiento de datos que afectasen a 5000 personas en un periodo máximo de 12 meses, a ser una figura con un carácter meramente voluntario.
Asimismo, en la nueva versión de Reglamento se indica, que cuando se den las circunstancias arriba indicadas, una persona experta y con conocimiento de la ley de protección de datos, debe ayudar a vigilar el cumplimiento interno en consonancia con el presente Reglamento, ya sea o no empleado del responsable del tratamiento, debe estar en condiciones de ejercer sus funciones y tareas de una manera independiente.

Martes, 10 Marzo 2015 08:37

El Spam y los criterios de la AEPD (II)

Si en el post de la semana pasada hacíamos un repaso de los criterios seguidos, por la Agencia Española de Protección de Datos, para entender que no hay incumplimiento del artículo 21 de la LSSICE. Veamos ahora, algunos de los criterios seguidos por la Agencia, para sancionar por el envío de comunicaciones comerciales sin el consentimiento:

a. Por no incluir en cada comunicación comercial, una dirección de correo electrónico u otra dirección electrónica válida a través de la cual pueda ejercitarse, por su destinatario, el derecho de oposición a recibir nuevos mensajes por este medio. Además añade, en este caso la Agencia, que no puede entenderse, como pretende la representación del denunciado, que como la dirección de correo electrónica habilitada para atender las solicitudes de baja es la misma desde la que se efectuó el envío, no resulta necesario incluir dicha información en el contenido de las comunicaciones comerciales remitidas por ese medio. La inclusión de dicho procedimiento de oposición es una obligación del denunciado, pese a que se produzca una coincidencia entre la dirección de origen de los correos y la dirección electrónica habilitada para gestionar las bajas (1000 euros de sanción PS/00373/2014).

b. Porque la empresa denunciada, habiendo notificado a la parte denunciante que procedía la baja de sus datos de sus ficheros, envío hasta siete comunicaciones comerciales tras esa comunicación de baja (2300 euros de sanción PS/00524/2014).

c. En este caso, siendo publicidad por sms, el denunciante en ninguno de los mensajes presenta información relativa al modo de ejercicio del derecho de oposición, y además no fue capaz de demostrar tener el consentimiento del afectado (3900 euros de sanción PS/00578/2014).

De los diferentes criterios expuestos en ambos artículos, podríamos extraer las siguientes conclusiones:

Lunes, 02 Marzo 2015 23:10

El Spam y los criterios de la AEPD (I)

Todos hemos recibido, en alguna ocasión y otras veces en más ocasiones de las deseadas, correos electrónicos publicitarios sin que hayamos dado nuestro consentimiento para ello. Es lo que conocemos como spam o correo basura.

El artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSICE), regula las comunicaciones comerciales realizadas a través de correo electrónico, este artículo establece:
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

El bajo coste, sencillez y rapidez de este tipo de envíos publicitarios, a través de medios electrónicos, hace que muchas empresas incumplan reiteradamente con el precepto antes mencionado.

Esta práctica es denunciable ante la Agencia Española de Protección de Datos, puesto que tiene competencia sancionadora, a este respecto, tal y como establece el artículo 43.1 párrafo segundo de la LSSICE (…) Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de esta Ley.

Hemos revisado algunas de las resoluciones dictadas por la AEPD, para poder extraer algunos de los criterios que la AEPD está siguiendo para sancionar o archivar las denuncias realizadas por usuarios afectados, que han recibido informaciones publicitarias no deseadas.

El archivo de actuaciones: en todas estas resoluciones la AEPD, determinó que no había incumplimiento del artículo 21 de la LSSICE, siguiendo los siguientes criterios:

Página 10 de 11

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal