Conservar datos de clientes cuando estos dejan de ser necesarios para la finalidad para la que fueron recabados, tiene su repercusión. Esta lógica afirmación, se encuentra fundamentada tanto en el Reglamento General de Protección de datos 2016/679 (en adelante, RGPD) cómo en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales española 3/2018 (en adelante, LOPDGDD). Así, en el presente blog, centramos nuestra atención en el análisis de un reciente procedimiento sancionador (PS/00076/2020) emitido por nuestra autoridad de control, la Agencia Española de Protección de Datos (en adelante, la AEPD) contra la entidad financiera Bankia, S.A.

Este pronunciamiento tiene su punto de partida en la reclamación interpuesta por un interesado ante la AEPD, contra la conocida entidad financiera. El afectado, basa su denuncia en que, su relación con la entidad financiera finaliza hace 16 años y que cuando, por motivos personales, vuelve a retomarla, la propia entidad le comunica que, su número interno de cliente sigue activo y que, por tanto, los datos vinculados al mismo se mantenienen en sus ficheros, no sabiendo, la entidad explicarle el motivo de tal situación. 

Ante el hecho de que la entidad haya mantenido sus datos durante 16 años sin una finalidad aparente, el ahora afectado, presenta denuncia ante la AEPD, en fecha 20 de septiembre de 2019, que fue trasladada, por parte de la Subdirección General de Inspección de Datos, a la reclamada para que esta esgrimiese una justificación al respecto y pudiese aclarar el motivo de la conservación de los datos del reclamante durante un proceso en el que este había dejado ya de ser cliente de la entidad.

Indica la entidad financiera, que si bien es cierto que mantenían información relativa al reclamante, esta se encontraba debidamente bloqueada conforme a lo establecido en el artículo 32 de la LOPDGDD que impone, al responsable del tratamiento, la obligación de bloquear los datos cuando proceda a su rectificación o supresión.

A la vista de la fundamentación esgrimida por la entidad, la AEPD acuerda el inicio de procedimiento sancionador por una supuesta infracción del principio de limitación de la finalidad desarrollado en el artículo 5.1 b) del RGPD.

La entidad financiera presenta escrito de alegaciones mediante el que manifiesta, entre otras cuestiones, que cuenta con una política de conservación de la información cuyos objetivos radican en conservar la información durante los plazos exigidos en cada caso, y siempre aplicando las medidas esenciales para garantizar la seguridad de la información. Alega, además que, el mencionado documento recoge la obligación de bloquear los datos personales de sus clientes una vez se cancelan los distintos productos o servicios contratados por estos, y siempre adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas, lo que, a sus ojos, resulta plenamente coincidente con lo establecido en el artículo 32 de la LOPDGDD.

Centrándonos en la fundamentación emitida por la AEPD en su resolución, considera esta que la entidad reclamada incurre en los siguientes incumplimientos:

Esa es la pregunta que se nos plantea tras el nuevo pronunciamiento de la Agencia Española de Protección de Datos, (en adelante, AEPD). El Informe E/03925/2020, emitido por la Autoridad de Control hace escasos días, archiva actuaciones contra la empresa ATOS IT SOLUTIONS AND SERVICES IBERIA, S.L, tras la interposición de la correspondiente reclamación por una trabajadora de la entidad, y miembro, a su vez, del Comité de Empresa, como consecuencia de la recogida y tratamiento de la huella dactilar de los trabajadores cómo método de fichaje horario.

¿Cuáles son los hechos en los que la reclamante basa su denuncia? Atendiendo a las exigencias que el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), imponen a responsables y encargados del tratamiento, respecto del tratamiento de un dato de carácter biométrico, cómo es la huella dactilar, la denunciante alega que:

- La entidad, recoge datos biométricos sin recabar el consentimiento explícito de los trabajadores ni cumplir con el principio de información recogido en los artículos 13 del RGPD y 11 de la LOPDGDD.
- No se ha efectuado una evaluación de impacto, siendo esta obligatoria en base al artículo 35 del RGPD.
- No tiene constancia de que se haya elaborado el correspondiente Registro de Actividades del Tratamiento conforme establece el artículo 30 del RGPD y 31 de la LOPDGDD.

Saliendo al paso de las alegaciones de la reclamante, la entidad reclamada aporta toda aquella documentación que demuestra el cumplimiento normativo y en las que, cómo veremos, la AEPD basa su decisión: cláusulas informativas publicadas en diferentes canales corporativos, registro de actividades del tratamiento y, en relación con la evaluación de impacto, dos análisis de necesidad de realización y dos evaluaciones de impacto relativas a control de acceso y al sistema de registro de jornada.

Nos parece necesario recordar, en este punto, que la huella dactilar es un dato de carácter biométrico entendiendo por tales a aquellos datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos (artículo 4.14 RGPD). No hay duda, la huella dactilar es un dato biométrico. Pero ¿y dato especialmente protegido? Considera, la AEPD, que para aclarar las dudas interpretativas que surgen a este respecto, se debe traer a colación la distinción entre identificación y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:

Continuamos, una semana más, ahondando en las diferentes técnicas de salvaguarda de la privacidad con las que tanto las entidades jurídicas que traten datos de carácter personal en el desarrollo de sus actividades, cómo los usuarios, a nivel personal, contamos en nuestro panorama actual.

Si bien es cierto que la privacidad es un valor al alza, en las esferas profesional y personal, a nivel profesional, esta se ha convertido en un elemento esencial en la cadena de valor de las entidades, independientemente del tamaño que estas tengan. Un elemento que, no sólo permite que las empresas adquieran la categorización de confiables de cara a cliente, sino que, además, en algunas ocasiones, esta se configura como un requisito obligatorio para poder contratar o licitar con un tercero.

¿Con qué métodos contamos entonces, para garantizar la privacidad de la información que manejamos?

Una de las técnicas más prácticas y efectivas es el cifrado de la información, entendiendo por tal el proceso de transformación, mediante el uso de algún algoritmo, a ilegible, de la información pública o visible y para cuya decodificación, se necesitará de una clave o contraseña, previamente establecida por nosotros.

Es el propio Reglamento General de Protección de datos el que, en su considerando 83 y artículo 32.1 letra a), recoge el cifrado como medida de seguridad enfocada a mitigar los riesgos inherentes al tratamiento de los datos.

Y tal y como quedó demostrado la semana pasada, en nuestra anterior publicación, y como trataremos de reflejar en el post de hoy, en la actualidad, no resultan necesarias complejas fórmulas para el cifrado de información, sino que, por el contrario, el cifrado se encuentra, cada vez más, al alcance de cualquier usuario que cuente con un mínimo manejo de las tecnologías.

La técnica de cifrado puede ser usada para proteger todo tipo de archivos; desde correos electrónicos y su información adjunta, documentos, videos, fotos, claves bancarias y personales, mensajes de texto, hasta discos duros y pendrives cómo ya se estudió en el presente blog (aquí). No obstante, a lo largo de nuestra publicación de hoy, centraremos nuestro análisis y estudio específico, en el cifrado de archivos ZIP y/o RAR.

Lo primero que hemos de dilucidar es qué tipo de información es recomendable cifrar. Así, podemos dividirla en:

- Información de identificación personal. Cualquier tipo de información a través de la cual podamos identificar a una persona física (nombres y apellidos, DNI…etc.). No nos olvidemos que uno de los delitos más comunes en referencia a esta tipología de datos es la suplantación de identidad.
Información confidencial sobre negocios y propiedad intelectual. En este caso, más enfocada a la información que una empresa quiera proteger. Centrándonos más en información empresarial cómo puede ser estrategias comerciales y/o la patente de un nuevo producto.

Una vez hemos determinado qué información resulta recomendable cifrar, nos planteamos ahora las herramientas de cifrado con las que contamos para proteger la información que manejamos. Podemos dividirlas en tres grupos:

1. Herramientas nativas de los sistemas operativos. Algunos sistemas operativos, integran una función que permite cifrar archivos y/o carpetas de archivos, sin que sea necesario recurrir a software de terceros para asignar contraseñas que impidan el acceso no autorizado. Dentro de los sistemas operativos analizados, nos encontramos:

¿Conflicto? Probablemente a nadie le resulte novedoso pues, no en pocas ocasiones, se ha puesto en duda cuál de los dos derechos ha de prevalecer sobre el otro en caso de confrontación. Y lo cierto es que no existe un pronunciamiento absoluto pues, con el paso de los años, la respuesta jurisprudencial que hemos obtenido a esta pregunta no siempre ha sido la misma.

Pues bien, el Tribunal Supremo (en adelante, el TS) se ha vuelto a pronunciar, con su sentencia 429/2019 del pasado 16 de julio, sobre qué derecho tiene una posición preferente respecto del otro, poniendo así, de nuevo, sobre la mesa este histórico conflicto.

Pero antes de entrar en el análisis de la fundamentación esgrimida por el alto tribunal en su sentencia, consideramos necesario recordar:

- Que ambos derechos tienen un carácter fundamental y, cómo tales, se encuentran reconocidos en la Constitución Española (en adelante CE), en los artículos 18.1 (derecho al honor) y 20.1 letras a y d (libertad de expresión).
- Que la libertad de expresión tiene su límite en el respeto al resto de derechos reconocidos en el Título I de la CE, y en los preceptos de las leyes que lo desarrollen, especialmente, en el derecho al honor, a la intimidad, a la propia imagen (…) (artículo 20.4 CE).

Ambos derechos, en el contexto que nos ocupa, entraron en conflicto en el año 2013, a raíz de unas acusaciones vertidas por un concejal del partido político de la oposición al, por aquel entonces, partido que gobernaba en la localidad malagueña de Torremolinos, y mediante las cuales, se ponía en duda el buen hacer del partido en la alcaldía. En aras de salir al paso de las informaciones publicadas, dicho partido emitió una nota de prensa, que fue publicada en la edición impresa de un periódico local y con una repercusión directa en el canal de televisión también local. Fue en dicha nota de prensa, a la que acompañaba una fotografía del concejal de la oposición ahora demandante, en la que se indicaba su carácter “mentiroso”, “rastrero” y “con desprecio por la verdad.

Estos hechos fueron denunciados en el curso de un procedimiento ordinario, con número 1396/2015,  instado al amparo de la Ley Orgánica 1/1982, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, por considerarse, los mismos, como constitutivos de una intromisión al derecho al honor del demandante. Vistos los hechos por el juzgado de primera instancia, se emitió sentencia considerando la existencia de una vulneración del derecho al honor del demandante como consecuencia de los insultos proferidos por la parte demandada por considerarlos “(…) innecesarios, excesivos, desproporcionados y, por tanto, no justificables ni siquiera en el contexto de contienda política sobre un asunto de interés general en el que se profirieron (…)”. Esta sentencia fue confirmada, en segunda instancia, por la Audiencia Provincial de Málaga (en adelante AP), en su STC 1224/2016, de 26 de octubre de 2016.

¿Qué dice, entonces, el TS?

Hace escasos días, los medios de comunicación se hacían eco de una resolución, recientemente, emitida por la Sala tercera de lo Contencioso-administrativo del Tribunal Supremo (en adelante, TS) (STC 1007/2019 de 8 de julio de 2019) contra el Instituto de la vivienda de la Comunidad de Madrid (en adelante, IVIMA) y con la que el TS acababa con años de idas y venidas, de resoluciones y sentencias en las que se analizaba, desde un punto de vista de protección de datos, la actuación del IVIMA durante un proceso de enajenación de 32 promociones de viviendas de su propiedad.

Y sí, el TS confirma, con su sentencia, la existencia de una vulneración de la normativa en materia de protección de datos por parte del IVIMA. Hecho que ya adelantaron la Agencia Española de Protección de Datos (en adelante AEPD) en su resolución R/00851/2015 y la Sala de lo Contencioso número 1 de la Audiencia Nacional, (en adelante AN) en su sentencia 5119/2017.

Pero antes de analizar la fundamentación de estos entes jurídicos, y poder comprender, así, la trascendencia de las resoluciones, hemos de ponernos en situación. Año 2013. El IVIMA saca a concurso, la enajenación de 32 promociones de viviendas en situación de arrendamiento y arrendamiento con opción a compra, algunas de las cuales se encontraban inmersas en procesos litigiosos de diversa índole. Al concurso, licitaron un número cerrado de empresas que, tras superar la primera fase del concurso y firmar el compromiso de confidencialidad que se les requería, accedieron a toda aquella documentación que debían conocer respecto de los bienes objeto de enajenación, a través de un portal de acceso restringido, denominado data room.

Desde el punto de vista de protección de datos, ¿qué hecho acontece, entonces, que pone en entredicho la actuación del IVIMA?

Es necesario mencionar que el pliego de condiciones, que regula el procedimiento del concurso, fue publicado en el perfil del contratante en la página web de la Comunidad de Madrid. Dicho pliego estaba conformado, entre otros, por los anexos I y VIII que recogían una relación detallada de 41 viviendas que se encontraban inmersas en diversos procedimientos litigiosos. A la relación de las viviendas, lo acompañaban los nombres y apellidos de los 34 arrendatarios, así como otras informaciones relativas a las viviendas tales como la referencia catastral, dirección, municipio…etc. Dicha información era de acceso libre, y descargable por todo aquel que accediese al perfil del contratante en la dirección web  http://www.madrid.org/contratospublicos. Se mantuvo pública 19 días

A las vista de las denuncias presentadas por los afectados, se efectúan, por parte de la AEPD, las actuaciones de investigación oportunas y que tienen como resultado final la incoación de un procedimiento de declaración de infracción por presunta vulneración, por parte del IVIMA de los ­artículos 6.1 y 10 de la Ley Orgánica de Protección de Datos 15/1999 (en adelante, LOPD 15/99), ya derogada en la actualidad por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 3/2018 (en adelante, LOPDGDD). No obstante, el 9 de marzo de 2015, en propuesta de resolución, la AEPD declara el archivo de la infracción del artículo 10, imputada al IVIMA; manteniendo la comisión de una infracción sobre el artículo 6.1 de la LOPD 15/99.

A pesar de la derogación de la LOPD 15/99, sobre la que los distintos entes públicos y jurídicos fundamentan sus respectivas decisiones, en el presente artículo, trataremos de identificar los preceptos de la actual normativa, Reglamento Europeo de Protección de Datos (RGPD) y LOPDGDD, que se corresponden con el artículo de la LOPD 15/99 infringido.

Entonces, ¿cuáles son los fundamentos esgrimidos por la AEPD, para considerar la existencia de una infracción sobre el artículo 6.1?

Disquetes, CDs, discos duros, dispositivos USB …etc. Hablamos de recursos utilizados, durante años, por parte de entidades y organizaciones para el almacenamiento de la información generada como consecuencia de su actividad. Todos estos recursos tenían un gran límite en común: el espacio.

Es, por tanto, lógico que, como consecuencia de la evolución tecnológica, los sistemas de almacenamiento se hayan ido perfeccionando y ajustando a las necesidades de las entidades en cada momento. Por ello, desde hace ya unos años, venimos asistiendo al fenómeno Cloud Computing o almacenamiento en nube.

Pero ¿a qué nos referimos realmente cuando hablamos de este nuevo concepto de almacenamiento? Es un tipo de servicio, utilizado también por aplicaciones, que permite almacenar todo tipo de contenido en un servidor conectado a la red, siendo la principal ventaja de estos sistemas, la flexibilidad que ofrecen que, en la práctica, se traduce en la posibilidad de acceder a la información almacenada desde cualquier lugar, con cualquier dispositivo, todos los días del año.

Consciente de la importancia de estos nuevos sistemas de almacenamiento, y su incuestionable impacto en la protección de datos de carácter personal, la Agencia Española de Protección de Datos (en adelante, la AEPD) publicó dos guías que son, ahora, objeto de análisis en el presente artículo:

Guía para clientes que contraten servicios de cloud computing que, a pesar de haber sido publicada hace ya unos años, fue actualizada por parte de la AEPD tras la plena exigibilidad del Reglamento Europeo de Protección de Datos (en adelante RGPD), en mayo de 2018.

Informe sobre la utilización, por parte de profesores y alumnos, de aplicaciones que almacenan datos en nube, con sistemas ajenos a las plataformas educativas y que surge como resultado de una inspección sectorial que, de oficio, inicia la AEPD sobre servicios de cloud computing en el sector educativo hace unos años.

Es importante recalcar, en este punto, que en la actualidad, no existe un único sistema de almacenamiento en nube. Así, podemos distinguir:

- Nube pública. Cuando el proveedor proporciona sus recursos de forma abierta. Entre sus ventajas más destacadas se encuentra la rapidez para utilizar sus servicios de almacenamiento gratuito.

- Nube privada. En aquellos casos en los que el responsable del tratamiento “compra” un espacio y realiza su propia gestión y administración de la información. Servicio que puede implementarse por la misma entidad que la utiliza o bien, externalizarse con una entidad tercera que actuará bajo supervisión y en función de las necesidades del responsable del tratamiento. Aquí, sus principales ventajas radican en la mayor seguridad que ofrecen así como en el control que, sobre la información, tiene la empresa.

- Otros modelos de nubes, más flexibles y que permiten una mejor adaptación a las necesidades específicas de cada empresa. Así, entre los modelos nos encontramos con soluciones como:

- Nubes híbridas en las que se ofrecen ciertos servicios de forma pública y otros de forma privada.
- Nubes comunitarias cuando dichos servicios son compartidos en una comunidad cerrada.
- Nubes combinadas aquellas que tienen disponibilidad de combinar dos o más nubes sean privadas o públicas que pueden ser administradas por diferentes usuarios o proveedores.

Accesibilidad, disponibilidad y comodidad. Está claro que el uso de servicios de almacenamiento en nube ofrece un gran número de ventajas a los responsables de tratamiento en el desarrollo de su actividad. Sin embargo, no podemos dejar a un lado los riesgos que inciden en la seguridad de los datos de carácter personal almacenados en dichos sistemas. Dichos riesgos recaen, principalmente, en:

1. La falta transparencia en la información sobre las condiciones en las que se presta el servicio. Al ser el proveedor quién conoce todos los detalles del servicio que ofrece, será fundamental que nos facilite información sobre qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos. A menor información obtenida, mayor será la dificultad para el responsable de evaluar los riesgos y establecer los controles adecuados.

2. La falta de control que el responsable puede llegar a tener sobre el uso y gestión de los datos personales como consecuencia de las dificultades que puede encontrarse a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido, los obstáculos a una gestión efectiva del tratamiento …etc.

¿Cómo se pueden afrontar, entonces, estos riesgos?

Una afirmación indiscutible, actualmente, es que la información propiedad de una organización, ya sea desde el punto de vista comercial o de protección de datos, es uno de los activos más valiosos de los que estas disponen. Una información cuya transmisión inmediata se ha vuelto necesaria para garantizar la operatividad dentro de una empresa. Y ¿cómo podemos llevar esta transmisión a cabo? A través de diversos métodos de conexión, de entre los cuales, el más extendido hasta hace unos años era la conexión por cable.

No obstante, la evolución tecnológica y la entrada en juego de los métodos de conexión inalámbricos han permitido que dispositivos como ordenadores, smartphones, o tablets puedan llegar a interconectarse entre sí, sin necesidad de hacer uso de un cable, proporcionando así, una libertad de movimiento a la hora de conectarse a los recursos que pueda ofrecer una organización, sin que esta conexión esté supeditada a una ubicación física.

Las ventajas acerca de este tipo de conexiones inalámbricas son más que evidentes, siendo la ausencia de cables, y consecuentemente de su necesidad de revisión y mantenimiento, y la alta movilidad, las más destacables. Sin embargo, no podemos dejar de lado las vulnerabilidades que, en materia de seguridad, se encuentran asociadas a su uso y que, en última instancia, pueden poner en riesgo los activos de la empresa. Estos riesgos deberán ser tenidos en cuenta y analizados a la hora de establecer las políticas y medidas que los mitiguen o reduzcan al mínimo, garantizando en consecuencia, la seguridad de las comunicaciones.

En definitiva, se trata de establecer medidas destinadas a cerrar la puerta de nuestro entorno virtual a la delincuencia informática. Para ello, el Instituto Nacional de Ciberseguridad (en adelante, INCIBE) publicó una Guía de Seguridad cuya finalidad no es otra que ofrecer unas pautas que podrán ser tenidas en cuenta, por parte de las organizaciones, para reforzar la seguridad de sus conexiones inalámbricas.

Así, la primera pregunta que debemos responder es, ¿qué es una red inalámbrica? En palabras del INCIBE, sería aquella formada por dispositivos capaces de intercomunicarse entre sí o con otra red (como Internet), sin necesidad de elementos físicos que las conecten como pueden ser los cables. De entre todas las redes inalámbricas existentes, centraremos nuestra atención en las más extendidas, las Redes de Área Local Inalámbricas, conocidas como redes wifi.

Dentro del marco organizativo de una empresa, resulta necesaria la existencia de una configuración, previamente establecida y documentada, que garantice la seguridad de las conexiones, para preservar la privacidad de la información. Para ello, la Guía objeto de análisis en el presente artículo, nos propone unas medidas de seguridad a seguir tales como:

En una sociedad en la que la explotación de datos de carácter personal y la privacidad del usuario pueden llegar a verse enfrentados, resulta necesario establecer mecanismos que permitan que el avance de la sociedad de la información continúe, sin que este pueda suponer un menoscabo de la protección de los datos de carácter personal de los usuarios.

A este respecto se pronunció la Agencia Española de Protección de Datos (en adelante, AEPD) mediante la publicación de una guía que recoge una serie de orientaciones y garantías a tener en cuenta, por parte de responsables y encargados del tratamiento, en los procesos de anonimización de datos de carácter personal. La mencionada guía tiene como fin último, plasmar cómo ha de llevarse a cabo el proceso de anonimización de los datos de carácter personal para eliminar o, en su defecto, reducir al mínimo los riesgos inherentes a la reidentificación de los datos personales previamente anonimizados.

Pero ¿qué es y qué supone, realmente, la anonimización de los datos de carácter personal?

La anonimización ha sido considerada, por la propia AEPD, como “la ruptura de la cadena de identificación de las personas.”. En otras palabras, se trata del proceso mediante el cual, eliminaremos aquellos datos susceptibles de identificar, directa o indirectamente, a personas concretas, manteniéndose, así, sólo aquella tipología de datos que no puedan asociarse, de ninguna manera, con la persona titular de los mismos. Hablamos de datos tales cómo rangos de edad, nivel medio de renta, estudios...etc., que, en definitiva, no afectan a la privacidad personal y que pueden ser usados con fines estadísticos o analíticos.

Es en este punto, donde conviene recordar que los datos anonimizados se encontrarían fuera del ámbito de aplicación de la normativa vigente en materia de protección de datos, esto es, el Reglamento Europeo de Protección de Datos (en adelante, RGPD) y la Ley Orgánica Española de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (en adelante, LOPD – GDD). Así lo recoge el propio RGPD en su considerando 26 cuando indica que: “(…), el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”.

A este respecto, y para que el tratamiento de esos datos quede fuera de la aplicación del RGPD y la LOPD - GDD, es necesario que el proceso de anonimización sea plenamente efectivo, de tal manera que resulte imposible, o casi, identificar, por ningún medio, a una persona física concreta, una vez los datos hayan sido anonimizados.

No obstante, a día de hoy, y como consecuencia del avance tecnológico, la anonimización absoluta no puede garantizarse. Así lo expresa la AEPD. El motivo radica en que la misma capacidad de la tecnología, que nos permite anonimizar datos personales, puede ser utilizada para la reidentificación de las personas, de tal manera que lo que en un determinado momento podía ser irreversible, tal vez no lo sea en el futuro.  

Por ello, la clave sobre la efectividad, o no, del proceso de anonimización de los datos, recaerá en el esfuerzo que le suponga, a la persona o entidad con acceso posterior a la información anonimizada, reidentificar los datos anonimizados. Así, la anonimización adquirirá una mayor fortaleza si este esfuerzo es de tal magnitud, que o bien el coste de dicho proceso no pueda ser asumible, o bien, no compense el beneficio que se obtendría con la reidentificación.

¿Cómo ha de desarrollarse, entonces, el proceso de anonimización?

¿Alguna vez te has preguntado cuántas cámaras de vigilancia pueden captar tu imagen de camino a casa? Lo cierto es que, en nuestra sociedad de hoy día, vivimos rodeados de grandes hermanos que “vigilan” cada una de nuestras áreas de actividad personal y laboral: el supermercado, el banco, la farmacia, la calle, el Centro Comercial … etc.

Acostumbrados a ello, o no, las cámaras de videovigilancia son una realidad constatada en nuestra vida. Y no sólo eso, sino que el número de las mismas se ha visto aumentado exponencialmente a lo largo de los últimos años.

En lo que se refiere a la finalidad última perseguida con la instalación de estos dispositivos, esta puede ser muy variada: por seguridad, como medio de obtención de pruebas, para vigilancia o control laboral, como apoyo para la información meteorológica, para la promoción turística o, incluso, para el control y vigilancia del tráfico en nuestras ciudades y carreteras.

Es precisamente respecto a esta última finalidad mencionada, sobre la que centraremos el desarrollo del post de hoy. Para ello, tomaremos como punto de partida un reciente Informe publicado por la Agencia Española de Protección de Datos (en adelante, AEPD) y en el cual, se aborda la legalidad sobre la instalación de cámaras fijas con fines de control del tráfico ubicadas, concretamente, en semáforos.

Ya lo comentábamos en nuestro post de la semana pasada (ver aquí); los dispositivos de videovigilancia pueden tener un carácter fijo o móvil. Y si bien, en el mencionado post, centrábamos nuestra atención en las cámaras móviles, en esta ocasión nos focalizaremos en las cámaras de videovigilancia fijas. ¿Son estás cámaras acordes a la legislación vigente?, ¿Qué requisitos han de cumplir para ello?

Recordemos que las cámaras que vigilan la vía y espacios públicos sólo pueden ser operadas, con carácter general, por las Fuerzas y Cuerpos de Seguridad del Estado. Así lo dispone la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos (en adelante, LO 4/1997) y el Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997 (en adelante, RD 596/1999).

Atendiendo a lo establecido en el marco normativo regulatorio descrito, así como en el Informe jurídico de la AEPD objeto de este artículo, las cámaras fijas instaladas deberán cumplir con el principio de proporcionalidad, de modo que el sistema escogido sea tal y como indica el artículo 6 de la LO 4/1997:

- Idóneo para el mantenimiento de la seguridad ciudadana.
- Ponderado o equilibrado por derivarse de su instalación más beneficios o ventajas para el interés general que perjuicios sobre los derechos de honor, propia imagen e intimidad de los ciudadanos afectados.
- Necesario como consecuencia de la existencia de un razonable riesgo para la seguridad ciudadana.

¿Quién será el órgano competente y encargado para instalar dichas cámaras de videovigilancia fijas?

Lo primero que hemos de indicar es que, tal y como recoge el artículo 3 de la LO 4/1997, la instalación de videocámaras de carácter fijo está sujeta al régimen de autorización. Serán las Administraciones públicas con competencia para la regulación del tráfico las que, a través de una resolución, previo informe preceptivo y vinculante de la Comisión de Garantías de la Videovigilancia de la Comunidad Autónoma correspondiente, autorizarán la instalación y el uso de las cámaras de videovigilancia. Así lo establece el artículo 2 de la disposición adicional única del RD 596/1999.  

En lo que se refiere al contenido de dicha resolución, es el propio artículo 3 de la LO 4/1997, el que recoge los requisitos que deberán tener las resoluciones que autoricen las instalaciones fijas:

Es una realidad constatada el que, desde hace ya algunos años, estamos asistiendo a un cambio en la forma de realizar nuestras compras y contrataciones. La llegada y afianzamiento de las nuevas tecnologías de la información han contribuido al desarrollo de un nuevo método de compra, el e-commerce, que resulta ser más cómodo y rápido para el usuario, en el que las adquisiciones no están sujetas a horarios de apertura y en el que basta con tener a mano un dispositivo con conexión a internet para, a golpe de clic, adquirir los productos y servicios deseados.

Una reciente encuesta publicada por el Instituto Nacional de Estadística (INE) refleja un incremento exponencial, a lo largo de los últimos años, en el porcentaje de población española que realiza adquisiciones de bienes y servicios online. Incremento que supone, a su vez, una puerta abierta a ciberdelincuentes que, conocedores de las debilidades de los usuarios y haciendo uso de técnicas cada vez más sofisticadas, estafan a numerosos consumidores.

Para hacer frente a cómo prevenir y actuar ante estas situaciones, así como para paliar la inseguridad que sigue estando presente en muchos hogares españoles a la hora de comprar por internet, la Agencia Española de Protección de Datos (en adelante, AEPD), el Instituto Nacional de Ciberseguridad (INCIBE), la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) y la Policía Nacional elaboraron, de manera conjunta, la guía práctica de compra segura en Internet. Una guía cuya finalidad principal es la de promover buenas prácticas que favorezcan la confianza de los internautas en las contrataciones en un ámbito, como es el entorno digital, en el que este valor se conforma como un pilar fundamental.

Entonces, ¿Cuáles son los pasos a seguir antes, durante y después de nuestra compra online para hacer de la misma una compra segura?

DE MANERA PREVIA A LA REALIZACION DE LA COMPRA

En aras de evitar que los datos intercambiados entre el usuario y la tienda online se vean comprometidos como consecuencia de una infección por malware, tan importante es configurar correctamente el dispositivo que vamos a utilizar, como navegar a través de una conexión de confianza que salvaguarde nuestra información. ¿Qué puedo hacer como usuario?:

- Instalar una herramienta antivirus y analizar el dispositivo antes de realizar la transacción para detectar posibles amenazas. 
- Disponer de las últimas versiones de los sistemas operativos así como de las app utilizadas.
- No hacer uso de dispositivos electrónicos y redes WiFi públicas en aquellas transacciones en las que hay intercambio de información confidencial.

Una vez que hayamos puesto a punto nuestros dispositivos, el siguiente paso será realizar la compra sólo en aquellas páginas web o apps que nos ofrezcan unos mínimos de seguridad, tales como la utilización de un protocolo HTTPS, encargado de proteger la seguridad de la información intercambiada durante el proceso de compra cifrando dicha información y verificando la identidad del sitio web.

Asimismo, el usuario deberá revisar la información legal que proporciona el titular de la página web: quiénes son, dónde tienen domicilio fiscal, qué datos recopilan de los usuarios y con qué fin, formas de pago que permiten, política de envío y devolución. Dicha información será facilitada a través de los textos de aviso legal, política de cookies, y política de privacidad respecto de los cuales ya nos pronunciamos en un post del presente blog (aquí).

 DURANTE LA REALIZACIÓN DE LA COMPRA

Página 1 de 3

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal