Muchos son los centros escolares que se encuentran actualmente en pleno periodo de matriculación.

Ello trae consigo que, desde el propio entorno familiar, sean numerosas las cuestiones a dirimir entre aquellos quienes ostentan la patria potestad de sus hijos o tutelados, siempre y cuando éstos no se encuentren emancipados ni sean mayores de edad económicamente dependientes, puesto que, en tales supuestos, serán ellos quienes ostenten la capacidad de poder consentir con relación al tratamiento que el centro haga de sus datos de carácter personal.

Además, desde el propio centro, es una temática que puede llegar a generar conflicto, por el desconocimiento, muchas veces, acerca de cómo proceder a la recopilación de los consentimientos por parte de los alumnos o padres de alumnos, así como en aquellos supuestos en los que no se comparta la patria potestad entre los propios progenitores. 

En el presente artículo vamos a tratar de dar respuesta a algunas de las cuestiones que creemos que pueden llegar a causar más confusión, tanto por parte de las familias, como por parte de los propios centros escolares:

  1. ¿Qué requisitos deberán cumplir los consentimientos para ser considerados válidos?

En primer lugar, debemos indicar que el Reglamento Europeo de Protección de Datos (RGPD), entiende el término “consentimiento” como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Con la entrada en vigor del RGPD, el consentimiento tácito no se entiende, por tanto, como un consentimiento válido, debiendo atender en todo momento a los requisitos de validez que se indican en el propio precepto mencionado.

  1. ¿Quiénes deben otorgar los consentimientos para la realización del tratamiento de datos personales de los alumnos en los centros escolares?

En primer lugar, debemos indicar que el artículo 162 del Código Civil (CC) exceptúa de la obligación de quienes ostentan la patria potestad, la realización de todos aquellos actos relativos a los derechos de la personalidad del hijo, siempre de acuerdo con su madurez. Cabe recordar que el derecho a la protección de datos se trata de un derecho personalísimo, que podrá ser ejercido por el menor, siempre y cuando tenga más de 14 años, como ahora veremos.

A tenor de lo dispuesto, y en lo relativo al tratamiento de los datos personales de los alumnos mayores de 14 años, debemos recordar que la mayoría de edad en materia de protección de datos, opera a partir de los 14 años, tal y como señala el artículo 7 la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales (LOPDGDD), por lo que, siempre y cuando el menor sea mayor de dicha edad, exceptuando aquellos supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la realización de determinados actos o negocios jurídicos, tendrá potestad para decidir el tratamiento de sus datos de carácter personal por parte del centro.

Ahora bien, ¿puede el alumno mayor de 14 años otorgar consentimiento en lo relativo a los datos de sus familiares?

Cada vez son más las empresas en nuestro país que están empezando a implantar el sistema de teletrabajo, consistente en dotar al empleado de la posibilidad de trabajar en su domicilio o en el lugar elegido libremente por éste, sin la necesidad de acudir de manera presencial al centro de trabajo en la empresa.

Los beneficios que este modo de trabajo puede llegar a proporcionar tanto al empleador como a la propia empresa son numerosos, dotando, por una parte, al trabajador de una mayor flexibilidad de horario, así como permitirle una mejor conciliación de la vida profesional y familiar, y, por otra parte, la empresa podrá ver reducidos sus costes en infraestructuras e instalaciones, así como un mayor acceso a la colaboración con profesionales altamente cualificados que no pudieran aceptar el trabajar diariamente en una oficina.

Si bien es cierto que el sistema de teletrabajo todavía no se encuentra instaurado de manera generalizada en nuestro país, desde el último trimestre del pasado año 2019, las cifras se han visto incrementadas respecto a las de años anteriores, llegando a alcanzar el número de personas ocupadas que realizan teletrabajo un total de 1’5 millones, lo que equivale a un 7’9% de la población total ocupada, según nos indica el informe de “The Adecco Group Institute”

El marco normativo regulador del teletrabajo en nuestro país lo encontramos en el artículo 13 del Estatuto de los Trabajadores, que recoge las siguientes cuestiones:

  • Define el concepto de teletrabajo, indicando que el acuerdo por el que se establezca el mismo deberá formalizarse por escrito.
  • Iguala los derechos de los trabajadores a distancia con los trabajadores que realicen su trabajado en el centro de trabajo de la empresa, salvo excepciones.
  • Determina la obligación del empleador a establecer los medios necesarios para que los trabajadores tengan asegurado el acceso a la formación profesional para el desarrollo efectivo del empleo, con el fin de favorecer su promoción profesional.
  • Indica los derechos de los trabajadores a distancia a una adecuada protección en materia de seguridad, en base a lo establecido en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, y su normativa de desarrollo.

También nos parece importante señalar lo establecido en la Ley 3/2012, de 6 de julio, de medidas urgentes para la reforma del mercado laboral en relación con el teletrabajo, que, si bien no procede a establecer ningún tipo de regulación, sí considera importante darle cabida, con el fin de promover nuevas formas de desarrollar la actividad laboral. Además, entiende que el teletrabajo esuna particular forma de organización del trabajo que encaja perfectamente en el modelo productivo y económico que se persigue, al favorecer la flexibilidad de las empresas en la organización del trabajo, incrementar las oportunidades de empleo y optimizar la relación entre tiempo de trabajo y vida personal y familiar.”

A raíz del estado de alarma ocasionado por la crisis sanitaria en la que nos encontramos actualmente, el Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 también entra a regular en su artículo 5 el trabajo a distancia o teletrabajo, indicando, en primer lugar, su carácter preferente. El mencionado artículo señala una serie de cuestiones que consideramos relevantes destacar:

En los tiempos que corren es difícil no ser conocedor de la existencia de las aplicaciones de citas, las cuales, sin lugar a duda, están revolucionando el entorno digital, así como la manera de relacionarnos entre los seres humanos.

A tenor de la reciente noticia, relativa a la publicación de miles de fotografías de los usuarios de la aplicación Tinder en diversos foros de internet, en el presente artículo, en el que tomaremos como base el Informe “OUT OF CONTROL: How consumers are exploited by the online advertising industry” (FUERA DE CONTROL: Cómo los consumidores son explotados por la industria de la publicidad online”, disponible en inglés) elaborado por el Consejo de Consumidores de Noruega, así como las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD, adoptadas el 3 de octubre de 2017 por el Grupo de Trabajo del Artículo 29 (“GT29”, y actual Comité Europeo de Protección de Datos), analizaremos cómo Tinder,  una de las aplicaciones más populares de citas y encuentros, que cuenta con más de 100 millones de descargas, estaría vulnerando algunas de las exigencias y principios en materia de protección de datos que recoge el Reglamento Europeo de Protección de Datos (en adelante, RGPD). Además, trataremos de explicar cómo debe proceder la industria de las “apps”, para cumplir con la normativa vigente en esta materia.  

Procedemos a dividir el presente análisis de la aplicación Tinder en los siguientes apartados:

  1. Elaboración de perfiles que realiza la aplicación a sus usuarios.
  2. Legitimación del tratamiento de los datos de sus usuarios.
  3. Principios de la normativa en materia de protección de datos.

ELABORACIÓN DE PERFILES

La aplicación de citas y encuentros Tinder realiza perfilado de sus usuarios mediante diferentes medios de tecnología publicitaria, con el fin de mostrarles publicidad dirigida y personalizada, procediendo a una previa categorización de los mismos.

El artículo 4.4 RGPD define el concepto de elaboración de perfiles como “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.”

 Asimismo, el Reglamento faculta a toda persona física a oponerse a este tratamiento automatizado de sus datos, indicando en su artículo 22.1 que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”

Con carácter general, el interesado tiene derecho a no ser objetivo de decisiones basadas en tratamientos automatizados, donde encontramos la elaboración de perfiles, siempre y cuando no concurran las excepciones recogidas en el artículo 22.2 RGPD:

  • Ejecución de un contrato.
  • Autorizado por el Derechos de la Unión o de los Estados Miembros de la UE.
  • Consentimiento explícito del interesado.

Del contenido de la Política de Privacidad de Tinder, que en los siguientes puntos también analizaremos, no podemos considerar que se indique de manera clara, cuál de las excepciones previstas en el artículo 22.2 RGPD, aplica Tinder para realizar perfilado de sus usuarios.

LEGITIMACIÓN DEL TRATAMIENTO

La política de privacidad de la aplicación establece que las bases legitimadoras del tratamiento de los datos que la aplicación recaba de sus usuarios son los siguientes:

  1. Consentimiento: con el fin de utilizar la información de los usuarios para razones específicas (no se detallan más cuestiones al respecto). También se da la opción al usuario de retirar el consentimiento en el momento que así desee.
  2. Interés legítimo: a la hora de analizar el comportamiento de sus usuarios sobre sus servicios para sugerirles y mejorarles ofertas que les puedan ser de su interés.

En relación con el consentimiento podemos observar que la aplicación Tinder no estaría cumpliendo con las exigencias dispuestas en la normativa a tal efecto, las cuales, tal y como señala el artículo 4 apartado 11 RGPD, deberá ser en todo caso una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa”, el tratamiento de sus datos. Igualmente, en el considerando 32 se establece la obligación de dar el consentimiento para cada uno de los fines del tratamiento, cuestión que podemos comprobar que no se realiza, al ser cada una de las filiales responsables en el tratamiento de los datos que recaban, y no otorgarse consentimiento para dichas cesiones de datos. 

En la propia política de privacidad de Tinder, se indica que la aplicación compartirá “cierta información de los usuarios con proveedores de servicios y socios que nos asisten en la operación de nuestros servicios, como otras compañías de Match Group y, en algunos casos, con las autoridades legales.” Podemos inferir, por tanto, que la empresa podrá ceder sus datos a más de las 45 empresas pertenecientes a Match Group, compañía que pertenece y opera con datos de sitios web, entre los que se encuentra la citada aplicación.

Dada la gran relevancia que ha supuesto el cambio jurisprudencial del Tribunal Europeo de Derechos Humanos (en adelante, TEDH), con la sentencia de la Gran Sala, dictada el pasado 17 de octubre de 2019 en el caso de López Ribalda y otros c. España (solicitudes nos 1874/13 y 8567/13), vemos necesario abordar en el presente artículo los fundamentos que han llevado a la Gran Sala del TEDH a sentenciar, en contraposición a lo dispuesto previamente en la Sentencia dictada por la Sección Tercera del TEDH, a favor de los derechos del empleador de una conocida cadena de supermercados española, determinando así la validez, ante determinados supuestos, de los controles a los trabajadores mediante sistemas de videovigilancia, sin haber sido éstos informados previamente al respecto.

La Sentencia declara no haber violación de los artículos 8 (derecho al respeto a la vida privada y familiar) y 6.1 (derecho a un proceso equitativo) del Convenio Europeo de Derechos Humanos (en adelante, CEDH), tal y como solicitaban los empleados demandantes.

Los hechos objeto de la presente sentencia se desarrollaron en julio del año 2009, cuando la cadena de supermercados empezó a detectar notorias irregularidades entre la cantidad de existencias y las cifras de ventas, por lo que se procedió así a la instalación de sistemas de videovigilancia tanto visibles como ocultos, con el fin de comprobar sus sospechas de robo. Los trabajadores fueron conocedores de la instalación de videovigilancia que enfocaban a las puertas de entrada, pero no de aquellas que enfocaban de manera directa a las cajas registradoras.

Tras proceder al despido disciplinario de los empleados en base a las grabaciones realizadas por medio de los sistemas de videovigilancia, cinco fueron las demandantes que iniciaron procedimiento ante el Tribunal de lo Social y posteriormente ante el Tribunal Superior de Justicia, quienes consideraron que la medida de videovigilancia encubierta fue justificada, necesaria y proporcional con el fin perseguido, de conformidad con el artículo 20.3 del Estatuto de los Trabajadores, donde se establece que “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales (…)”.

Ahora bien, ¿en qué difieren la Sentencia dictada por la Sección Tercera del TEDH y la dictada tras la remisión del Gobierno ante la Gran Sala del propio TEDH, y por qué ésta última supone un cambio jurisprudencial tan notorio? Además de ello, ¿en qué medida se han visto afectados en este supuesto los derechos en materia de protección de datos?

Como consecuencia del nuevo paradigma normativo, la Agencia Española de Protección de Datos (en adelante, AEPD), ha publicado este pasado 8 de noviembre una nueva Guía sobre el uso de las cookies, con el fin de ofrecer las orientaciones oportunas para poder cumplir correctamente con la legislación en materia de protección de datos, a raíz de la plena aplicación del Reglamento General de Protección de Datos (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales, así como con el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.

La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

Esta primera información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.

Uno de los mecanismos de información es acudir a la información por niveles o capas de forma que se muestre la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información más detallada y específica sobre las cookies.

Es importante señalar las MODALIDADES PARA LA OBTENCIÓN DEL CONSENTIMIENTO PARA EL USO DE LAS COOKIES que recoge la Guía, a fin de determinar aquellos métodos más apropiados para cumplir con la normativa, y que serían los siguientes:

  • Cuando se solicite el alta en un servicio, siempre y cuando el consentimiento se encuentre de manera separada y no se encuentre junto con el resto de las cláusulas legales de la web.
  • Durante el proceso de configuración del funcionamiento de la web o aplicación.
  • A través de plataformas de gestión del consentimiento, siempre y cuando éstas cumplan los requisitos y garantías necesarias, tales como:
    1. Informar previamente al usuario de una manera clara, cumpliendo así con los requisitos de transparencia.
    2. Obtener el consentimiento válido de los usuarios, mediante una clara acción afirmativa por parte de éstos.
    3. Respetar la solicitud del usuario en cuanto al consentimiento, así como proporcionarles los mecanismos necesarios y atender a su derecho de revocación del consentimiento.
  • Antes de proceder a la descarga de un servicio o aplicación en la web, salvo en el supuesto de que una web ofrezca contenidos audiovisuales, al entenderse que, en tal supuesto, el propio usuario ha sido quien ha solicitado expresamente el servicio, supuesto en el cual no sería necesario requerirle su consentimiento.
  • A través de la información en dos capas, debiendo incluirse en la primera capa la petición del consentimiento para el uso de las cookies.

Este mecanismo de información por capas es uno de los métodos más habituales empleados parte de los prestadores de servicios de la sociedad de la información a la hora de solicitar el consentimiento a los usuarios para la aceptación de las cookies, así como para informar acerca de la información básica (recogida en la primera capa) y la información adicional requerida (recogida en la segunda capa).

¿Qué deberá contener la primera capa?

En publicaciones anteriores del blog hemos indicado cómo el Sistema de Información Schengen II garantiza la protección de nuestros datos personales, teniendo como objetivo la eliminación de los controles fronterizos internos, tratando de garantizar, en todo caso, un alto nivel de seguridad y justicia en todos los países miembros de la UE.

La Comisión Europea, estableció en el año 2010 como uno de los pilares básicos de su "Estrategia de Seguridad Interior de la UE en acción: cinco medidas para una Europa más segura", el reforzar la seguridad a través de la gestión de fronteras. Uno de los aspectos estratégicos para la consecución del objetivo radicaba en un mayor uso de las nuevas tecnologías en los controles fronterizos, mediante la segunda generación del Sistema de Información de Schengen (SIS II) ya indicado en el párrafo anterior; un sistema de entrada/salida y programa de registro de pasajeros, así como mediante el Sistema de Información de Visados (Visa Informatión System, en adelante, VIS).

En el presente artículo, vamos a proceder al análisis del VIS, instrumento que se encuentra dentro del marco Schengen, a raíz de los ataques del 11 de septiembre de 2001, establecido por la Decisión 2004/512/CE del Consejo, de 8 de junio de 2004, por la que se establece el Sistema de Información de Visados (VIS) y que fue concebido con un doble objetivo:

  • Aplicación de una política de visados común dentro de los Estados Miembros de la UE, con el fin de facilitar el examen de las solicitudes de los visados y control de las fronteras exteriores.
  • Prevenir las amenazas a la seguridad interior de los Estados Miembros.

¿Qué es el VIS?

El VIS es la base de datos que recoge la información sobre aquellos solicitantes de visados Schengen, que permite a los países que integran el espacio Schengen, procesar datos y decisiones relacionadas con las solicitudes de visados de corta duración, con el fin de visitar o transitar por el Área Schengen, a fin de incrementar la seguridad y la mejora en la gestión de las fronteras exteriores de la UE.

El VIS contiene información sobre los ciudadanos no pertenecientes a la UE que solicitan visados Schengen de corta duración. Sirve para conectar a los guardas fronterizos en las fronteras exteriores de la UE con los consulados de los Estados Miembros en todo el mundo. Es uno de los sistemas más avanzados de este tipo, conteniendo más de 55 solicitudes de visa y cerca de 47 millones de huellas dactilares. Cada año, los Estados Miembros de la UE procesan alrededor de 18 millones de solicitudes para estas visas Schengen de corta duración.

En la actualidad, los países que se encuentran adheridos a este sistema son la mayoría de los estados miembros de la UE, a excepción de Chipre, Croacia, Irlanda y Reino Unido. Bulgaria y Rumanía se encuentran en proceso de adherirse al Área Schengen. También forman parte de ésta, estados no pertenecientes a la UE, como Islandia, Noruega, Suiza y Liechtenstein.

Este Sistema de Información de Visados viene regulado en el  REGLAMENTO (CE) Nº 767/2008 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corte duración entre los Estados miembros (Reglamento VIS), cuyo objetivo radica en “mejorar la aplicación de la política común de visados, la cooperación consular y las consultas entre las autoridades centrales de visados, facilitando el intercambio de datos entre los Estados miembros sobre las solicitudes y sobre las decisiones relativas a las misma”, y cuyas disposiciones fueron modificadas por el Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) n.º 767/2008 y (UE) n.º 1077/2011.

Entre sus principales finalidades, podemos encontrar las siguientes:

Muchos son los interrogantes que se nos plantean a la hora de determinar si podemos o no considerar las matrículas de los vehículos como datos de carácter personal conforme a la legislación vigente.

Si bien es cierto que el criterio mayoritario que nuestra autoridad de control en materia de protección de datos (Agencia Española de Protección de Datos, en adelante “AEPD”) está adoptando, es el considerar que las matrículas de los vehículos sí constituyen un dato de carácter personal, y, por tanto, sometidas a las previsiones recogidas en la normativa en materia de protección de datos (Reglamento General de Protección de Datos, en adelante “RGPD” y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales), a continuación podemos comprobar que estos pronunciamientos no son de carácter unánime, tanto por parte de la propia AEPD, como por otros Tribunales, al considerar que tales datos no son datos de carácter personal.

En primer lugar, y para poder dar una respuesta a esta cuestión, debemos preguntarnos, ¿qué es un dato de carácter personal?

El artículo 4.1 RGPD define dato de carácter personal como “toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”

Atendiendo a la definición que el propio RGPD nos proporciona del concepto de dato de carácter personal, podemos inferir que, mediante la matrícula de un vehículo, indirectamente se podría llegar a identificar al titular del vehículo, y, por tanto, tratarse de un dato de carácter personal.

Ahora bien, ¿en qué supuestos ha entendido la AEPD que las matrículas de vehículos son datos de carácter personal?

Viernes, 12 Julio 2019 21:48

Absolución en el caso "SeriesYonkis"

El pasado 21 de junio, la Magistrada de la Sección 4ª del Juzgado de lo Penal de Murcia, dictó sentencia absolutoria en materia de propiedad intelectual para los fundadores de la conocida web de enlaces “SeriesYonkis”.

Muchas son las voces discordantes con dicha resolución, empezando por el Ministerio Fiscal, como acusación particular, quien considera a los cuatro acusados autores de un delito continuado contra la propiedad intelectual, acto previsto y penado en los artículos 270, 271 a) y 74 de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (en adelante, CP)

Tras la reforma operada por LO 5/2010, de 22 de junio, el artículo 270.2 CP indica lo siguiente:

“La misma pena se impondrá a quien, en la prestación de servicios de la sociedad de la información, con ánimo de obtener un beneficio económico directo o indirecto, y en perjuicio de tercero, facilite de modo activo y no neutral y sin limitarse a un tratamiento meramente técnico, el acceso o la localización en internet de obras o prestaciones objeto de propiedad intelectual sin la autorización de los titulares de los correspondientes derechos o de sus cesionarios, en particular ofreciendo listados ordenados y clasificados de enlaces a las obras y contenidos referidos anteriormente, aunque dichos enlaces hubieran sido facilitados inicialmente por los destinatarios de sus servicios".

Queda acreditado, y así lo señala la propia Sentencia, que la página web "SeriesYonkis" objeto de este artículo, contenía enlaces o hipervínculos estructurados, ordenados y clasificados según diferentes criterios: orden alfabético, género, contenido, últimos estrenos, últimas incorporaciones, pudiendo contener asimismo una sinopsis de la obra y de su carátula correspondiente. 

Por lo tanto, la nueva reforma del CP prevé expresamente la tipicidad penal de la conducta realizada por los creadores de la web, consistente en ofrecer listados ordenados y clasificados de enlaces a obras o prestaciones objeto de propiedad intelectual sin las autorizaciones pertinentes, obteniendo así un beneficio indirecto (derivado de la publicidad que aparecía en la propia página web, no así del número de descargas del contenido audiovisual), a pesar de no ser los creadores de la web quienes propiamente hubiesen facilitado los enlaces a los contenidos protegidos, sino los propios uploaders.

Asimismo, el artículo 271.a) establece que:

“Se impondrá la pena de prisión de dos a seis años, multa de dieciocho a treinta y seis meses e inhabilitación especial para el ejercicio de la profesión relacionada con el delito cometido, por un período de dos a cinco años, cuando se cometa el delito del artículo anterior concurriendo alguna de las siguientes circunstancias: a) Que el beneficio obtenido o que se hubiera podido obtener posea especial trascendencia económica”.

Por otra parte, la acusación particular ejercida por EGEDA (Entidad de Gestión de Derechos de los Productos Audiovisuales) entiende, además de los preceptos anteriormente citados, vulneración de los apartados b) y c) del propio artículo 271 CP:

  • Art. 271. b) Que los hechos revistan especial gravedad, atendiendo el valor de los objetos producidos ilícitamente, el número de obras, o de la transformación, ejecución o interpretación de las mismas, ilícitamente reproducidas, distribuidas, comunicadas al público o puestas a su disposición, o a la especial importancia de los perjuicios ocasionados.
  • Art. 271.c) Que el culpable perteneciere a una organización o asociación, incluso de carácter transitorio, que tuviese como finalidad la realización de actividades infractoras de derechos de propiedad intelectual.

La Entidad reclama a los creadores de SeriesYonkis una sanción cuyo importe asciende a un total de 546.166.421€ por infracción del artículo 74CP.

La entrada en vigor del Reglamento Europeo de Protección de Datos (en adelante RPGD) en mayo del 2016, trajo consigo tal cambio de paradigma en lo relativo a regulación y armonización de la normativa en materia de protección de datos en todos los países miembros de la UE, que, aún a día de hoy, transcurridos tres años desde su entrada en vigor y un año desde su plena aplicación, pasando a ser directamente aplicable en todos y cada uno de los estados miembros, nos es muy difícil predecir cómo las autoridades de control van a manifestarse y proceder a sancionar todos y cada uno de los incumplimientos de las obligaciones contenidas en el mismo.

En nuestro país, no ha sido hasta el pasado 7 de diciembre del 2018 hasta que nos hemos dotado de una regulación a nivel nacional tras la entrada en vigor del RGPD. La nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales (en adelante, LOPDGDD) tiene, como principal objetivo, el adaptar nuestro ordenamiento jurídico español en materia de protección de datos al RGPD, así como garantizar los derechos digitales de los ciudadanos, al amparo de lo dispuesto en el artículo 18.4 de la Constitución Española, precepto que limita el uso de la informática con el fin de garantizar el honor y la intimidad personal y familiar de los ciudadanos, así como el pleno ejercicio de los derechos. 

La LOPDGDD incorpora grandes cambios respecto a las exigencias contenidas tanto en la ya derogada LOPD 15/1999 como en su Reglamento de Desarrollo, siendo el más significativo, el desarrollo en su Título X de la garantía de los derechos digitales de los ciudadanos.

No es motivo de este artículo proceder a enumerar todos los cambios normativos que la nueva LOPDGDD introduce respecto de la anterior normativa, al ya haber sido objeto de análisis en varias publicaciones (ver aquí, ver aquí), pero sí consideramos interesante el realizar un sucinto análisis del cambio que se ha producido respecto a la notificación y gestión de las brechas de seguridad, así como realizar un breve resumen de las brechas que han sido notificadas ante la Agencia Española de Protección de Datos (en adelante, AEPD) a lo largo del pasado año desde la plena aplicación del RGPD.

En primer lugar, debemos hacer una clara diferencia entre “incidente de seguridad” y “brecha de seguridad”, puesto que son dos términos que tienen a confundirse.

A partir del 14 de septiembre del presente año, entra en vigor el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (en adelante, el Reglamento).  

El objeto del presente artículo es dotar al lector de una visión más aproximada acerca de las cuestiones que plantea el citado Reglamento, el cual, y a la vista está, no ha gozado de tanto reconocimiento ni repercusión como el ya conocido Reglamento General de Protección de Datos (en adelante, RGPD).

No son baladíes las cuestiones que se recogen, tanto en la Directiva (UE) 2015/2366 (en adelante, la Directiva), como en el Reglamento que la complementa, al entrar a regular y desarrollar ambas normativas las cuestiones relativas a la autenticación reforzada del cliente en lo referido a aquellos servicios de pago ofrecidos electrónicamente.

Con el avance de la tecnología, los riesgos en la seguridad relativa a los pagos electrónicos se han visto notoriamente incrementados. Anterior a la entrada en vigor del Reglamento, la legislación europea relativa a los sectores del mercado de pagos, que comprendía los pagos realizados con tarjeta, por internet, y los pagos móviles, no se encontraba lo suficientemente armonizada, generando tal inseguridad jurídica y desprotección de los consumidores, que la necesidad de una regulación común y una aplicación uniforme del marco regulación en la Unión era acuciante.

Debemos recalcar la importancia de la seguridad de los pagos electrónicos con el fin de establecer en la práctica, las medidas necesarias enfocadas a garantizar la protección de los usuarios dentro del comercio electrónico. Todos estos servicios ofrecidos de manera electrónica deben gozar de una adecuada protección, de manera que permitan garantizar una autenticación segura por parte del usuario, minimizando así el riesgo de fraude en el pago, u otro tipo de abusos que puedan llegar a producirse a la hora de realizar transacciones por internet.

Es por ello, que la Directiva, procede a definir, en su artículo 4, el concepto de “autenticación reforzada de cliente”, que hace referencia a la autenticación basada en dos o más elementos, de carácter independiente, entre los que encontramos los siguientes:

  • Conocimiento (algo que solamente conoce el usuario, como pudiera ser una contraseña).
  • Posesión (algo que solo posee el usuario, como un smartphone o una Tablet).
  • Inherencia (algo que es del usuario, por ejemplo, sensores biométricos, como puede ser su huella dactilar o reconocimiento facial).

La última cuestión relativa a la inherencia del usuario puede plantear interesantes cuestiones en lo que se refiere a la determinación de las obligaciones de los proveedores que realicen el tratamiento de los datos biométricos, catalogados en el RGPD como datos personales de carácter sensible, y que gozan de una especial atención a la hora de su tratamiento. 

Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal