Con la reciente entrada del año, una de las fechas claves de esta festividad se va aproximando. Los más pequeños de la familia esperan deseosos y expectantes la llegada de los Reyes Magos, quienes cada año, y recién llegados de Oriente, depositan en sus casas grandes cantidades de regalos.  

Los juguetes tradicionales van perdiendo popularidad frente a un nuevo modelo que ya ha venido para quedarse. Son los denominados “juguetes conectados.”

Tomando como base la guía de juguetes conectados, elaborada por el Instituto Nacional de Ciberseguridad (INCIBE), a través Internet Segura for Kids (IS4K), y por la Asociación Española de Fabricantes de Juguetes, así como la infografía realizada por la Agencia Española de Protección de Datos sobre juguetes conectados, iremos dando respuesta a las numerosas cuestiones que el uso de estos nuevos juguetes puede plantear en relación con la privacidad de los más pequeños.

Antes de tomar la decisión de comprar un juguete conectado, en primer lugar, debemos preguntarnos: ¿qué es un juguete conectado y cuáles son sus funciones?

A diferencia de los juegues tradicionales, la principal característica que albergan estos juguetes conectados es su conexión a internet, así como su interacción con otros dispositivos domésticos, para el intercambio de datos y recopilación de información sobre sus usuarios, normalmente, mediante la instalación de una app y la creación de una cuenta. Además, han de ir dirigidos a niños, excluyendo de tal definición todos aquellos dispositivos de ocio digital dirigidos a usuarios adultos.

Las funciones que un juguete conectado puede realizar son numerosas: desde grabar, registrar, reproducir o reconocer imágenes y sonidos a través de los micrófonos, sensores y cámaras incorporadas en los mismos, hasta interactuar con otras aplicaciones mediante otros dispositivos informáticos, navegar o comunicarse a través de la red.

Otra de las cuestiones que debemos plantearnos es: ¿con qué finalidad se recaban estos datos?

Los juguetes conectados recaban numerosos datos de sus usuarios, tales como los propios datos personales del menor, así como los de su familia, información sobre sus gustos, horarios, localización, imágenes, videos y sonidos grabados dentro del entorno doméstico y familiar del menor. Toda esta información se registra a través de internet, y no es difícil que el uso que se realice de dichas informaciones no sea del todo correcto, pudiendo llegar a producirse filtraciones de los datos a través de la red, con todas las consecuencias perjudiciales que ello podría suponer para la reputación del menor.

El uso de estos juguetes también puede conllevar serios perjuicios en la privacidad de terceros, al poder utilizarse la cámara y los micrófonos para grabar, e incluso espiar a otras personas sin su consentimiento.

Todo ello nos lleva a plantearnos cuál es el verdadero objetivo del almacenamiento y recopilación de los datos, y respondiendo a esta cuestión nos encontramos con varios fines:

Martes, 27 Noviembre 2018 17:49

La nueva LOPD llega con polémica incluida

 

Tras el rechazo en el Pleno del Congreso de los Diputados a las 32 enmiendas planteadas en el Senado al Proyecto de Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (PLOPD), el pasado 20 de noviembre el Pleno del Senado aprobó por mayoría absoluta la que pasará a ser nuestra nueva Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPD), que sustituirá a la ya desfasada LOPD 15/1999.

La nueva LOPD se prevé que entre en vigor en los próximos días y muchas han sido las modificaciones que ha sufrido el Proyecto desde su publicación en el BOE en noviembre del pasado año hasta su actual redacción, siendo la más sugerente el propio encabezado de la Ley, reconociendo y vinculando la Garantía de los Derechos Digitales a la Protección de Datos de Carácter Personal.

La configuración final del articulado de la nueva LOPD es el mismo que se preveía en el informe de la ponencia del PLOPD y Garantía de los Derechos Digitales publicado en el BOE el 9 de octubre del presente año, al no haber sido aceptada ninguna de las enmiendas planteadas en el Senado. La estructura de nuestra nueva LOPD, por tanto, va a ser la siguiente:

- Un total de 96 artículos, divididos en 10 títulos, 22 disposiciones adicionales, 6 disposiciones transitorias y 16 disposiciones finales.

Ya hemos comentado en otras publicaciones de nuestro Blog las principales diferencias entre la primera versión del PLOPD publicado en noviembre del año pasado respecto a la última versión definitiva publicada el 9 de octubre, que será la que finalmente entre en vigor en los próximos días.

Una de las principales novedades que introduce la nueva LOPD es su Título X, donde se reconocen una serie de derechos digitales, que tampoco se han visto exentos de enmiendas por el Senado, así como de críticas por parte de expertos en la materia, quienes no consideran del todo acertado el incorporar los derechos digitales relativos al ámbito laboral en una ley de protección de datos, y no así en legislaciones que regulen de manera específica las relaciones laborales de los trabajadores, como en la negociación colectiva, o en los propios procedimientos internos de las empresas. Entre dichos artículos se reconocen el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, el derecho a la desconexión digital, derecho a la intimidad frente al uso de dispositivos de videovigilancia, grabación en el lugar de trabajo y el uso de sistemas de geolocalización. Aún es pronto para que podamos prever los efectos jurídicos derivados de la incorporación de estos derechos en una normativa de protección de datos, pero lo que sí debemos tener claro es que todos ellos deberán tenerse en consideración en el resto de los ámbitos de nuestro Ordenamiento Jurídico.

Para finalizar, debemos hacer referencia a la disposición final tercera de la nueva LOPD que no ha dejado indiferente a nadie. El pasado 18 de abril el Grupo Parlamentario Socialista realizó una enmienda de adición a la nueva LOPD del artículo 58 bis a la L.O 15/1985, de 19 de junio, del Régimen Electoral General (LOREG), que contempla el uso de medios tecnológicos y datos personales en las actividades electorales.

La enmienda, que ha sido adherida el texto definitivo de la nueva LOPD y contaba en un principio con la aprobación de todos los grupos parlamentarios al no haberse realizado ninguna enmienda al respecto, parece contar ahora con más detractores que defensores.

Hace escasos días, el mundo entero se hacía eco de una noticia relativa a Google y al futuro cierre para los usuarios, no así para las empresas, de su conocida, aunque poco exitosa, red social Google +.

El Gigante de Internet achacó como motivo principal del cierre, la poca interacción de sus usuarios, pese a sus ya 7 años de trayectoria, siendo solamente el 10% de los mismos los que realmente llegaban a hacer auténtico uso de ella.

Este motivo, no exento de importancia, unido a la reciente noticia de un fallo de seguridad en una de sus interfaces de programación de aplicaciones (las llamadas API), han sido el detonante para la decisión definitiva del cierre de la red social en agosto del próximo año.

Este fallo de seguridad permitió que 438 aplicaciones tuvieran acceso durante 3 años a todos los datos de carácter personal de cerca de medio millón de usuarios de la red social. Entre tales datos que quedaron al descubierto, se encontraban: el nombre y apellidos del usuario, su fecha de nacimiento, sexo, relación sentimental, lugares donde la persona ha residido, dirección de correo electrónico, habilidades…

El error fue detectado en el pasado mes de marzo, pero, dada la relevancia de las sanciones y procedimientos a seguir que establece el actual marco normativo en materia de protección de datos, liderado por el Reglamento Europeo de Protección de Datos (en adelante, RGPD) a continuación voy a proceder a explicar cuáles hubieran sido las consecuencias si dicho suceso se hubiera producido a partir del 25 de mayo del presente año, cuando el RGPD empezó a desplegar sus plenos efectos.

Antes de proceder al propio análisis, en primer lugar, se debe determinar si este incidente se corresponde o no con una violación de la seguridad de los datos, término que contempla y desarrolla el RGPD

El artículo 4.12 del RGPD define la violación de la seguridad de los datos como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos

Todo parecía indicar, y hasta la propia propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas (en adelante, Reglamento e-Privacy) lo recogía, que, a partir del archiconocido 25 de mayo de 2018, dicho Reglamento, que derogaba la directiva 2002/58/CE, pasaría a ser de plena aplicación, como así lo hizo el Reglamento Europeo de Protección de Datos (en adelante, RGPD).

En efecto, ambos Reglamentos tenían pensado entrar dados de la mano en nuestro ámbito jurídico europeo, pero como todos bien sabemos, ello aún no se ha producido.

El RGPD desplegó sus plenos efectos a partir del pasado 25 de mayo, sin embargo, la propuesta de Reglamento e-Privacy no fue aprobada, por lo que la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas continúa estando en vigor.

Como ya comentamos en anteriores publicaciones, el nuevo Reglamento e-Privacy incorpora numerosas novedades respecto de la Directiva 2002/58/CE, adaptando y actualizando la legislación en materia de privacidad a la nueva realidad digital en la que ya estamos completamente inmersos.

El objeto del Reglamento e-Privacy es la regulación de las cuestiones que afectan a las comunicaciones transmitidas a través de estos nuevos servicios basados en internet, a diferencia de la Directiva, que regula los servicios de comunicación tradicionales, con conceptos muy ambiguos que dificultan una correcta armonización.

La tecnología avanza con pasos de gigante, y nuevas técnicas como el rastreo de los comportamientos en línea de los usuarios finales, la interacciones y comunicaciones de máquina a máquina (el llamado” Internet de las cosas” o ”IOT” [Internet Of Things] en su traducción al inglés), la localización geográfica de los usuarios, de su fecha, hora y tipo de comunicación que están realizando mediante los dispositivos electrónicos, son una más que conocida realidad que se encuentra a la espera de una regulación adaptada a los tiempos que corren.  

Debemos hacer hincapié en uno de los pilares fundamentales del reglamento e-Privacy, que se centra en el consentimiento de los usuarios a la hora de elegir la configuración de la privacidad en sus dispositivos electrónicos.

En una de las encuestas realizadas por la Comisión Europea, se deduce claramente que este es un punto que preocupaba especialmente a los ciudadanos, siendo cerca de un 90% los encuestados que se encuentran a favor de que la configuración predeterminada de su navegador no siga compartiendo su información personal.

 

Para finalizar el estudio y análisis de la guía publicada por la Agencia Española de Protección de Datos (en adelante AEPD) el pasado mes de junio sobre el uso de videocámaras para seguridad y otras finalidades, en el presente artículo vamos a proceder a comentar las dos últimas cuestiones que aborda la AEPD en relación al tratamiento de imágenes a través de las tecnologías emergentes, mediante las denominadas cámaras “on board” y mediante el uso de drones; así como aquellos supuestos donde, a pesar de producirse un tratamiento de imágenes, la normativa de protección de datos no sería de aplicación.

Respecto del tratamiento de imágenes a través de las tecnologías emergentes, se procede a un breve análisis de los tratamientos de las cámaras “On board” y del uso de drones, remitiendo la Guía a una serie de informes jurídicos que permiten ampliar la información de ambos supuestos.

  • Las llamadas cámaras on “board”, son aquellas que se encuentran instaladas en el interior de los vehículos, o bien en el casco del conductor, y cuya finalidad reside en ir grabando el recorrido realizado. Señala la guía una serie de supuestos a los que debemos atender:

    - Cuando éstas se utilizan con finalidades domésticas, se encontrarían excluidas del ámbito de aplicación del Reglamento General de Protección de Datos (en adelante RGPD), salvo que tales grabaciones fueran difundidas en las redes sociales, supuesto donde el Reglamento pasaría a ser de plena aplicación.

    - La Guía hace una especial mención a las grabaciones y captaciones de imágenes en el exterior de los vehículos cuando la finalidad sea la obtención de algún tipo de prueba, a fin de denunciar alguna posible infracción de tráfico. El informe jurídico que se recoge en la Guía da respuesta a esta cuestión, planteando asimismo si tales tratamientos serían o no conformes al RGPD.
    Los sistemas de videovigilancia, al considerarse un tratamiento de datos personales en virtud de los artículos 1.1 y 1.2 del RGPD, han de contar con una fuente de legitimación que ampare dicho tratamiento, previa realización de un juicio de ponderación en aras de determinar qué derecho ha de prevalecer sobre el otro. El interés legítimo, recogido en el art. 6 apartado f) RGPD podría operar siempre y cuando traiga cobertura del derecho de la tutela judicial efectiva.
    Si bien es cierto que la LO 4/1994, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de seguridad en lugares públicos les atribuye competencia exclusiva para la instalación de videocámaras en lugares públicos, podría legitimarse dicho tratamiento de captación de imágenes siempre y cuando se garanticen los principios de limitación y minimización de datos, recogidos en el RGPD. en virtud del art. 5 RGPD .

A pesar de encontrarse dicho tratamiento amparado por el principio de la tutela judicial efectiva, debemos puntualizar que este derecho ha de concretarse de algún modo. El informe de la AEPD de 13 de abril de 2015 expone algunos supuestos :

Viernes, 06 Julio 2018 14:02

Ya está aquí la Memoria de la AEPD 2017

El pasado mes de mayo, la Agencia Española de Protección de datos (en adelante, AEPD o la Agencia) publicó su Memoria anual del año 2017, que viene a reflejar las diferentes líneas de actuación que se han ido ejecutando desde la propia autoridad de control, así como las más de 80 acciones llevadas a cabo, con el objetivo, tanto de acompañar a los responsables para darles las pautas de cara al cumplimiento normativo, como para concienciar a los ciudadanos de todo lo que va a comportar la misma.

Las más de 6 millones y medio de visitas recibidas en la web el pasado año, lo que supone un incremento del 21,5% respecto al año 2016, nos viene a indicar la alta preocupación que ha supuesto de cara a los ciudadanos la llegada del Reglamento Europeo de Protección de datos (en adelante RGPD, o el Reglamento) en relación a la protección de sus datos de carácter personal.

Los temas que han sido objeto de una mayor consulta, han sido los siguientes:

  • Relativos a la inscripción de los ficheros en la Agencia, obligación que desaparece con la entrada del Reglamento, y que se ve sustituida por la creación de un registro de actividades de tratamiento para determinadas entidades
  • Ficheros de solvencia patrimonial
  • Videovigilancia
  • Obligaciones de los responsables de los ficheros
  • El propio RGPD
  • Los derechos ARCO y Derecho al Olvido
  • Cesión de datos de carácter personal
  • Cuestiones relativas a las comunidades de vecinos

La Agencia, por su parte, ha trabajado muy duro para dar soporte y respuesta a todas estas cuestiones y retos planteados, habiendo incrementado notoriamente su eficacia administrativa, como bien se plasma en la Memoria, al producirse una disminución del 33% respecto del año anterior del número de denuncias y reclamaciones en tramitación al acabar el ejercicio.

La mayor parte de los procedimientos tramitados han sido los relativos al envío de comunicaciones comerciales, cuya base radicaba en el hecho de que los responsables no pudieran acreditar el origen de los datos utilizados en sus campañas.

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

 nuevocompliance

Somos un equipo pluridisciplinar de profesionales abogados, economistas, informáticos, auditores, especializados en la organización empresarial y el cumplimiento normativo....

sigpacnou

El Centro de Privacidad SIGPAC es un entorno de trabajo y gestión documental basado en un software desarrollado por PRODAT para la gestión de empresas ...

prodatnou

El Sello de confianza electrónica de PRODAT es especialmente de utilidad para tod@s l@s usuari@s de internet y de todos los nuevos medios electrónicos ...  

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal