A lo largo de estas últimas semanas estamos viendo cómo muchas empresas van volviendo poco a poco a su rutina, y adaptando sus espacios a esta “nueva normalidad”, que está provocando importantes cambios en nuestra manera de comunicarnos y relacionarnos en nuestro día a día. Es en esta nueva realidad donde estamos asistiendo a una importante aceleración en la implantación de nuevas tecnologías en la lucha contra la Covid-19: cámaras termográficas, uso de drones, tecnologías que permiten el conteo de personas para controlar el distanciamiento social y de aforo, sistemas de certificación de salud mediante códigos QR, controles de acceso para detección de equipos de protección y mascarillas entre otras constituyen el nuevo escenario en la transición a esta “nueva normalidad”.

Pues bien, entre todas estas soluciones tecnológicas están irrumpiendo con mucha fuerza las técnicas de reconocimiento facial que multitud de empresas de seguridad privada están ofertando en sus catálogos de productos y servicios. Estos sistemas cuentan con la ventaja de que se pueden integrar en los terminales de control horario y de accesos de las empresas e incluso en los propios sistemas de videovigilancia, y es precisamente en estos últimos donde se han suscitado muchas dudas en cuanto su uso y licitud en lo que a protección de datos se refiere.

Recientemente, el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) ha venido a publicar un informe en el que resuelve algunas cuestiones en relación con los sistemas de reconocimiento facial integrados en sistemas de videovigilancia, empleados en la seguridad privada al amparo del art. 42 de la Ley de Seguridad Privada (en adelante LSP), que a juicio de la consultante estaría permitido por el artículo 9.2.g) del Reglamento Europeo de Protección de Datos, (en adelante RGPD) siendo suficiente a estos efectos que el usuario del servicio de seguridad sea titular del espacio a protegerse por la empresa de seguridad y que se trate de un dispositivo homologado por el Ministerio del interior.

Pues bien, para poder entender las conclusiones a las que llega la AEPD y que difieren radicalmente de las alegadas por la consultante debemos hacernos una serie de preguntas:

Hoy, acceder a Internet se ha convertido en una parte esencial de nuestra vida diaria. Desde una edad temprana, los niños viven en un entorno digital y crecen utilizando una amplia gama de dispositivos interconectados para diversas actividades (aprendizaje, entretenimiento, comunicación con familiares y amigos, pasatiempos, etc.). A pesar de los beneficios que nos está aportando a día de hoy la conectividad a internet, desde que comenzamos el confinamiento ha aumentado considerablemente el tiempo que los menores pasan conectados y en muchos casos sin la supervisión de un adulto.

Debemos ser conscientes de que existen una serie de riesgos que no podemos olvidar, especialmente en los colectivos más vulnerables como es el caso de los menores, y no es casual que en estos tiempos que corren, hayan aumentado considerablemente los delitos que se cometen vía Internet y redes sociales, precisamente por esa mayor dedicación a las nuevas tecnologías durante este confinamiento. 

Uno de los riesgos más importantes es la exposición de los menores a contenido inapropiado como imágenes de índole sexual, violentas, sobre juego y apuestas, etc. Esta exposición puede producir importantes efectos negativos sobre los menores, que van desde daños emocionales o psicológicos hasta el establecimiento de conductas peligrosas y socialmente inapropiadas o daños para su salud física.

Por lo tanto, si bien el acceso a Internet debe ser tomado como una gran oportunidad para el desarrollo de los menores, no sólo los padres o tutores deben tomar medidas para protegerlos de las amenazas del entorno digital al igual que se hace en el mundo físico, la industria también ha de proporcionar en este sentido herramientas para ayudar a salvaguardar su intimidad y bienestar.

La Agencia Española de Protección de Datos (AEPD) ha elaborado recientemente una nota técnica sobre protección del menor en Internet, que tiene como objetivo poner de manifiesto el daño que puede producirse a un menor cuando accede a contenido no adecuado para su edad.

Si bien es cierto que esta nota técnica está dirigida principalmente a padres y tutores de menores que desean fomentar un uso seguro de la tecnología, en este post nos vamos a centrar especialmente en las recomendaciones dirigidas a entidades y desarrolladores de herramientas de protección del menor. Dichas entidades deben aplicar las medidas técnicas y organizativas necesarias para proteger los derechos y libertades de los menores, así como las implicaciones de privacidad de las mismas y consejos en cuanto a su uso responsable.

Entre las distintas opciones que pone el mercado a disposición de padres y tutores, para controlar y limitar la exposición de los menores a contenido inapropiado, nos encontramos las aplicaciones de control parental, que ofrecen los propios desarrolladores de sistemas operativos, operadores de telefonía y otras empresas. Adicionalmente al final de este post incluimos una tabla de análisis comparativo de las principales herramientas de control parental que existen actualmente en la industria.

¿Qué entendemos por controles parentales?

Los controles parentales son herramientas que permiten a los padres o tutores poner límites a la actividad en línea de un menor y por lo tanto mitigar los riesgos de que el menor puede estar expuesto.

¿Por qué son importantes?

Son importantes porque pueden ser utilizados para apoyar a los padres en la protección y promoción de los mejores intereses de sus hijos, un papel reconocido en la propia Convención de los derechos del niño firmado en 1989 (en adelante CDN). Sin embargo, debemos valorar también el impacto sobre el derecho del menor a su propia privacidad tal y como se reconoce en el artículo 16 de la CDN. El hecho de que los menores estén sujetos a un bloqueo excesivo puede resultar contraproducente -por lo que es importante mantener abierta la posibilidad de desbloquear contenido a petición del menor- y estar abierto a acordar con ellos los filtros y restricciones, entre otras medidas.

Estas herramientas de control parental resultan muy útiles para vigilar y controlar la actividad de nuestros menores en Internet, pero deben ser utilizadas como medidas de seguridad complementarias y no como herramientas de reemplazo a las labores de formación y concienciación que debemos mantener con nuestros hijos en materia de ciberseguridad consideradas fundamentales para educarles, guiarles y apoyarles en el uso seguro de Internet.

¿Qué funcionalidades ofrecen las herramientas de control parental?

A veces se utiliza una falsa identidad para cometer delitos o para intentar entrar o permanecer en el espacio Schengen. Este uso inadecuado a menudo va ligado a la pérdida o al robo de documentos de identidad. Si una situación así se traduce en la entrada de una alerta en el Sistema Información Schengen de segunda generación (en lo sucesivo SIS II) podría causar problemas a la persona inocente cuya identidad ha sido robada.

Las personas cuyos datos personales hayan sido recogidos, almacenados o tratados de algún otro modo en el SIS II tienen derecho de acceso, de rectificación de los datos inexactos y de supresión de los datos almacenados ilegalmente.

En este post te contamos en qué consiste el sistema de información Schengen II y cómo podemos solicitar el acceso a nuestros datos personales para su corrección o eliminación por un mal uso.

¿Qué es el Sistema de Información de Schengen?

El Sistema de Información de Schengen establecido en 1995, por el art. 92 del Convenio de Aplicación del Acuerdo de Schengen es un sistema informático a gran escala, creado como medida compensatoria por la eliminación de los controles fronterizos internos, con el que se trata de garantizar un alto nivel de seguridad dentro del espacio de libertad, seguridad y justicia de la Unión Europea, incluidos el mantenimiento de la seguridad y el orden público y la salvaguardia de la seguridad en el territorio de los Estados miembros.

En diciembre de 2016, la Comisión propuso ampliar y mejorar el uso de esta base de datos al enriquecer los datos que contiene con nuevas categorías de alertas, garantizando así un intercambio de información aún más eficiente entre los Estados miembros y fortaleciendo la seguridad de los datos personales a medida que viajan, a través de la red SIS, así como las salvaguardas generales de protección de datos.

El SIS II funciona en 30 países europeos, es decir, 26 Estados miembros de la UE (solo Irlanda y Chipre aún no están conectados al SIS), así como en Islandia, Liechtenstein, Noruega y Suiza.

Hoy, el SIS II es la base de datos de seguridad más utilizada en Europa, con más de 5 mil millones de consultas en 2017.

La actual regulación de este sistema de información se encuentra en el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (en adelante, RSIS).

La lista de las autoridades nacionales competentes con acceso al SIS II se publica anualmente en el Diario oficial de la Unión Europea.

En esencia, una autoridad aduanera, policial, judicial o administrativa de un país puede generar una «alerta» donde se describa la persona o el objeto que se está buscando.

Se puede generar una alerta entre otras por las razones siguientes:

1. Para evitar la entrada de personas que no están autorizadas a entrar o a permanecer en territorio Schengen.
2. Para buscar y detener a una persona contra la que se ha dictado una orden de detención europea.
3. Para ayudar a localizar personas, previa petición de las autoridades policiales o judiciales.
4. Para buscar y proteger a una persona desaparecida.
5. Para buscar propiedades robadas o perdidas.
6. Alertas preventivas sobre niños y adultos vulnerables en riesgo de secuestro.
7. Alertas sobre ciudadanos no pertenecientes a la UE sujetos a una decisión de repatriación.

¿Pero qué información nos ofrece la consulta a SIS II?

El SIS II centraliza dos amplias categorías de información:

1.-Personas con orden de detención, desaparecidas, especialmente niños u otras personas vulnerables que necesiten protección, requeridas para prestar asistencia en un procedimiento judicial, a efectos de controles discretos o específicos, o bien nacionales de terceros países a los que se ha denegado la entrada o la estancia en un país del espacio Schengen.

2.- Objetos tales como vehículos, documentos de viaje y tarjetas de crédito, para su incautación o utilización como pruebas en un procedimiento penal, o a efectos de controles discretos o específicos.

Cuando la descripción se refiera a una persona, la información deberá incluir siempre su nombre, apellidos y en su caso alias, su sexo, una referencia a la decisión que motiva la descripción y las acciones que se deberán emprender. La descripción podrá incluir asimismo otras informaciones disponibles, como los rasgos físicos particulares, objetivos e inalterables, el lugar y fecha de nacimiento, fotografías, huellas dactilares, nacionalidad(es), si la persona en cuestión está armada, es violenta o se ha fugado, los motivos de la descripción, la autoridad que la introdujo, las conexiones con otras descripciones del artículo 63 del RSIS. (art. 20.3 RSIS).

¿Cómo se garantiza entonces la protección de los datos de carácter personal?

Parece ser que SI, esta es la conclusión a la que ha llegado el Tribunal Supremo (en adelante TS), en su Sentencia núm. 1062/2019 de 12 de julio (rec. 4980/2018), desmarcándose así del criterio de la Audiencia Nacional que desestimó el recurso interpuesto por Iberdrola (actualmente i-DE, Redes Eléctricas Inteligentes) contra una resolución de la Secretaria de Estado de Energía a la hora de interpretar el alcance de la definición de datos de carácter personal.

Señala el TS que los datos de consumo energético individualizados para cada punto de suministro, contenidos en las Curvas de Carga Horaria ( en adelante CCH), constituyen datos de carácter personal y ello en la medida en que si se combinan o se ponen en relación con otros datos a los que se puede tener acceso de forma indirecta o a través de terceros, como puedan ser los datos incorporados al Sistema de Puntos de Suministro de Gas y Electricidad (SIPS) o a través de las inspecciones de las instalaciones.

Iberdrola impugnó en su día la citada Resolución de la Secretaría de Estado de Energía de 2 de junio de 2015, que aprobó determinados procedimientos de operación para el tratamiento de datos de medida procedentes de los equipos de tipo 5, a efectos de facturación y de liquidación de energía, obligando a los distribuidores (que son los responsables de la lectura de los contadores de los consumidores) a enviar las mediciones de la curvas de carga horaria individualizada, es decir las medidas horarias de consumo de cada consumidor, gestionados por las distribuidoras, al concentrador principal gestionado por el operador del sistema (OS).

Pues bien, hasta la aprobación de dicha resolución, las distribuidoras remitían los datos de CCH de forma agregada, y no individualizada, al operador del sistema, por lo que el operador del sistema no tenía acceso a esa información privada de los consumidores, ejerciendo su función en base a los datos agregados, pero a partir de ahora SI se puede saber qué hace cada consumidor privadamente en su casa.

Pero para que nos aclaremos ¿Que son los puntos de medida de suministro eléctrico tipo 5?

Según el artículo 7.5 del Real Decreto 1110/2007, de 24 de agosto, por el que se aprueba el Reglamento unificado de puntos de medida del sistema eléctrico (en adelante "RUPM"), son aquéllos que se instalan por clientes cuya potencia contrada en cualquier periodo sea igual o inferior a 15 KW, que son los que tenemos contratados la gran mayoría de los consumidores domésticos.

Estos datos de CCH individualizados, con desglose horario, permiten a quien tenga acceso a esa información conocer los hábitos de conducta privados de los consumidores, tales como las horas ordinarias de entrada y salida del domicilio, la hora en la que se va a dormir, las zonas horarias en la que hay más actividad en la vi-vienda o en local de negocio, el nivel de electrificación, la utilización de aparatos de refrigeración o calefacción, entre otros. 

Datos que atañen sustancialmente a la esfera privada de la intimidad de cada consumidor.

Ahora bien, ¿Cuál es el objeto de controversia en lo que a protección de datos se refiere?

WhatsApp es una plataforma de mensajería privada que fue originalmente diseñada como una herramienta de uso personal para que las personas enviaran mensajes a sus familiares y seres queridos.

Hoy en día, son muchas las empresas que utilizan WhatsApp como herramienta empresarial en su día a día para ponerse en contacto con sus clientes, en el mantenimiento de las relaciones contractuales existentes.

Recientemente, la Agencia Española de Protección de Datos (en adelante AEPD), ha archivado las actuaciones en el procedimiento E/01824/2019, en una reclamación presentada contra VODAFONE, por intentar comunicarse con un usuario a través de WhatsApp, procedimiento que no tiene autorizado expresamente.

Pues bien, el artículo 6.1.b) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), dispone que el tratamiento es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación a petición de este de medidas precontractuales. Es por lo que, en este supuesto, el dato del número de teléfono se utiliza dentro de la relación contractual. Dado que en el presente supuesto la actuación de la entidad reclamada se encuadra en el apartado b) del citado artículo, la AEPD resuelve que no existe vulneración en materia de protección de datos.

Si bien es cierto que en esta Resolución la AEPD concluye que es lícito el uso del dato del teléfono para ponernos en contacto con nuestros clientes vía WhatsApp, amparado en la existencia de una relación contractual, en lo que a comunicaciones comerciales por medios electrónicos se refiere, debemos acudir a lo dispuesto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI) que establece como regla general, la obligación de recabar el consentimiento de forma previa, expresa e informada acerca del tipo de tratamiento de datos y su finalidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.

En este sentido conviene recordar al respecto, un informe jurídico de la AEPD en cuanto al envío de comunicaciones comerciales vía electrónica se refiere:

La remisión de comunicaciones comerciales por medios electrónicos se encuentra regulada por el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico, cuyo apartado 1 dispone claramente que:

“Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso la entidad podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

En todo caso, la entidad deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

La Ley obliga, además, a las entidades a habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado, así como a facilitar información accesible por vía telemática sobre dichos procedimientos.

De este modo, el citado artículo 21 LSSI opera como límite, al que habrá de estarse en todo caso, cuando las acciones de mercadotecnia o publicidad se lleven a cabo a través de medios electrónicos, al establecerse para estos supuestos la regla general del consentimiento expreso del interesado para su realización, a menos que dichas acciones se refieran a “productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

A estos efectos, señala el informe anteriormente citado, que la Ley 34/2002 constituye una norma especial en relación con estas actividades, por lo que no podría acudirse para resolver la cuestión planteada en este punto a las previsiones del reglamento general de protección de datos, sino que habrá de tenerse en cuenta lo dispuesto en esta norma especial cuando las comunicaciones se lleven a cabo a través de medios electrónicos.

Por tanto, el régimen aplicable a las comunicaciones comerciales por medios electrónicos, en cuanto normativa específica, prevalece frente al régimen general del Reglamento de protección de datos, sin que la aprobación del mismo implique obligaciones adicionales, y sin perjuicio de que deba de procederse a la revisión de la Directiva 2002/58/CE para garantizar su coherencia con el RGPD.

Estas reglas son también aplicables al envío de mensajes publicitarios por otros medios de comunicación electrónica individual equivalente, como el servicio de mensajería de la telefonía móvil (WhatsApp).

¿Pero, como afecta a esta cuestión el reciente anuncio de la plataforma de mensajería?

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal