WhatsApp es una plataforma de mensajería privada que fue originalmente diseñada como una herramienta de uso personal para que las personas enviaran mensajes a sus familiares y seres queridos.

Hoy en día, son muchas las empresas que utilizan WhatsApp como herramienta empresarial en su día a día para ponerse en contacto con sus clientes, en el mantenimiento de las relaciones contractuales existentes.

Recientemente, la Agencia Española de Protección de Datos (en adelante AEPD), ha archivado las actuaciones en el procedimiento E/01824/2019, en una reclamación presentada contra VODAFONE, por intentar comunicarse con un usuario a través de WhatsApp, procedimiento que no tiene autorizado expresamente.

Pues bien, el artículo 6.1.b) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), dispone que el tratamiento es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación a petición de este de medidas precontractuales. Es por lo que, en este supuesto, el dato del número de teléfono se utiliza dentro de la relación contractual. Dado que en el presente supuesto la actuación de la entidad reclamada se encuadra en el apartado b) del citado artículo, la AEPD resuelve que no existe vulneración en materia de protección de datos.

Si bien es cierto que en esta Resolución la AEPD concluye que es lícito el uso del dato del teléfono para ponernos en contacto con nuestros clientes vía WhatsApp, amparado en la existencia de una relación contractual, en lo que a comunicaciones comerciales por medios electrónicos se refiere, debemos acudir a lo dispuesto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI) que establece como regla general, la obligación de recabar el consentimiento de forma previa, expresa e informada acerca del tipo de tratamiento de datos y su finalidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.

En este sentido conviene recordar al respecto, un informe jurídico de la AEPD en cuanto al envío de comunicaciones comerciales vía electrónica se refiere:

La remisión de comunicaciones comerciales por medios electrónicos se encuentra regulada por el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico, cuyo apartado 1 dispone claramente que:

“Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso la entidad podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

En todo caso, la entidad deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

La Ley obliga, además, a las entidades a habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado, así como a facilitar información accesible por vía telemática sobre dichos procedimientos.

De este modo, el citado artículo 21 LSSI opera como límite, al que habrá de estarse en todo caso, cuando las acciones de mercadotecnia o publicidad se lleven a cabo a través de medios electrónicos, al establecerse para estos supuestos la regla general del consentimiento expreso del interesado para su realización, a menos que dichas acciones se refieran a “productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

A estos efectos, señala el informe anteriormente citado, que la Ley 34/2002 constituye una norma especial en relación con estas actividades, por lo que no podría acudirse para resolver la cuestión planteada en este punto a las previsiones del reglamento general de protección de datos, sino que habrá de tenerse en cuenta lo dispuesto en esta norma especial cuando las comunicaciones se lleven a cabo a través de medios electrónicos.

Por tanto, el régimen aplicable a las comunicaciones comerciales por medios electrónicos, en cuanto normativa específica, prevalece frente al régimen general del Reglamento de protección de datos, sin que la aprobación del mismo implique obligaciones adicionales, y sin perjuicio de que deba de procederse a la revisión de la Directiva 2002/58/CE para garantizar su coherencia con el RGPD.

Estas reglas son también aplicables al envío de mensajes publicitarios por otros medios de comunicación electrónica individual equivalente, como el servicio de mensajería de la telefonía móvil (WhatsApp).

¿Pero, como afecta a esta cuestión el reciente anuncio de la plataforma de mensajería?

Publicado en Blog

Disquetes, CDs, discos duros, dispositivos USB …etc. Hablamos de recursos utilizados, durante años, por parte de entidades y organizaciones para el almacenamiento de la información generada como consecuencia de su actividad. Todos estos recursos tenían un gran límite en común: el espacio.

Es, por tanto, lógico que, como consecuencia de la evolución tecnológica, los sistemas de almacenamiento se hayan ido perfeccionando y ajustando a las necesidades de las entidades en cada momento. Por ello, desde hace ya unos años, venimos asistiendo al fenómeno Cloud Computing o almacenamiento en nube.

Pero ¿a qué nos referimos realmente cuando hablamos de este nuevo concepto de almacenamiento? Es un tipo de servicio, utilizado también por aplicaciones, que permite almacenar todo tipo de contenido en un servidor conectado a la red, siendo la principal ventaja de estos sistemas, la flexibilidad que ofrecen que, en la práctica, se traduce en la posibilidad de acceder a la información almacenada desde cualquier lugar, con cualquier dispositivo, todos los días del año.

Consciente de la importancia de estos nuevos sistemas de almacenamiento, y su incuestionable impacto en la protección de datos de carácter personal, la Agencia Española de Protección de Datos (en adelante, la AEPD) publicó dos guías que son, ahora, objeto de análisis en el presente artículo:

Guía para clientes que contraten servicios de cloud computing que, a pesar de haber sido publicada hace ya unos años, fue actualizada por parte de la AEPD tras la plena exigibilidad del Reglamento Europeo de Protección de Datos (en adelante RGPD), en mayo de 2018.

Informe sobre la utilización, por parte de profesores y alumnos, de aplicaciones que almacenan datos en nube, con sistemas ajenos a las plataformas educativas y que surge como resultado de una inspección sectorial que, de oficio, inicia la AEPD sobre servicios de cloud computing en el sector educativo hace unos años.

Es importante recalcar, en este punto, que en la actualidad, no existe un único sistema de almacenamiento en nube. Así, podemos distinguir:

- Nube pública. Cuando el proveedor proporciona sus recursos de forma abierta. Entre sus ventajas más destacadas se encuentra la rapidez para utilizar sus servicios de almacenamiento gratuito.

- Nube privada. En aquellos casos en los que el responsable del tratamiento “compra” un espacio y realiza su propia gestión y administración de la información. Servicio que puede implementarse por la misma entidad que la utiliza o bien, externalizarse con una entidad tercera que actuará bajo supervisión y en función de las necesidades del responsable del tratamiento. Aquí, sus principales ventajas radican en la mayor seguridad que ofrecen así como en el control que, sobre la información, tiene la empresa.

- Otros modelos de nubes, más flexibles y que permiten una mejor adaptación a las necesidades específicas de cada empresa. Así, entre los modelos nos encontramos con soluciones como:

- Nubes híbridas en las que se ofrecen ciertos servicios de forma pública y otros de forma privada.
- Nubes comunitarias cuando dichos servicios son compartidos en una comunidad cerrada.
- Nubes combinadas aquellas que tienen disponibilidad de combinar dos o más nubes sean privadas o públicas que pueden ser administradas por diferentes usuarios o proveedores.

Accesibilidad, disponibilidad y comodidad. Está claro que el uso de servicios de almacenamiento en nube ofrece un gran número de ventajas a los responsables de tratamiento en el desarrollo de su actividad. Sin embargo, no podemos dejar a un lado los riesgos que inciden en la seguridad de los datos de carácter personal almacenados en dichos sistemas. Dichos riesgos recaen, principalmente, en:

1. La falta transparencia en la información sobre las condiciones en las que se presta el servicio. Al ser el proveedor quién conoce todos los detalles del servicio que ofrece, será fundamental que nos facilite información sobre qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos. A menor información obtenida, mayor será la dificultad para el responsable de evaluar los riesgos y establecer los controles adecuados.

2. La falta de control que el responsable puede llegar a tener sobre el uso y gestión de los datos personales como consecuencia de las dificultades que puede encontrarse a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido, los obstáculos a una gestión efectiva del tratamiento …etc.

¿Cómo se pueden afrontar, entonces, estos riesgos?

Publicado en Blog

Hace unas semanas publicábamos en este Blog un artículo sobre los conceptos y claves de la anonimización de datos de carácter personal, partiendo para ello del análisis de la guía de la Agencia Española de Protección de Datos (AEPD) que recoge una serie de orientaciones y garantías en los procesos de anonimización de datos de carácter personal.

Si bien es cierto que la guía no tenía un carácter novedoso, ya que fue publicada por la AEPD hace varios años, los procesos de anonimización sobre conjuntos de datos personales son actualmente un pilar base para responsables y encargados del tratamiento, en lo que a medidas de seguridad se refiere.

Sin embargo, una de las problemáticas que estos mecanismos plantean, y así lo hacíamos constar en el artículo mencionado, es la dificultad de aplicar un proceso de anonimización que garantice de manera absoluta, la no reidentificación posterior de los titulares de los datos.

Precisamente para abordar cuáles son los límites en la efectividad de esos procesos de anonimización, la AEPD ha publicado hace unos días una nota técnica, en la que también analiza hasta qué punto la información está realmente anonimizada, y cómo se puede gestionar el riesgo de reidentificación.

En este documento, elaborado por la Unidad de Evaluación y Estudios Tecnológicos de la autoridad española de protección de datos, se parte de la base de que, en aplicación del principio de responsabilidad proactiva o accountability establecido en el Reglamento General de Protección de Datos (RGPD), el responsable debe analizar los riesgos en los tratamientos de datos, en este caso concreto, los de reidentificación derivado de sus procesos de anonimización, así como los generados en el proceso posterior y en el enriquecimiento de conjuntos de datos. El fin último de este análisis, no es otro que alcanzar un balance correcto entre la necesidad de obtener unos resultados con una determinada fidelidad, y el coste que el tratamiento puede tener para los derechos y libertades de los ciudadanos.

Para dar solución a este problema y evitar la desanonimización de un conjunto de datos, se ha desarrollado una disciplina conocida como Control de Revelación Estadística o técnicas SDC (Statistical Disclosure Control, más información a este respecto aquí), que tiene como objeto estudiar la forma más óptima de realizar un tratamiento adicional sobre la información de los sujetos de datos, consiguiendo al mismo tiempo maximizar la privacidad y mantener los objetivos establecidos en la aplicación o servicio que explota tales datos.

Si bien es cierto que existen diferentes técnicas orientadas a preservar la privacidad de los datos personales de individuos, todas ellas encaminadas a limitar las amenazas a la privacidad que pueden materializarse al desanonimizar la información, la AEPD centra su análisis en la K-anonimización, técnica ya mencionada por el antiguo Grupo de Trabajo del Artículo 29 en su Opinión 05/2014.

¿En qué consiste realmente la K-anonimidad?

Publicado en Blog

Solamente unos días después de que hayamos tenido las últimas elecciones en España, el Tribunal Constitucional (TC) se ha pronunciado al respecto del artículo 58 bis apartado 1 de la Ley Orgánica de Régimen Electoral General (LOREG) incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales(LOPDGDD), el cual permitía a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos, diciendo textualmente:

“La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”.

Al respecto de este artículo, el pleno del TC ha aprobado por unanimidad una Sentencia cuyo fallo se ha conocido este mismo miércoles.

En este post vamos a destacar los puntos más importantes, en materia de protección de datos que se disponen en la mencionada Sentencia del TC.

¿Quién y porqué se interpuso este recurso?

El Recurso fue presentado por el Defensor de Pueblo en el mes de marzo, en el que, atendiendo a quejas y solicitudes de diferentes ciudadanos y juristas, se decidió solicitar la anulación del artículo 58.1 bis de la LOREG.

Los motivos de la interposición de este Recurso se fundamentan en la consideración de que se está produciendo la vulneración de los siguientes artículos de la Constitución Española (CE):

  • Principio de seguridad jurídica (Art. 9.3 CE).
  • Derecho a la libertad ideológica (Art. 16 CE).
  • Derecho a la Protección de Datos Personales (Art. 18.4 CE).
  • Derecho de participación política (Art.23.1 CE).
  • Principio de vinculatoriedad, reserva de ley y control constitucional de las leyes de desarrollo. (Art. 53.1 CE).

El Recurso fundamenta esta vulneración en el hecho de que el mencionado artículo permitía algo inédito en nuestro país, como es recopilar datos personales relativos a las opiniones políticas de los ciudadanos y utilizar este perfilado de cada persona enviar propaganda electoral por medios electrónicos o sistemas de mensajería.

Para poder entender por qué es algo inédito, hemos de tener en cuenta que las opiniones políticas de las personas son consideradas por la normativa de protección de datos como “datos de carácter personal especialmente protegidos” (art.9.2.a LOPDGDD), por lo que como regla general para tratar estos datos necesitaríamos el consentimiento explícito del interesado.

A lo anterior, debemos de añadir que el art 9.1. LOPGDD indica que el solo consentimiento del afectado no bastará para levantar la prohibición de tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Para anular esta prohibición es precisamente para lo que se realizó la modificación normativa por la que se introdujo el apartado 1 del artículo 58 bis de la LOREG.

Cabe en este punto por tanto traer a colación los tres elementos más importantes de la interposición del recurso:

  • No se ha determinado la finalidad del tratamiento, más allá de la mención al “interés público”.
  • No se ha limitado el tratamiento de esos datos.
  • No se han establecido las garantías adecuadas para proteger los derechos fundamentales de los afectados.

Por lo que, debido a estas insuficiencias, se considera que el precepto impugnado habría incurrido en una doble y simultanea vulneración, por infringir la reserva de ley y por no respetar el contenido esencial del derecho fundamental a la protección de datos personales.

Precisamente esta consideración es ahora reafirmada por el TC en su sentencia, al estimar que el derecho fundamental afectado es el de protección de datos personales (Art.18.4 CE), desde una doble perspectiva:

En primer lugar, como derecho autónomo dirigido a controlar el flujo de informaciones concernientes a cada persona.

En segundo lugar, como derecho fundamental instrumental ordenado a la protección del también derecho fundamental a la libertad ideológica.

Una vez sentado esto, el TC enjuicia los tres elementos antes mencionados que conforman la impugnación central:

Publicado en Blog

La entrada en vigor del Reglamento Europeo de Protección de Datos (en adelante RPGD) en mayo del 2016, trajo consigo tal cambio de paradigma en lo relativo a regulación y armonización de la normativa en materia de protección de datos en todos los países miembros de la UE, que, aún a día de hoy, transcurridos tres años desde su entrada en vigor y un año desde su plena aplicación, pasando a ser directamente aplicable en todos y cada uno de los estados miembros, nos es muy difícil predecir cómo las autoridades de control van a manifestarse y proceder a sancionar todos y cada uno de los incumplimientos de las obligaciones contenidas en el mismo.

En nuestro país, no ha sido hasta el pasado 7 de diciembre del 2018 hasta que nos hemos dotado de una regulación a nivel nacional tras la entrada en vigor del RGPD. La nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales (en adelante, LOPDGDD) tiene, como principal objetivo, el adaptar nuestro ordenamiento jurídico español en materia de protección de datos al RGPD, así como garantizar los derechos digitales de los ciudadanos, al amparo de lo dispuesto en el artículo 18.4 de la Constitución Española, precepto que limita el uso de la informática con el fin de garantizar el honor y la intimidad personal y familiar de los ciudadanos, así como el pleno ejercicio de los derechos. 

La LOPDGDD incorpora grandes cambios respecto a las exigencias contenidas tanto en la ya derogada LOPD 15/1999 como en su Reglamento de Desarrollo, siendo el más significativo, el desarrollo en su Título X de la garantía de los derechos digitales de los ciudadanos.

No es motivo de este artículo proceder a enumerar todos los cambios normativos que la nueva LOPDGDD introduce respecto de la anterior normativa, al ya haber sido objeto de análisis en varias publicaciones (ver aquí, ver aquí), pero sí consideramos interesante el realizar un sucinto análisis del cambio que se ha producido respecto a la notificación y gestión de las brechas de seguridad, así como realizar un breve resumen de las brechas que han sido notificadas ante la Agencia Española de Protección de Datos (en adelante, AEPD) a lo largo del pasado año desde la plena aplicación del RGPD.

En primer lugar, debemos hacer una clara diferencia entre “incidente de seguridad” y “brecha de seguridad”, puesto que son dos términos que tienen a confundirse.

Publicado en Blog

Estas últimas semanas, los medios de comunicación se han hecho eco de la obligación aplicable a empresarios o autónomos que cuenten con trabajadores a su cargo, de cumplir con un registro de la jornada laboral de los trabajadores, obligación que deriva del  Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que modifica el artículo 34 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante Estatuto de los Trabajadores), y que será aplicable a partir del día 12 de mayo.

Pero, ¿qué supone la llevanza de este registro en la práctica?

  • Este registro deberá incluir como mínimo el horario concreto de inicio y finalización de la jornada de cada trabajador, sin perjuicio de la flexibilidad horaria establecida. Además, se ha manifestado, que no será suficiente la realización de un cuadrante, pues no se consideran un registro de jornada a efectos de cumplir lo establecido en el Estatuto de los Trabajadores.
  • También resulta de aplicación a trabajadores que realicen teletrabajo, o con movilidad geográfica.
  • La organización y la documentación del registro debe abordarse vía negociación colectiva o acuerdo de empresa. En su defecto, se establecerá por decisión unilateral del empresario previa consulta con la representación legal de los trabajadores.
  • El legislador no ha establecido una fórmula legal subsidiaria ante la falta de acuerdo.
  • En el supuesto de que no exista representación legal de los trabajadores, la ley no prevé la creación de una comisión ad hoc, por lo que debe quedar claro que la obligación de garantizar un registro horario corresponde al empleador.

¿Qué impacto tiene este registro en materia de protección de datos?

Publicado en Blog

En la actualidad, muchas empresas dudan acerca de si deben o no firmar contratos con entidades externas que les prestan servicios, como pueden ser las Mutuas, aseguradoras o empresas de prevención de riesgos laborales, entre otras.

Con carácter previo a clarificar esta cuestión, hemos de comenzar haciendo referencia a que la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su disposición adicional transitoria quinta, nos indica cómo tenemos que actuar en lo que respecta a los contratos en materia de protección de datos:

“los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”.

Por lo tanto, en relación con este artículo, debemos de tener actualizados todos los contratos con nuestros encargados del tratamiento para el año 2022, pero ¿también debemos de realizar este contrato con nuestra Mutua?

Precisamente sobre este tema versará el presente artículo, y para ello, resulta necesario analizar el informe 172302/2018 de la Agencia Española de Protección de Datos (en adelante, AEPD).

A este respecto, en el informe mencionado, la AEPD resuelve una consulta que se le plantea:

¿Las Mutuas colaboradoras con la Seguridad Social tienen la calidad de responsables del tratamiento? O, por el contrario, ¿Deberíamos de firmar un contrato con ellas al ser Encargados del tratamiento?

Como punto de partida cabe aclarar que el Reglamento (UE) 2016/679 de protección de datos (en adelante, RGPD) define la figura de responsable y encargado del tratamiento del siguiente modo:

Artículo 4.7. RGPD configura al responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento…”.

Artículo 4.8 RGPD se refiere al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

Por lo tanto, como podemos comprobar, la clave en la distinción de ambas figuras, reside en que el responsable determina los fines y medios del tratamiento de los datos, mientras que el encargado debe de tratar los datos limitándose a las indicaciones del responsable del tratamiento.

Una vez distinguidas las dos figuras, como ya hemos comentado en alguno de los artículos de nuestro blog (AquíAquí ) es necesario referenciar el artículo 28.3 RGPD, el cual exige la existencia de un contrato u otro acto jurídico con arreglo al derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable. En dicho contrato deberá de contemplarse, entre otras, la estipulación en la que se indique que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, como hemos mencionado antes.

En este punto, nos centraremos en determinar cuál de las dos figuras asumen las Mutuas colaboradoras con la seguridad social, y, en consecuencia, si resulta necesario regular la relación existente entre las partes, mediante el contrato o acto jurídico mencionado.

Al respecto, la AEPD expone en el informe que estamos analizando las siguientes consideraciones para poder fundamentar el criterio establecido:

Publicado en Blog

En una sociedad en la que la explotación de datos de carácter personal y la privacidad del usuario pueden llegar a verse enfrentados, resulta necesario establecer mecanismos que permitan que el avance de la sociedad de la información continúe, sin que este pueda suponer un menoscabo de la protección de los datos de carácter personal de los usuarios.

A este respecto se pronunció la Agencia Española de Protección de Datos (en adelante, AEPD) mediante la publicación de una guía que recoge una serie de orientaciones y garantías a tener en cuenta, por parte de responsables y encargados del tratamiento, en los procesos de anonimización de datos de carácter personal. La mencionada guía tiene como fin último, plasmar cómo ha de llevarse a cabo el proceso de anonimización de los datos de carácter personal para eliminar o, en su defecto, reducir al mínimo los riesgos inherentes a la reidentificación de los datos personales previamente anonimizados.

Pero ¿qué es y qué supone, realmente, la anonimización de los datos de carácter personal?

La anonimización ha sido considerada, por la propia AEPD, como “la ruptura de la cadena de identificación de las personas.”. En otras palabras, se trata del proceso mediante el cual, eliminaremos aquellos datos susceptibles de identificar, directa o indirectamente, a personas concretas, manteniéndose, así, sólo aquella tipología de datos que no puedan asociarse, de ninguna manera, con la persona titular de los mismos. Hablamos de datos tales cómo rangos de edad, nivel medio de renta, estudios...etc., que, en definitiva, no afectan a la privacidad personal y que pueden ser usados con fines estadísticos o analíticos.

Es en este punto, donde conviene recordar que los datos anonimizados se encontrarían fuera del ámbito de aplicación de la normativa vigente en materia de protección de datos, esto es, el Reglamento Europeo de Protección de Datos (en adelante, RGPD) y la Ley Orgánica Española de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (en adelante, LOPD – GDD). Así lo recoge el propio RGPD en su considerando 26 cuando indica que: “(…), el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”.

A este respecto, y para que el tratamiento de esos datos quede fuera de la aplicación del RGPD y la LOPD - GDD, es necesario que el proceso de anonimización sea plenamente efectivo, de tal manera que resulte imposible, o casi, identificar, por ningún medio, a una persona física concreta, una vez los datos hayan sido anonimizados.

No obstante, a día de hoy, y como consecuencia del avance tecnológico, la anonimización absoluta no puede garantizarse. Así lo expresa la AEPD. El motivo radica en que la misma capacidad de la tecnología, que nos permite anonimizar datos personales, puede ser utilizada para la reidentificación de las personas, de tal manera que lo que en un determinado momento podía ser irreversible, tal vez no lo sea en el futuro.  

Por ello, la clave sobre la efectividad, o no, del proceso de anonimización de los datos, recaerá en el esfuerzo que le suponga, a la persona o entidad con acceso posterior a la información anonimizada, reidentificar los datos anonimizados. Así, la anonimización adquirirá una mayor fortaleza si este esfuerzo es de tal magnitud, que o bien el coste de dicho proceso no pueda ser asumible, o bien, no compense el beneficio que se obtendría con la reidentificación.

¿Cómo ha de desarrollarse, entonces, el proceso de anonimización?

Publicado en Blog

¿Cuántas veces has recibido comunicaciones comerciales a través del correo electrónico o incluso en tu smartphone, de entidades que en ocasiones apenas conoces? Seguro que tantas, que resulta imposible contarlas, y mucho más recordarlas.

Lo cierto es, que estamos acostumbrados a aceptar términos y condiciones de contratación, o Políticas de Privacidad cuando realizamos la instalación de Apps en nuestros dispositivos móviles, compramos entradas para un evento, o incluso cuando queremos disfrutar de algún cupón de descuento.

Sin embargo, no siempre somos conscientes de los términos o cláusulas que hemos aceptado, y de cómo nuestros datos se pueden ver comprometidos debido a ello. En consecuencia, con gran frecuencia otorgamos nuestro consentimiento sin pensarlo un instante, accediendo entre otras cuestiones, a recibir comunicaciones comerciales, todo esto prácticamente sin darnos cuenta.

¿Qué podemos hacer para evitarlo?

Como ya sabemos, y hemos contado en otras ocasiones en este Blog (por ejemplo aquí, aquí, o aquí), es la Ley 34/2002, de 12 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI), la norma que establece los términos que rigen el envío de informaciones comerciales a través de cualquier medio de comunicación electrónico.

De conformidad con el artículo 21 de la LSSI, con carácter general se encuentra prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente, que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Asimismo, también existe la posibilidad de realizar envíos de comunicaciones publicitarias cuando exista una relación contractual previa, siempre que, el prestador obtenga de forma lícita nuestros datos de contacto y los emplee para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación.

En consecuencia, debemos saber que podremos recibir comunicaciones publicitarias en nuestro email o en nuestro móvil de manera lícita no solamente cuando hayamos otorgado nuestro consentimiento, sino también cuando la información que nos hagan llegar sea similar al producto o servicio que inicialmente hemos contratado.

En todo caso, no podemos olvidarnos de que el prestador de servicios deberá establecer, en cada envío publicitario, un mecanismo válido para que podamos oponernos al tratamiento de nuestros datos con los fines mencionados, mediante un procedimiento sencillo y gratuito.

Además, es necesario que tengamos presente que, solamente cuando hayamos ejercitado nuestro derecho de oposición y consideremos que este no ha sido atendido correctamente por el responsable del tratamiento prestador del servicio, podremos reclamar la tutela de nuestros derechos ante la AEPD.

¿Quiere esto decir que si nos damos de baja en la recepción de algún envío publicitario, dejaremos en todo caso de recibir esas comunicaciones?

Publicado en Blog

Actualmente, detrás de la mayoría de los servicios web en los cuales se nos presta un servicio totalmente gratuito, nos encontramos con que, a cambio de esto, en la mayoría de los casos se rentabiliza la información de los usuarios, recogida a través de servicios de marketing, los cuales dirigen campañas de publicidad personalizadas por quien desea publicitar un producto o servicio.

Por lo tanto, además de identificar al usuario y realizar un seguimiento y recopilación de sus datos, se le perfila con la finalidad de poder maximizar la eficacia de la publicidad que se nos ofrece.

Una de las técnicas de seguimiento, ya conocida por todos, son las cookies, las cuales como ya sabemos, se trata de archivos creados por un sitio web, que contienen pequeñas cantidades de datos y que se envían entre un emisor y un receptor. A este respecto referenciamos una serie de artículos de nuestro blog que pudieran ser de interés, para conocer más sobre el tema pincha en los siguientes aquí y aquí. Sin embargo, nos encontramos ante un mercado muy dinámico, por lo que los diversos agentes implicados en el mercado de internet no cesan en la investigación de nuevas formas de recopilación y explotación de datos de los usuarios.

¿Cuáles son estas nuevas técnicas de seguimiento? En concreto en este artículo nos centraremos en el análisis de la técnica del fingerprinting.

El fingerprinting o la huella digital del dispositivo es una recopilación sistemática de información sobre un determinado dispositivo remoto con el objetivo de identificarlo, singularizarlo y, de esa forma, poder hacer un seguimiento de la actividad del usuario con el propósito de perfilarlo.

Es decir, la huella digital del dispositivo es un conjunto de datos extraídos del terminal del usuario que permiten individualizar de forma unívoca dicho terminal.

Cabe añadir, que las técnicas de identificación mediante huella digital del dispositivo se llegan a describir como “cookieless monster”. Esto es así, dado que no es necesario instalar ningún tipo de cookie en el dispositivo para recoger toda la información del usuario, y si esto sucede de forma totalmente transparente al usuario, éste no puede tomar medidas para evitarlo.

En relación con la obligación de información, que encontramos regulada en el art.22 de la Ley de Servicios de la Sociedad de la Información (en adelante, LSSI), es habitual encontrar en los sitios web y aplicaciones cláusulas de privacidad específicas, que permiten al usuario dar su consentimiento para el uso de cookies. Sin embargo, no es tan común en la actualidad encontrar información para el usuario sobre el uso de técnicas basadas en la huella digital para el perfilado del usuario.

Atendiendo a esta información, existen numerosas propiedades que se pueden recopilar de un dispositivo a través del navegador web y que permiten recoger información suficiente para que, en determinadas situaciones, se pueda identificar unívocamente al terminal, como hemos mencionado antes.

Algunas de las características del terminal que se pueden recoger mediante el navegador web y que pueden contribuir a la obtención de una huella digital de un dispositivo como son, por ejemplo:

 -El tipo, versión y configuración personal del navegador.
 - Información sobre las aplicaciones instaladas.
 -Idioma.
 -Zona horaria.
 -Dirección IP.

En base a esto, la Agencia Española de Protección de Datos (en adelante, AEPD) ha redactado un estudio sobre este tema, si quieres visualizarlo integro pincha aquí , en el cual nos habla en uno de sus puntos del nivel de identificación que puede alcanzar esta técnica, en el cual hace referencia a lo siguiente:

Publicado en Blog
Página 1 de 13

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal