En una sociedad en la que la explotación de datos de carácter personal y la privacidad del usuario pueden llegar a verse enfrentados, resulta necesario establecer mecanismos que permitan que el avance de la sociedad de la información continúe, sin que este pueda suponer un menoscabo de la protección de los datos de carácter personal de los usuarios.

A este respecto se pronunció la Agencia Española de Protección de Datos (en adelante, AEPD) mediante la publicación de una guía que recoge una serie de orientaciones y garantías a tener en cuenta, por parte de responsables y encargados del tratamiento, en los procesos de anonimización de datos de carácter personal. La mencionada guía tiene como fin último, plasmar cómo ha de llevarse a cabo el proceso de anonimización de los datos de carácter personal para eliminar o, en su defecto, reducir al mínimo los riesgos inherentes a la reidentificación de los datos personales previamente anonimizados.

Pero ¿qué es y qué supone, realmente, la anonimización de los datos de carácter personal?

La anonimización ha sido considerada, por la propia AEPD, como “la ruptura de la cadena de identificación de las personas.”. En otras palabras, se trata del proceso mediante el cual, eliminaremos aquellos datos susceptibles de identificar, directa o indirectamente, a personas concretas, manteniéndose, así, sólo aquella tipología de datos que no puedan asociarse, de ninguna manera, con la persona titular de los mismos. Hablamos de datos tales cómo rangos de edad, nivel medio de renta, estudios...etc., que, en definitiva, no afectan a la privacidad personal y que pueden ser usados con fines estadísticos o analíticos.

Es en este punto, donde conviene recordar que los datos anonimizados se encontrarían fuera del ámbito de aplicación de la normativa vigente en materia de protección de datos, esto es, el Reglamento Europeo de Protección de Datos (en adelante, RGPD) y la Ley Orgánica Española de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (en adelante, LOPD – GDD). Así lo recoge el propio RGPD en su considerando 26 cuando indica que: “(…), el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”.

A este respecto, y para que el tratamiento de esos datos quede fuera de la aplicación del RGPD y la LOPD - GDD, es necesario que el proceso de anonimización sea plenamente efectivo, de tal manera que resulte imposible, o casi, identificar, por ningún medio, a una persona física concreta, una vez los datos hayan sido anonimizados.

No obstante, a día de hoy, y como consecuencia del avance tecnológico, la anonimización absoluta no puede garantizarse. Así lo expresa la AEPD. El motivo radica en que la misma capacidad de la tecnología, que nos permite anonimizar datos personales, puede ser utilizada para la reidentificación de las personas, de tal manera que lo que en un determinado momento podía ser irreversible, tal vez no lo sea en el futuro.  

Por ello, la clave sobre la efectividad, o no, del proceso de anonimización de los datos, recaerá en el esfuerzo que le suponga, a la persona o entidad con acceso posterior a la información anonimizada, reidentificar los datos anonimizados. Así, la anonimización adquirirá una mayor fortaleza si este esfuerzo es de tal magnitud, que o bien el coste de dicho proceso no pueda ser asumible, o bien, no compense el beneficio que se obtendría con la reidentificación.

¿Cómo ha de desarrollarse, entonces, el proceso de anonimización?

Publicado en Blog

¿Cuántas veces has recibido comunicaciones comerciales a través del correo electrónico o incluso en tu smartphone, de entidades que en ocasiones apenas conoces? Seguro que tantas, que resulta imposible contarlas, y mucho más recordarlas.

Lo cierto es, que estamos acostumbrados a aceptar términos y condiciones de contratación, o Políticas de Privacidad cuando realizamos la instalación de Apps en nuestros dispositivos móviles, compramos entradas para un evento, o incluso cuando queremos disfrutar de algún cupón de descuento.

Sin embargo, no siempre somos conscientes de los términos o cláusulas que hemos aceptado, y de cómo nuestros datos se pueden ver comprometidos debido a ello. En consecuencia, con gran frecuencia otorgamos nuestro consentimiento sin pensarlo un instante, accediendo entre otras cuestiones, a recibir comunicaciones comerciales, todo esto prácticamente sin darnos cuenta.

¿Qué podemos hacer para evitarlo?

Como ya sabemos, y hemos contado en otras ocasiones en este Blog (por ejemplo aquí, aquí, o aquí), es la Ley 34/2002, de 12 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI), la norma que establece los términos que rigen el envío de informaciones comerciales a través de cualquier medio de comunicación electrónico.

De conformidad con el artículo 21 de la LSSI, con carácter general se encuentra prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente, que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Asimismo, también existe la posibilidad de realizar envíos de comunicaciones publicitarias cuando exista una relación contractual previa, siempre que, el prestador obtenga de forma lícita nuestros datos de contacto y los emplee para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación.

En consecuencia, debemos saber que podremos recibir comunicaciones publicitarias en nuestro email o en nuestro móvil de manera lícita no solamente cuando hayamos otorgado nuestro consentimiento, sino también cuando la información que nos hagan llegar sea similar al producto o servicio que inicialmente hemos contratado.

En todo caso, no podemos olvidarnos de que el prestador de servicios deberá establecer, en cada envío publicitario, un mecanismo válido para que podamos oponernos al tratamiento de nuestros datos con los fines mencionados, mediante un procedimiento sencillo y gratuito.

Además, es necesario que tengamos presente que, solamente cuando hayamos ejercitado nuestro derecho de oposición y consideremos que este no ha sido atendido correctamente por el responsable del tratamiento prestador del servicio, podremos reclamar la tutela de nuestros derechos ante la AEPD.

¿Quiere esto decir que si nos damos de baja en la recepción de algún envío publicitario, dejaremos en todo caso de recibir esas comunicaciones?

Publicado en Blog

Actualmente, detrás de la mayoría de los servicios web en los cuales se nos presta un servicio totalmente gratuito, nos encontramos con que, a cambio de esto, en la mayoría de los casos se rentabiliza la información de los usuarios, recogida a través de servicios de marketing, los cuales dirigen campañas de publicidad personalizadas por quien desea publicitar un producto o servicio.

Por lo tanto, además de identificar al usuario y realizar un seguimiento y recopilación de sus datos, se le perfila con la finalidad de poder maximizar la eficacia de la publicidad que se nos ofrece.

Una de las técnicas de seguimiento, ya conocida por todos, son las cookies, las cuales como ya sabemos, se trata de archivos creados por un sitio web, que contienen pequeñas cantidades de datos y que se envían entre un emisor y un receptor. A este respecto referenciamos una serie de artículos de nuestro blog que pudieran ser de interés, para conocer más sobre el tema pincha en los siguientes aquí y aquí. Sin embargo, nos encontramos ante un mercado muy dinámico, por lo que los diversos agentes implicados en el mercado de internet no cesan en la investigación de nuevas formas de recopilación y explotación de datos de los usuarios.

¿Cuáles son estas nuevas técnicas de seguimiento? En concreto en este artículo nos centraremos en el análisis de la técnica del fingerprinting.

El fingerprinting o la huella digital del dispositivo es una recopilación sistemática de información sobre un determinado dispositivo remoto con el objetivo de identificarlo, singularizarlo y, de esa forma, poder hacer un seguimiento de la actividad del usuario con el propósito de perfilarlo.

Es decir, la huella digital del dispositivo es un conjunto de datos extraídos del terminal del usuario que permiten individualizar de forma unívoca dicho terminal.

Cabe añadir, que las técnicas de identificación mediante huella digital del dispositivo se llegan a describir como “cookieless monster”. Esto es así, dado que no es necesario instalar ningún tipo de cookie en el dispositivo para recoger toda la información del usuario, y si esto sucede de forma totalmente transparente al usuario, éste no puede tomar medidas para evitarlo.

En relación con la obligación de información, que encontramos regulada en el art.22 de la Ley de Servicios de la Sociedad de la Información (en adelante, LSSI), es habitual encontrar en los sitios web y aplicaciones cláusulas de privacidad específicas, que permiten al usuario dar su consentimiento para el uso de cookies. Sin embargo, no es tan común en la actualidad encontrar información para el usuario sobre el uso de técnicas basadas en la huella digital para el perfilado del usuario.

Atendiendo a esta información, existen numerosas propiedades que se pueden recopilar de un dispositivo a través del navegador web y que permiten recoger información suficiente para que, en determinadas situaciones, se pueda identificar unívocamente al terminal, como hemos mencionado antes.

Algunas de las características del terminal que se pueden recoger mediante el navegador web y que pueden contribuir a la obtención de una huella digital de un dispositivo como son, por ejemplo:

 -El tipo, versión y configuración personal del navegador.
 - Información sobre las aplicaciones instaladas.
 -Idioma.
 -Zona horaria.
 -Dirección IP.

En base a esto, la Agencia Española de Protección de Datos (en adelante, AEPD) ha redactado un estudio sobre este tema, si quieres visualizarlo integro pincha aquí , en el cual nos habla en uno de sus puntos del nivel de identificación que puede alcanzar esta técnica, en el cual hace referencia a lo siguiente:

Publicado en Blog

El 22 de marzo del 2017, la Agencia Española de Protección de Datos (en adelante, AEPD), dicta Resolución R/00596/2017, mediante la cual sanciona a la Asociación de Técnicos de Informática (en adelante ATI) por incumplimiento de los preceptos contenidos en la ya derogada Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD), así como en la Ley de Servicios de Sociedad de la Información y comercio electrónico (LSSI), cuya cuantía asciende a un total de 50.000€.

En el presente artículo vamos a realizar un breve análisis de la Sentencia de la Audiencia Nacional, de 30 de noviembre de 2018, la cual procede a desestimar el recurso contencioso-administrativo interpuesto por la Asociación, confirmando así la resolución dictada por la AEPD en todos sus efectos.

Los hechos por los cuales la AEPD sanciona a ATI, son, en primer lugar, incumplimiento del artículo 33 de la LOPD, al haber estado realizando la Asociación transferencias internacionales de datos sin mediar la autorización necesaria del Director de la AEPD a tales efectosdurante los meses de octubre del año 2015 y marzo del 2016 a la empresa The Rocket Science Group  (TRS), entidad que se encuentra en los EEUU, y que presta el servicio de gestión de envíos de correos electrónicos MailChimp.

Una de las cuestiones que la Asociación plantea ante el Tribunal, solicitando que se interponga reenvío prejudicial ante el Tribunal de Justicia de la UE, y que nos parece interesante resaltar, es el hecho de considerar o no el correo electrónico de contacto de una asociación de profesionales como un dato de carácter personal. A este respecto debemos acudir a la propia definición del concepto de dato de carácter personal, que se encontraba recogido en el art. 3 a) de la ya derogada LOPD 15/1999, y que actualmente dispone el artículo 4 1) del Reglamento General de Protección de Datos (RGPD) como “toda información concerniente a una persona física identificada o identificable”.

Publicado en Blog

¿Alguna vez te has preguntado cuántas cámaras de vigilancia pueden captar tu imagen de camino a casa? Lo cierto es que, en nuestra sociedad de hoy día, vivimos rodeados de grandes hermanos que “vigilan” cada una de nuestras áreas de actividad personal y laboral: el supermercado, el banco, la farmacia, la calle, el Centro Comercial … etc.

Acostumbrados a ello, o no, las cámaras de videovigilancia son una realidad constatada en nuestra vida. Y no sólo eso, sino que el número de las mismas se ha visto aumentado exponencialmente a lo largo de los últimos años.

En lo que se refiere a la finalidad última perseguida con la instalación de estos dispositivos, esta puede ser muy variada: por seguridad, como medio de obtención de pruebas, para vigilancia o control laboral, como apoyo para la información meteorológica, para la promoción turística o, incluso, para el control y vigilancia del tráfico en nuestras ciudades y carreteras.

Es precisamente respecto a esta última finalidad mencionada, sobre la que centraremos el desarrollo del post de hoy. Para ello, tomaremos como punto de partida un reciente Informe publicado por la Agencia Española de Protección de Datos (en adelante, AEPD) y en el cual, se aborda la legalidad sobre la instalación de cámaras fijas con fines de control del tráfico ubicadas, concretamente, en semáforos.

Ya lo comentábamos en nuestro post de la semana pasada (ver aquí); los dispositivos de videovigilancia pueden tener un carácter fijo o móvil. Y si bien, en el mencionado post, centrábamos nuestra atención en las cámaras móviles, en esta ocasión nos focalizaremos en las cámaras de videovigilancia fijas. ¿Son estás cámaras acordes a la legislación vigente?, ¿Qué requisitos han de cumplir para ello?

Recordemos que las cámaras que vigilan la vía y espacios públicos sólo pueden ser operadas, con carácter general, por las Fuerzas y Cuerpos de Seguridad del Estado. Así lo dispone la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos (en adelante, LO 4/1997) y el Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997 (en adelante, RD 596/1999).

Atendiendo a lo establecido en el marco normativo regulatorio descrito, así como en el Informe jurídico de la AEPD objeto de este artículo, las cámaras fijas instaladas deberán cumplir con el principio de proporcionalidad, de modo que el sistema escogido sea tal y como indica el artículo 6 de la LO 4/1997:

- Idóneo para el mantenimiento de la seguridad ciudadana.
- Ponderado o equilibrado por derivarse de su instalación más beneficios o ventajas para el interés general que perjuicios sobre los derechos de honor, propia imagen e intimidad de los ciudadanos afectados.
- Necesario como consecuencia de la existencia de un razonable riesgo para la seguridad ciudadana.

¿Quién será el órgano competente y encargado para instalar dichas cámaras de videovigilancia fijas?

Lo primero que hemos de indicar es que, tal y como recoge el artículo 3 de la LO 4/1997, la instalación de videocámaras de carácter fijo está sujeta al régimen de autorización. Serán las Administraciones públicas con competencia para la regulación del tráfico las que, a través de una resolución, previo informe preceptivo y vinculante de la Comisión de Garantías de la Videovigilancia de la Comunidad Autónoma correspondiente, autorizarán la instalación y el uso de las cámaras de videovigilancia. Así lo establece el artículo 2 de la disposición adicional única del RD 596/1999.  

En lo que se refiere al contenido de dicha resolución, es el propio artículo 3 de la LO 4/1997, el que recoge los requisitos que deberán tener las resoluciones que autoricen las instalaciones fijas:

Publicado en Blog

Son incontables las ocasiones en las que hemos podido ver en las redes sociales o también en los medios de comunicación, imágenes de actuaciones policiales, captadas incluso en primera persona por el agente del cuerpo de seguridad que participa en la misma.

El uso de videocámaras móviles como elementos de equipamiento, se ha vuelto casi indispensable para los agentes de la autoridad, debido a la necesidad de estos de mostrar la realidad de sus actuaciones en determinada clase de circunstancias.

Pero, ¿existen límites para realizar estas prácticas?, ¿pueden los agentes grabar a los ciudadanos con cámaras portátiles en cualquier circunstancia?

Estos son algunos de los interrogantes que los ciudadanos se plantean con frecuencia, preocupados por su privacidad, y que en esta publicación trataremos de clarificar.

Para ello, debemos de partir de la base de que es la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos (en adelante Ley Orgánica 4/1997), la que legitima a las Fuerzas y Cuerpos de Seguridad para poder utilizar videocámaras con el fin de grabar imágenes y sonidos en lugares públicos, abiertos o cerrados. Encomienda que se ve favorecida con el uso de sistemas de grabación de imagen y sonido, permitiendo así, entre otras cuestiones, asegurar la convivencia ciudadana, la erradicación de la violencia y la utilización pacífica de las vías y espacios públicos, así como de prevenir la comisión de delitos, faltas e infracciones relacionados con la seguridad pública. No nos olvidemos de que estos órganos tienen como cometido garantizar la seguridad ciudadana.

En definitiva, se establece en esta norma el régimen de garantías de los derechos fundamentales y libertades de los interesados, que deberán respetarse en las distintas fases de autorización, grabación y uso de las imágenes y sonidos obtenidos por las videocámaras.

Entonces, ¿cuáles son los requisitos que se han de cumplir para que el uso de videocámaras sea lícito?

Publicado en Blog

Es muy probable que hayas oído hablar del derecho al olvido y te preguntarás, ¿Qué es exactamente? Pues bien, en este artículo nos vamos a centrar en explicar este derecho que todos los ciudadanos tenemos reconocido, como ya hemos hecho en otros artículos de nuestro blog pinchando aquí.

Para comenzar, nos gustaría recordar que el derecho al olvido es un concepto relacionado con el Habeas Data (derecho de control del individuo sobre sus datos o información personal, además de la exclusión de toda injerencia en su vida privada) y la protección de datos personales, el derecho al honor, intimidad e imagen, todos ellos Derechos Fundamentales reconocidos en nuestra Constitución (C.E).

Según la Agencia Española de Protección de Datos (AEPD):

El “derecho al olvido hace referencia al derecho que tiene un ciudadano a impedir la difusión de información personal a través de Internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa”.

Además, indica la AEPD que este derecho incluye la posibilidad de limitar la difusión de datos personales, incluso cuando la publicación original sea legítima, cuando refiere que:

“La difusión universal e ilimitada de información que ya no tiene relevancia ni interés público a través de los buscadores causa una lesión a los derechos de las personas”.

Determinado el concepto del derecho al olvido, y si bien esta cuestión ya ha sido analizada en profundidad en nuestro blog (si te interesa este análisis pincha aquí), consideramos necesario mencionar que este derecho, se encuentra regulado por una parte en el artículo 17 del Reglamento General de Protección de datos (RGPD), y por otra parte, exclusivamente en el ámbito de Internet, en el artículo 93 de la Ley Orgánica de Proteccion de Datos y de Garantías de los Derechos Digitales.

Una vez hemos recordado los conceptos y aspectos que rigen en el derecho al olvido, cabe destacar que la importancia de la reivindicación de este derecho viene ligado a grandes buscadores como puede ser Google, ya que basta con teclear el nombre de una persona, algo tan simple como un “click” para que podamos acceder a información relativa a la misma. Información que, aunque a simple vista parezca inofensiva, en muchos casos puede estar atentando contra los Derechos Fundamentales inherentes a esa persona y a su vez vulnerando los principios que rigen en el Derecho a la Protección de Datos.

A este respecto, consideramos necesario hacer referencia a la reciente Sentencia 12/2019 de 11 Enero, Rec. 5579/2017, del Tribunal Supremo, en la cual se viene a tratar lo siguiente:

La persona afectada por una supuesta lesión del derecho al honor, a la intimidad personal y familiar y a la propia imagen, está legitimada para fundamentar válidamente una acción de reclamación ante la entidad proveedora de los servicios del motor de búsqueda en internet, o ante la AEPD, cuando los resultados del motor de búsqueda ofrezcan datos sustancialmente erróneos o inexactos que supongan una desvalorización de la imagen reputacional que se revele injustificada por contradecir pronunciamientos formulados en una resolución firme.

En el caso que nos atañe, la persona afectada interpone su acción de reclamación ante Google, reconocida por la Audiencia Nacional mediante Sentencia, pero Google decide recurrir esta Sentencia ante el Tribunal Supremo. ¿Por qué? El gigante tecnológico considera que no está lesionando los derechos del interesado.

Sin embargo, en el fallo de la Sentencia, el Tribunal Supremo estima no haber lugar al recurso de casación interpuesto por Google, reconociéndole a la persona afectada su Derecho al Olvido.

Este derecho al olvido de la persona afectada se fundamenta del siguiente modo:

Publicado en Blog

El equivalente en Francia a la autoridad de control española en materia de protección de datos (AEPD) es la “Commission nationale de l'informatique et des libertés” (CNIL), una autoridad pública e independiente cuya misión igualmente es garantizar el cumplimiento y la correcta aplicación del Reglamento General de Protección de Datos (RGPD) con el fin de proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.

Este organismo sancionó el pasado 21 de enero a la sociedad GOOGLE LLC (en adelante, GOOGLE) con una de las máximas sanciones previstas en el RGPD, en concreto, con 50 millones de euros, en aplicación de lo dispuesto en el artículo 83 del RGPD “se sancionará con una multa administrativa de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”. (ver aquí Resolución en francés)
La CNIL recibió en el mes de mayo dos denuncias colectivas por parte de la asociación “None Of Your Business (NOYB)” y “La Quadrature du Net (LQDN)” en las que se ponía de manifiesto que GOOGLE no tenía una base jurídica válida para tratar los datos personales de sus usuarios para poder personalizar los anuncios publicitarios que aparecían en sus cuentas.

Esto en la práctica suponía que los usuarios a la hora de configurar su cuenta de Google podían permitir que su perfil pudiera ser analizado con el fin de que la publicidad que les llegue sea lo más personalizada posible.

En primer lugar, hemos de indicar que la CNIL en esta misma Resolución trata una de las novedades introducidas por el RGPD: el mecanismo de ventanilla única

El Considerando 127 del RGPD prevé la posibilidad de que cada autoridad de control que no actúe como autoridad principal, pueda ser competente para tratar asuntos en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento se refiera y afecte en exclusiva en un único Estado y únicamente a interesados de ese Estado.

En tales casos, la autoridad de control debe informar sin dilación a la autoridad de control principal, que es la del país en que se encuentra su establecimiento principal, y una vez informada, ésta debe decidir si:

- Tratará el asunto atendiendo a la cooperación con las otras autoridades de control interesadas. Esta forma de proceder es denominada como “mecanismo de ventanilla única”),
- Tratará el asunto la autoridad de control que le haya informado.

En el presente caso, la CNIL antes de tomar una decisión al respecto y en aras de coordinarse con las otras autoridades, comunicó estas denuncias colectivas que había recibido a la autoridad de control irlandesa por considerarla como la autoridad de control principal al encontrarse las oficinas centrales de GOOGLE.

Publicado en Blog

Es una realidad constatada el que, desde hace ya algunos años, estamos asistiendo a un cambio en la forma de realizar nuestras compras y contrataciones. La llegada y afianzamiento de las nuevas tecnologías de la información han contribuido al desarrollo de un nuevo método de compra, el e-commerce, que resulta ser más cómodo y rápido para el usuario, en el que las adquisiciones no están sujetas a horarios de apertura y en el que basta con tener a mano un dispositivo con conexión a internet para, a golpe de clic, adquirir los productos y servicios deseados.

Una reciente encuesta publicada por el Instituto Nacional de Estadística (INE) refleja un incremento exponencial, a lo largo de los últimos años, en el porcentaje de población española que realiza adquisiciones de bienes y servicios online. Incremento que supone, a su vez, una puerta abierta a ciberdelincuentes que, conocedores de las debilidades de los usuarios y haciendo uso de técnicas cada vez más sofisticadas, estafan a numerosos consumidores.

Para hacer frente a cómo prevenir y actuar ante estas situaciones, así como para paliar la inseguridad que sigue estando presente en muchos hogares españoles a la hora de comprar por internet, la Agencia Española de Protección de Datos (en adelante, AEPD), el Instituto Nacional de Ciberseguridad (INCIBE), la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) y la Policía Nacional elaboraron, de manera conjunta, la guía práctica de compra segura en Internet. Una guía cuya finalidad principal es la de promover buenas prácticas que favorezcan la confianza de los internautas en las contrataciones en un ámbito, como es el entorno digital, en el que este valor se conforma como un pilar fundamental.

Entonces, ¿Cuáles son los pasos a seguir antes, durante y después de nuestra compra online para hacer de la misma una compra segura?

DE MANERA PREVIA A LA REALIZACION DE LA COMPRA

En aras de evitar que los datos intercambiados entre el usuario y la tienda online se vean comprometidos como consecuencia de una infección por malware, tan importante es configurar correctamente el dispositivo que vamos a utilizar, como navegar a través de una conexión de confianza que salvaguarde nuestra información. ¿Qué puedo hacer como usuario?:

- Instalar una herramienta antivirus y analizar el dispositivo antes de realizar la transacción para detectar posibles amenazas. 
- Disponer de las últimas versiones de los sistemas operativos así como de las app utilizadas.
- No hacer uso de dispositivos electrónicos y redes WiFi públicas en aquellas transacciones en las que hay intercambio de información confidencial.

Una vez que hayamos puesto a punto nuestros dispositivos, el siguiente paso será realizar la compra sólo en aquellas páginas web o apps que nos ofrezcan unos mínimos de seguridad, tales como la utilización de un protocolo HTTPS, encargado de proteger la seguridad de la información intercambiada durante el proceso de compra cifrando dicha información y verificando la identidad del sitio web.

Asimismo, el usuario deberá revisar la información legal que proporciona el titular de la página web: quiénes son, dónde tienen domicilio fiscal, qué datos recopilan de los usuarios y con qué fin, formas de pago que permiten, política de envío y devolución. Dicha información será facilitada a través de los textos de aviso legal, política de cookies, y política de privacidad respecto de los cuales ya nos pronunciamos en un post del presente blog (aquí).

 DURANTE LA REALIZACIÓN DE LA COMPRA

Publicado en Blog

¿Tu centro escolar dispone de página web, un blog o redes sociales donde se comparten imágenes de los alumnos? ¿Pueden los familiares captar imágenes en el interior del centro?

Como ya comentamos en anteriores publicaciones, ver aquí, la utilización de la imagen de un menor está sujeta a la normativa sobre protección de datos, ya que la imagen se considera un dato de carácter personal, así como a lo previsto en la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, y en la Ley Orgánica 1/1996, de 15 de enero, de protección jurídica del menor.

En este post vamos a intentar resolver aquellas posibles cuestiones que plantea el tratamiento de las imágenes en los centros escolares, así como la forma correcta de gestionarlas para prevenir problemas y evitar conflictos legales. Para ello, vamos a referirnos fundamentalmente a las disposiciones recogidas en la normativa, así como de las recomendaciones que hace la Agencia Española de Protección de Datos (AEPD) en su Guía para centros educativos (La Guía).

• Cuando las imágenes son captadas por los padres y familiares de los alumnos.

Es habitual que los propios padres y familiares de los alumnos hagan fotografías y graben vídeos en eventos o festivales, abiertos al público, en los que éstos participan.

En estos casos, en virtud del artículo 2.2c) del Reglamento General de Protección de Datos (RGPD) y del 2.2a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), estamos hablando de que la captación de esas imágenes se corresponde, en principio, a una actividad exclusivamente personal y doméstica, y, por tanto, quedan excluidas de la aplicación de la normativa de protección de datos.

Es altamente recomendable, y así también lo recoge La Guía, que el centro advierta a los asistentes a los eventos de que se pueden grabar imágenes de los alumnos para su utilización exclusivamente personal, familiar y de amistad.

Además, los padres y familiares han de tener en cuenta que, para publicar este tipo de grabaciones en internet en abierto, deberán contar con el consentimiento de todos aquellos que aparecen en las imágenes, de sus padres o tutores si son menores de 14 años.

Ahora bien, ¿puede un centro prohibir que los padres y familiares hagan fotografías o graben vídeos de los alumnos en el interior del mismo?

No existe disposición legal, ni en lo dispuesto en la normativa en materia de protección de datos, ni en la Ley Orgánica 2/2006, de 3 de mayo, de Educación (Ley de Educación), que obligue a aplicar este tipo de medidas en los centros; ahora bien, ello no quita para que sean los propios centros los que decidan dentro de su política interna llevar a cabo tal prohibición, valorando previamente cuales serían los pros y los contras que la misma traería consigo.

Publicado en Blog
Página 1 de 12

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal