Hoy en día a la pregunta ¿tienes página web?, la respuesta va a ser, casi siempre, un rotundo sí, pero si a continuación preguntamos ¿y cumples con la normativa vigente al respecto?, seguramente nos encontremos con respuestas diferentes.

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), establece el régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica.

¿Qué es un servicio de la sociedad?

Tal y como lo define la propia LSSI es todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.
La ley dice servicio prestado “normalmente a título oneroso” pero también comprende los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

Deberá incluirse por tanto, en el ámbito de aplicación de la ley, toda web que contenga publicidad así como cualquier web corporativa, pues se trata de una actividad relacionada con propia actividad económica del prestador.

Podríamos dejar fuera aquellos casos de páginas web personales, es decir, que no se refiera a la actividad profesional del titular y no tenga publicidad alguna.

Una vez determinado que la LSSI nos aplica, pasamos a analizar qué obligaciones debemos cumplir, para ello diferenciaremos entre:

Publicado en Blog

Hace escasos unos días el Tribunal Supremo (Sala de lo Contencioso Administrativo), determinó que: “el responsable del tratamiento de datos realizado en Google Search no es la filial Google Spain su matriz Google Inc”. Esta afirmación echa por tierra el criterio, hasta ahora seguido, de la corresponsabilidad por parte de Google Spain SL, en razón de la unidad de negocio que conforman ambas sociedades.

El TS así lo ha considerado, y ha fundamentado su decisión indicando que si bien es cierto en la Directiva 95/46/CE y en la LOPD se contempla la posibilidad de corresponsabilidad en el tratamiento de los datos, cuando emplean los términos “(...) sólo o conjuntamente con otros (...) puntualiza la Sala que ello supone una coparticipación de los fines y los medios del tratamiento de datos personales que es lo que caracteriza la condición de responsable, es decir, que en su opinión no valdría cualquier otro auxilio o colaboración que no tenga tal naturaleza, y añade un: “como puede ser el caso aquí contemplado”. El TS entiende que la actividad de promoción de productos o servicios publicitarios que realiza Google Spain en beneficio del responsable Google Inc, es una actividad ajena a la determinación de los fines y medios del tratamiento. Por tanto es la sociedad que gestiona el motor de búsqueda la que asume la responsabilidad del tratamiento de datos, con las obligaciones que de ello se deriva en orden al efectivo cumplimiento de la normativa.

Publicado en Blog

Terminábamos nuestro último post indicando que independientemente de la decisión final que tome una entidad al respecto de llevar a cabo la auditoría bienal obligatoria de forma interna o externa, conviene definir y aclarar en qué consiste y de qué se compone la auditoría en protección de datos, afianzando de este modo las declaraciones que hacia la AEPD al respecto:

Párrafo 2 del artículo 96 del RDLOPD 1720/2007 –

"El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas".

De este apartado podemos desgranar en al menos dos fases:

Publicado en Blog

Pocas semanas atrás, la Agencia Española de Protección de Datos emitía una nota de prensa en la que declaraba haber tenido conocimiento de que diferentes entidades estaban ofreciendo servicios para realizar auditorías de medidas de seguridad por teléfono. Como es lógico, la AEPD aclaró que una auditoría telefónica de medidas de seguridad no permite obtener los resultados establecidos en la normativa de protección de datos.

Entonces, ¿En qué consiste realmente una auditoría de medidas de seguridad?

Para responder a esta pregunta recurriremos a lo establecido en el Artículo 96 del RDLOPD 1720/2007:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título (...).

Es decir, esta medida de seguridad será de obligado cumplimiento en el momento que la empresa trate datos de nivel medio y alto claro, ya que las medidas de seguridad son de aplicación acumulativa.

Publicado en Blog

El Tribunal Supremo ha dado por válido, como prueba en juicio, unos mensajes privados aportados por una madre de una menor de 15 años, que ésta recibió en la red social Facebook.

La madre, ante la sospecha de que su hija pudiese estar siendo objeto de un delito de acoso sexual (ciberacoso), accedió a la cuenta de su hija en la red social Facebook, sin que conste que ésta otorgase su permiso para acceder.

Éste hecho, hizo que el acusado en su recurso, ante la Sala Penal del Tribunal Supremo, solicitase que anulasen la prueba aportada por la madre donde constaban las conversaciones mantenidas con la menor en la red social, pues entendía que la madre había accedido a dichas conversaciones, sin la autorización de la menor, vulnerando el derecho a la intimidad de los comunicantes.

Publicado en Blog

La sala Civil del Tribunal Supremo ha revocado una sentencia de la Audiencia Provincial de Córdoba mediante la cual se absolvía a Telefónica de una intromisión ilegítima al honor del demandante por la inclusión de éste en dos ficheros de morosos.

Los hechos versan sobre la cesión que realiza Telefónica de los datos del demandante a dos entidades que gestionan ficheros de datos de carácter personal sobre solvencia patrimonial. No constaba que la compañía telefónica requiriera previamente el pago al demandante y le informara de que, en caso de no producirse el pago, los datos relativos al impago podrían ser comunicados a un fichero de morosos tal y como dispone el artículo 29 LOPD.

Además el demandante, y de forma previa a la inclusión, había enviado una carta certificada comunicando a Telefónica que no aceptaba el pago de una factura, puesto que el servicio prestado no era el adecuado y que había sometido la cuestión del pago a Consumo.

Publicado en Blog

Terminábamos el anterior artículo indicando que resultado de los indicado en en artículo 2.5 LO 1996 de protección jurídica del menor,  el interés superior del menor, en respecto a la mayor protección tanto física como psicológica de los menores a través desistemas de vigilancia, debía prevalecer permitiendo así la implantación de tales sistemas.

Pero a pesar de esta afirmación, la AEPD considera que deberán adoptarse unas especiales cautelas, de forma que se minimicen los riesgos que pueden concurrir para la protección de datos:

1. Únicamente se permite la captación y reproducción de las imágenes estrictamente necesarias para el cumplimiento de los fines propuestos.

2. En ningún caso podrán captar la vía pública.

3. No se podrán captar lugares donde no se encuentren menores, por no servir a la finalidad prevista.

4. Deberán existir estrictas medidas en cuanto al acceso a las imágenes, tanto en el visionado inicial como en los posibles accesos a las grabaciones.

5. Las pantallas de visionado no podrán estar en lugares de acceso general, sino en lugares donde sólo puedan acceder quienes puedan ver las imágenes.

6. Únicamente se permitirá tanto su visionado inicial como el acceso ulterior a las imágenes grabadas al director del centro, o a la persona responsable que tenga a su cargo la gestión de los recursos humanos, o la persona específicamente designada por el centro.

Publicado en Blog

Hace poco más de un mes, la AEPD  daba noticia de un informe que había publicado, en el cual se examina si los centros escolares pueden colocar videocámaras en zonas comunes, como patios y comedores, así como qué requisitos deben cumplir para ello.

Para analizar esta cuestión, la AEPD parte de la base del interés legítimo recogido en el artículo 7.f) de la Directiva 95/46/CE, que tiene efecto directo siendo el interés legítimo presupuesto legitimador para el tratamiento de datos personales sin consentimiento del interesado (...) .

El interés legítimo, en este caso, sólo podría plantearse en relación con el principio de interés superior del menor consagrado en el art. 2 de la Ley Orgánica 1/1996 de protección jurídica del menor: "Todo menor tiene derecho a que su interés superior sea valorado y considerado como primordial en todas las acciones y decisiones que le conciernan, tanto en el ámbito público como privado (...) primará el interés superior de los mismos sobre cualquier otro interés legítimo que pudiera concurrir".

Publicado en Blog

Hoy ponemos fin a la serie de artículos que en este blog hemos ido publicando sobre diferentes aspectos en relación a los "Accesos por cuenta de terceros versus cesión de datos".

Recordemos que:

"Cesión de datos es el tratamiento de datos, que supone su revelación a una persona distinta del interesado".

La obligación principal ante una cesión de datos es contar con el previo consentimiento del afectado. Para que sea válido el mismo, el titular de los datos deberá conocer la finalidad a que destinarán los datos cuya comunicación autoriza, o al menos el tipo de actividad del cesionario. Es decir, que se deberá informar convenientemente al titular de los datos. Además, el consentimiento para la cesión de los datos tiene carácter revocable.

Sin embargo, ante esta obligación principal cabe aplicar las excepciones descritas en los artículos 11 de la LOPD y 10 del RDLOPD. No será necesario el consentimiento cuando:

a. Lo autorice una norma con rango de ley o una norma de derecho comunitario. A este respecto, el criterio habitual de la AEPD es que esa autorización debe aparecer de forma expresa.

b. La cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario, siempre y cuando no prevalezca el interés o los derechos y libertades fundamentales de los interesados cuyos datos son objeto de cesión.

Publicado en Blog
Viernes, 15 Enero 2016 13:17

El envío de spam vía WhatsApp

Primera sanción de la AEPD por el envío continuado de publicidad a través de WhatsApp.

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 600 euros, a una empresa de ocio de Madrid, por el uso de la plataforma WhatsApp para enviar publicidad a terceros.

La LSSICE define comunicación comercial como: "toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional."

Asimismo, define Servicios de la sociedad de la información como: "todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario."

Una vez más, la AEPD, expone los criterios mantenidos sobre el envío de "spam" así como las consecuencias de realizar esta práctica, en este mismo blog hemos hablado y analizado dichos criterios.

Además, el artículo 21.1 LSSICE prohíbe, expresamente, las comunicaciones comerciales por correo electrónico u otro medio que, previamente no hayan sido autorizadas por los destinatarios de las mismas.

Publicado en Blog
Página 4 de 10

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal