El pasado 20 de junio, se publicaba la Directiva UE 2019/1024 del Parlamento Europeo del Consejo relativa a los datos abiertos y la reutilización de la información del sector público (en adelante Directiva UE 2019/1024 o la Directiva), con el fin de explotar plenamente el potencial de la información del sector público para la economía y la sociedad europea, para así afrontar los obstáculos de una amplia reutilización de datos abiertos, y actualizar el marco legislativo acorde con los avances en las tecnologías digitales. Así, modifica de forma sustancial, las anteriores normas que regulaban esta materia, la Directiva 2003/98/CE del Parlamento Europeo  y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público y la Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, por la que se modifica (en adelante Directiva 2013/37/UE).

Los cambios de fondo de esta Directiva se centran en la prestación de acceso en tiempo real a los datos dinámicos a través de medios técnicos adecuados, aumentando el suministro de datos públicos valiosos para la reutilización, incluidos los de las empresas públicas, organizaciones que financian la investigación y organizaciones que realizan actividades de investigación, haciendo frente a la aparición de nuevas formas de acuerdos exclusivos, el uso de excepciones al principio de tarificación del coste marginal, así como la relación entre la presente Directiva y determinados instrumentos jurídicos conexos, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante RGPD) y las Directivas 96/9/CE, 2003/4/CE, y 2007/2/CE, del Parlamento Europeo y del Consejo.

Ahora bien, ¿en qué consisten realmente la reutilización de la información del sector público y los datos abiertos?

En lo que respecta a la reutilización de la información en el sector público, se entiende como tal, el uso de documentos que obran en poder de organismos del sector público y empresas públicas, por parte de personas físicas o jurídicas.

Por otra parte, la propia Directiva, en su considerando 16, entiende por datos abiertos, los datos en formatos abiertos que puede utilizar, reutilizar y compartir libremente cualquier persona con cualquier fin. A este respecto, las políticas de apertura de información que propician la disponibilidad y la reutilización generalizadas de la información del sector público con fines privados o comerciales, pueden desempeñar una función importante a la hora de fomentar el compromiso social e impulsar y promover el desarrollo de nuevos servicios basados en formas novedosas de combinar y utilizar esa información.

Partiendo de la consideración del acceso a la información como un derecho fundamental, así regulado en el artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante la Carta), que comprende la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras, la información del sector público se considera una fuente extraordinaria de datos que pueden contribuir a mejorar el mercado único y al desarrollo de nuevas aplicaciones para los consumidores y las personas jurídicas.

En concreto, el artículo 1.1 de la Directiva, determina su ámbito de aplicación, y, atendiendo a ello, tendrán la consideración de datos abiertos:

a. Los documentos existentes conservados por organismos del sector público de los Estados miembros.

b. Los documentos existentes conservados por empresas públicas que:

c. Los datos de investigación, debiendo tener en cuenta las inquietudes relacionadas con los derechos de propiedad intelectual e industrial, la protección de datos personales y la confidencialidad, la seguridad y los intereses comerciales legítimos.

Asimismo, en el apartado 2 del mismo artículo, se incluye un listado exhaustivo de supuestos de no aplicación, entre los que destacamos la letra h), ya contemplada en las modificaciones introducidas por la Directiva 2013/37/UE: aquellos documentos cuyo acceso esté excluido o limitado en virtud de regímenes de acceso por motivos de protección de los datos personales, y las partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización se haya definido por ley como incompatible con la legislación relativa a la protección de las personas físicas con respecto al tratamiento de los datos personales o como un menoscabo de la protección de la intimidad y la integridad de las personas.

¿Tiene esta Directiva injerencia en materia de protección de datos personales?

Publicado en Blog

No es la primera vez que nos referimos en este blog al tratamiento de datos personales relativo a la inclusión de tales datos en ficheros de solvencia patrimonial o sistemas de información crediticia por incumplimiento de obligaciones dinerarias, financieras o de crédito. De hecho, en una de nuestras publicaciones (ver aquí) analizábamos cuáles son los requisitos para que la inclusión de una deuda sea lícita; que recordemos, en virtud del artículo 20 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) son entre otros:

  • Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta.
  • Que los datos se refieran a deudas ciertas, vencidas y exigibles, que haya resultado impagadas, y respecto de las cuales no se haya entablado reclamación judicial, arbitral o administrativa.
  • Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, y que una vez se haya procedido a la inclusión se le notifique y se le informe de la posibilidad de ejercitar sus derechos.
  • Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde el vencimiento de la deuda.
  • Que los datos únicamente puedan ser consultados si se mantiene una relación contractual con el afectado que implica el abono de una cuantía pecuniaria o se solicite la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica. Si se denegase la celebración del contrato, quien haya consultado el sistema debe informar al afectado del resultado de dicha consulta.

Además, corresponde a la entidad acreedora garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda y que, por ende, se ha respetado el principio de licitud respecto al tratamiento de los datos de carácter personal que exige que el responsable del tratamiento acredite que ha actuado con la diligencia correspondiente para demostrar que la deuda es cierta, vencida y exigible; respondiendo de su inexistencia o inexactitud.

Y es este supuesto de hecho, el objeto de la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) a una conocida entidad distribuidora de cosméticos en su reciente Resolución del Procedimiento sancionador N.º: PS/00159/2019 iniciado el 24 de abril de 2019, por infringir lo dispuesto en el artículo 6.1 del Reglamento Europeo de Protección de Datos (RGPD), al incluir los datos personales de una de sus distribuidoras que, supuestamente había realizado un pedido online cuyo abono estaba pendiente, en el fichero de solvencia patrimonial Asnef, sin haber previamente comprobado su identidad y cuando en realidad se estaba falseando el proceso de contratación, empleando un tercero de forma fraudulenta la identidad de la denunciante.

Llegados a este punto, cabe analizar dos puntos clave:

  1. ¿Contaba la entidad con base legitimadora suficiente para tratar los datos personales de su distribuidora?

Dentro de las distintas bases que legitiman la licitud de un tratamiento que reconoce el RGPD en su artículo 6.1, podría en este caso encajar si se cumpliera alguna de estas tres condiciones:

Publicado en Blog

Muchos son los interrogantes que se nos plantean a la hora de determinar si podemos o no considerar las matrículas de los vehículos como datos de carácter personal conforme a la legislación vigente.

Si bien es cierto que el criterio mayoritario que nuestra autoridad de control en materia de protección de datos (Agencia Española de Protección de Datos, en adelante “AEPD”) está adoptando, es el considerar que las matrículas de los vehículos sí constituyen un dato de carácter personal, y, por tanto, sometidas a las previsiones recogidas en la normativa en materia de protección de datos (Reglamento General de Protección de Datos, en adelante “RGPD” y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales), a continuación podemos comprobar que estos pronunciamientos no son de carácter unánime, tanto por parte de la propia AEPD, como por otros Tribunales, al considerar que tales datos no son datos de carácter personal.

En primer lugar, y para poder dar una respuesta a esta cuestión, debemos preguntarnos, ¿qué es un dato de carácter personal?

El artículo 4.1 RGPD define dato de carácter personal como “toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”

Atendiendo a la definición que el propio RGPD nos proporciona del concepto de dato de carácter personal, podemos inferir que, mediante la matrícula de un vehículo, indirectamente se podría llegar a identificar al titular del vehículo, y, por tanto, tratarse de un dato de carácter personal.

Ahora bien, ¿en qué supuestos ha entendido la AEPD que las matrículas de vehículos son datos de carácter personal?

Publicado en Blog

Parece ser que SI, esta es la conclusión a la que ha llegado el Tribunal Supremo (en adelante TS), en su Sentencia núm. 1062/2019 de 12 de julio (rec. 4980/2018), desmarcándose así del criterio de la Audiencia Nacional que desestimó el recurso interpuesto por Iberdrola contra una resolución de la Secretaria de Estado de Energía a la hora de interpretar el alcance de la definición de datos de carácter personal.

Señala el TS que los datos de consumo energético individualizados para cada punto de suministro, contenidos en las Curvas de Carga Horaria ( en adelante CCH), constituyen datos de carácter personal y ello en la medida en que si se combinan o se ponen en relación con otros datos a los que se puede tener acceso de forma indirecta o a través de terceros, como puedan ser los datos incorporados al Sistema de Puntos de Suministro de Gas y Electricidad (SIPS) o a través de las inspecciones de las instalaciones.

Iberdrola impugnó en su día la citada Resolución de la Secretaría de Estado de Energía de 2 de junio de 2015, que aprobó determinados procedimientos de operación para el tratamiento de datos de medida procedentes de los equipos de tipo 5, a efectos de facturación y de liquidación de energía, obligando a los distribuidores (que son los responsables de la lectura de los contadores de los consumidores) a enviar las mediciones de la curvas de carga horaria individualizada, es decir las medidas horarias de consumo de cada consumidor, gestionados por las distribuidoras, al concentrador principal gestionado por el operador del sistema (OS).

Pues bien, hasta la aprobación de dicha resolución, las distribuidoras remitían los datos de CCH de forma agregada, y no individualizada, al operador del sistema, por lo que el operador del sistema no tenía acceso a esa información privada de los consumidores, ejerciendo su función en base a los datos agregados, pero a partir de ahora SI se puede saber qué hace cada consumidor privadamente en su casa.

Pero para que nos aclaremos ¿Que son los puntos de medida de suministro eléctrico tipo 5?

Según el artículo 7.5 del Real Decreto 1110/2007, de 24 de agosto, por el que se aprueba el Reglamento unificado de puntos de medida del sistema eléctrico (en adelante "RUPM"), son aquéllos que se instalan por clientes cuya potencia contrada en cualquier periodo sea igual o inferior a 15 KW, que son los que tenemos contratados la gran mayoría de los consumidores domésticos.

Estos datos de CCH individualizados, con desglose horario, permiten a quien tenga acceso a esa información conocer los hábitos de conducta privados de los consumidores, tales como las horas ordinarias de entrada y salida del domicilio, la hora en la que se va a dormir, las zonas horarias en la que hay más actividad en la vi-vienda o en local de negocio, el nivel de electrificación, la utilización de aparatos de refrigeración o calefacción, entre otros. 

Datos que atañen sustancialmente a la esfera privada de la intimidad de cada consumidor.

Ahora bien, ¿Cuál es el objeto de controversia en lo que a protección de datos se refiere?

Publicado en Blog

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.

El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.

Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:

  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?

Publicado en Blog

Hace escasos días, los medios de comunicación se hacían eco de una resolución, recientemente, emitida por la Sala tercera de lo Contencioso-administrativo del Tribunal Supremo (en adelante, TS) (STC 1007/2019 de 8 de julio de 2019) contra el Instituto de la vivienda de la Comunidad de Madrid (en adelante, IVIMA) y con la que el TS acababa con años de idas y venidas, de resoluciones y sentencias en las que se analizaba, desde un punto de vista de protección de datos, la actuación del IVIMA durante un proceso de enajenación de 32 promociones de viviendas de su propiedad.

Y sí, el TS confirma, con su sentencia, la existencia de una vulneración de la normativa en materia de protección de datos por parte del IVIMA. Hecho que ya adelantaron la Agencia Española de Protección de Datos (en adelante AEPD) en su resolución R/00851/2015 y la Sala de lo Contencioso número 1 de la Audiencia Nacional, (en adelante AN) en su sentencia 5119/2017.

Pero antes de analizar la fundamentación de estos entes jurídicos, y poder comprender, así, la trascendencia de las resoluciones, hemos de ponernos en situación. Año 2013. El IVIMA saca a concurso, la enajenación de 32 promociones de viviendas en situación de arrendamiento y arrendamiento con opción a compra, algunas de las cuales se encontraban inmersas en procesos litigiosos de diversa índole. Al concurso, licitaron un número cerrado de empresas que, tras superar la primera fase del concurso y firmar el compromiso de confidencialidad que se les requería, accedieron a toda aquella documentación que debían conocer respecto de los bienes objeto de enajenación, a través de un portal de acceso restringido, denominado data room.

Desde el punto de vista de protección de datos, ¿qué hecho acontece, entonces, que pone en entredicho la actuación del IVIMA?

Es necesario mencionar que el pliego de condiciones, que regula el procedimiento del concurso, fue publicado en el perfil del contratante en la página web de la Comunidad de Madrid. Dicho pliego estaba conformado, entre otros, por los anexos I y VIII que recogían una relación detallada de 41 viviendas que se encontraban inmersas en diversos procedimientos litigiosos. A la relación de las viviendas, lo acompañaban los nombres y apellidos de los 34 arrendatarios, así como otras informaciones relativas a las viviendas tales como la referencia catastral, dirección, municipio…etc. Dicha información era de acceso libre, y descargable por todo aquel que accediese al perfil del contratante en la dirección web  http://www.madrid.org/contratospublicos. Se mantuvo pública 19 días

A las vista de las denuncias presentadas por los afectados, se efectúan, por parte de la AEPD, las actuaciones de investigación oportunas y que tienen como resultado final la incoación de un procedimiento de declaración de infracción por presunta vulneración, por parte del IVIMA de los ­artículos 6.1 y 10 de la Ley Orgánica de Protección de Datos 15/1999 (en adelante, LOPD 15/99), ya derogada en la actualidad por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 3/2018 (en adelante, LOPDGDD). No obstante, el 9 de marzo de 2015, en propuesta de resolución, la AEPD declara el archivo de la infracción del artículo 10, imputada al IVIMA; manteniendo la comisión de una infracción sobre el artículo 6.1 de la LOPD 15/99.

A pesar de la derogación de la LOPD 15/99, sobre la que los distintos entes públicos y jurídicos fundamentan sus respectivas decisiones, en el presente artículo, trataremos de identificar los preceptos de la actual normativa, Reglamento Europeo de Protección de Datos (RGPD) y LOPDGDD, que se corresponden con el artículo de la LOPD 15/99 infringido.

Entonces, ¿cuáles son los fundamentos esgrimidos por la AEPD, para considerar la existencia de una infracción sobre el artículo 6.1?

Publicado en Blog

WhatsApp es una plataforma de mensajería privada que fue originalmente diseñada como una herramienta de uso personal para que las personas enviaran mensajes a sus familiares y seres queridos.

Hoy en día, son muchas las empresas que utilizan WhatsApp como herramienta empresarial en su día a día para ponerse en contacto con sus clientes, en el mantenimiento de las relaciones contractuales existentes.

Recientemente, la Agencia Española de Protección de Datos (en adelante AEPD), ha archivado las actuaciones en el procedimiento E/01824/2019, en una reclamación presentada contra VODAFONE, por intentar comunicarse con un usuario a través de WhatsApp, procedimiento que no tiene autorizado expresamente.

Pues bien, el artículo 6.1.b) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), dispone que el tratamiento es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación a petición de este de medidas precontractuales. Es por lo que, en este supuesto, el dato del número de teléfono se utiliza dentro de la relación contractual. Dado que en el presente supuesto la actuación de la entidad reclamada se encuadra en el apartado b) del citado artículo, la AEPD resuelve que no existe vulneración en materia de protección de datos.

Si bien es cierto que en esta Resolución la AEPD concluye que es lícito el uso del dato del teléfono para ponernos en contacto con nuestros clientes vía WhatsApp, amparado en la existencia de una relación contractual, en lo que a comunicaciones comerciales por medios electrónicos se refiere, debemos acudir a lo dispuesto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI) que establece como regla general, la obligación de recabar el consentimiento de forma previa, expresa e informada acerca del tipo de tratamiento de datos y su finalidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.

En este sentido conviene recordar al respecto, un informe jurídico de la AEPD en cuanto al envío de comunicaciones comerciales vía electrónica se refiere:

La remisión de comunicaciones comerciales por medios electrónicos se encuentra regulada por el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico, cuyo apartado 1 dispone claramente que:

“Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso la entidad podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

En todo caso, la entidad deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

La Ley obliga, además, a las entidades a habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado, así como a facilitar información accesible por vía telemática sobre dichos procedimientos.

De este modo, el citado artículo 21 LSSI opera como límite, al que habrá de estarse en todo caso, cuando las acciones de mercadotecnia o publicidad se lleven a cabo a través de medios electrónicos, al establecerse para estos supuestos la regla general del consentimiento expreso del interesado para su realización, a menos que dichas acciones se refieran a “productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

A estos efectos, señala el informe anteriormente citado, que la Ley 34/2002 constituye una norma especial en relación con estas actividades, por lo que no podría acudirse para resolver la cuestión planteada en este punto a las previsiones del reglamento general de protección de datos, sino que habrá de tenerse en cuenta lo dispuesto en esta norma especial cuando las comunicaciones se lleven a cabo a través de medios electrónicos.

Por tanto, el régimen aplicable a las comunicaciones comerciales por medios electrónicos, en cuanto normativa específica, prevalece frente al régimen general del Reglamento de protección de datos, sin que la aprobación del mismo implique obligaciones adicionales, y sin perjuicio de que deba de procederse a la revisión de la Directiva 2002/58/CE para garantizar su coherencia con el RGPD.

Estas reglas son también aplicables al envío de mensajes publicitarios por otros medios de comunicación electrónica individual equivalente, como el servicio de mensajería de la telefonía móvil (WhatsApp).

¿Pero, como afecta a esta cuestión el reciente anuncio de la plataforma de mensajería?

Publicado en Blog

Disquetes, CDs, discos duros, dispositivos USB …etc. Hablamos de recursos utilizados, durante años, por parte de entidades y organizaciones para el almacenamiento de la información generada como consecuencia de su actividad. Todos estos recursos tenían un gran límite en común: el espacio.

Es, por tanto, lógico que, como consecuencia de la evolución tecnológica, los sistemas de almacenamiento se hayan ido perfeccionando y ajustando a las necesidades de las entidades en cada momento. Por ello, desde hace ya unos años, venimos asistiendo al fenómeno Cloud Computing o almacenamiento en nube.

Pero ¿a qué nos referimos realmente cuando hablamos de este nuevo concepto de almacenamiento? Es un tipo de servicio, utilizado también por aplicaciones, que permite almacenar todo tipo de contenido en un servidor conectado a la red, siendo la principal ventaja de estos sistemas, la flexibilidad que ofrecen que, en la práctica, se traduce en la posibilidad de acceder a la información almacenada desde cualquier lugar, con cualquier dispositivo, todos los días del año.

Consciente de la importancia de estos nuevos sistemas de almacenamiento, y su incuestionable impacto en la protección de datos de carácter personal, la Agencia Española de Protección de Datos (en adelante, la AEPD) publicó dos guías que son, ahora, objeto de análisis en el presente artículo:

Guía para clientes que contraten servicios de cloud computing que, a pesar de haber sido publicada hace ya unos años, fue actualizada por parte de la AEPD tras la plena exigibilidad del Reglamento Europeo de Protección de Datos (en adelante RGPD), en mayo de 2018.

Informe sobre la utilización, por parte de profesores y alumnos, de aplicaciones que almacenan datos en nube, con sistemas ajenos a las plataformas educativas y que surge como resultado de una inspección sectorial que, de oficio, inicia la AEPD sobre servicios de cloud computing en el sector educativo hace unos años.

Es importante recalcar, en este punto, que en la actualidad, no existe un único sistema de almacenamiento en nube. Así, podemos distinguir:

- Nube pública. Cuando el proveedor proporciona sus recursos de forma abierta. Entre sus ventajas más destacadas se encuentra la rapidez para utilizar sus servicios de almacenamiento gratuito.

- Nube privada. En aquellos casos en los que el responsable del tratamiento “compra” un espacio y realiza su propia gestión y administración de la información. Servicio que puede implementarse por la misma entidad que la utiliza o bien, externalizarse con una entidad tercera que actuará bajo supervisión y en función de las necesidades del responsable del tratamiento. Aquí, sus principales ventajas radican en la mayor seguridad que ofrecen así como en el control que, sobre la información, tiene la empresa.

- Otros modelos de nubes, más flexibles y que permiten una mejor adaptación a las necesidades específicas de cada empresa. Así, entre los modelos nos encontramos con soluciones como:

- Nubes híbridas en las que se ofrecen ciertos servicios de forma pública y otros de forma privada.
- Nubes comunitarias cuando dichos servicios son compartidos en una comunidad cerrada.
- Nubes combinadas aquellas que tienen disponibilidad de combinar dos o más nubes sean privadas o públicas que pueden ser administradas por diferentes usuarios o proveedores.

Accesibilidad, disponibilidad y comodidad. Está claro que el uso de servicios de almacenamiento en nube ofrece un gran número de ventajas a los responsables de tratamiento en el desarrollo de su actividad. Sin embargo, no podemos dejar a un lado los riesgos que inciden en la seguridad de los datos de carácter personal almacenados en dichos sistemas. Dichos riesgos recaen, principalmente, en:

1. La falta transparencia en la información sobre las condiciones en las que se presta el servicio. Al ser el proveedor quién conoce todos los detalles del servicio que ofrece, será fundamental que nos facilite información sobre qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos. A menor información obtenida, mayor será la dificultad para el responsable de evaluar los riesgos y establecer los controles adecuados.

2. La falta de control que el responsable puede llegar a tener sobre el uso y gestión de los datos personales como consecuencia de las dificultades que puede encontrarse a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido, los obstáculos a una gestión efectiva del tratamiento …etc.

¿Cómo se pueden afrontar, entonces, estos riesgos?

Publicado en Blog

Como siempre hemos recalcado en este blog, cuando se vaya a realizar un tratamiento de datos de carácter personal debemos plantearnos si dicho tratamiento se realiza de forma lícita, y para ello, actualmente debemos examinar las bases que lo legitiman contempladas en el artículo 6 del Reglamento General de Protección de Datos (RGPD). En caso de que no se cumpla al menos con una de las condiciones que recoge este artículo, el tratamiento de datos se considerará ilícito.

Precisamente, sobre la licitud del tratamiento de los datos de los empleados de una empresa de Contact-Center, se ha pronunciado recientemente la Sala Cuarta de lo Social del Tribunal Supremo (TS) mediante una sentencia (ver aquí) con relación a la validez de la obtención del consentimiento de los empleados a través de una cláusula genérica recogida en el propio contrato laboral, para poder usar su imagen en las video llamadas realizadas para prestar los servicios de telemarketing.

En concreto, la cláusula tipo que incorpora la empresa a los contratos establece que “El trabajador consiente expresamente , conforme a la LO 1/1982, de 5 de mayo, RD 1720/2007 de Protección de Datos de carácter personal y Ley Orgánica 3/1985 de 29 de mayo, a la cesión de su imagen, tomada mediante cámara web o cualquier otro medio, siempre con el fin de desarrollar una actividad propia de telemarketing y cumplir, con el objeto del contrato y los requerimientos del contrato mercantil del cliente” .

El único fin que la empresa pretende conseguir con esta cláusula, es poder prestar correctamente sus servicios de atención al cliente, y para ello instala una cámara Webcam en los terminales de los trabajadores que intervienen en la videollamada.

Cabe señalar que, si, además, por cualquier motivo, la empresa desea utilizar la imagen de los trabajadores para la realización de actividades promocionales y publicitarias, en este caso la empresa sí estaba solicitando el consentimiento mediante una autorización específica y diferente.

Entonces, cabe plantearse dos preguntas:

¿Es necesario solicitar el consentimiento de los empleados para poder usar su imagen en el marco de las labores propias de su actividad? Y de ser necesario, ¿es válido obtenerlo mediante una cláusula contractual genérica?

Publicado en Blog

Hace unas semanas publicábamos en este Blog un artículo sobre los conceptos y claves de la anonimización de datos de carácter personal, partiendo para ello del análisis de la guía de la Agencia Española de Protección de Datos (AEPD) que recoge una serie de orientaciones y garantías en los procesos de anonimización de datos de carácter personal.

Si bien es cierto que la guía no tenía un carácter novedoso, ya que fue publicada por la AEPD hace varios años, los procesos de anonimización sobre conjuntos de datos personales son actualmente un pilar base para responsables y encargados del tratamiento, en lo que a medidas de seguridad se refiere.

Sin embargo, una de las problemáticas que estos mecanismos plantean, y así lo hacíamos constar en el artículo mencionado, es la dificultad de aplicar un proceso de anonimización que garantice de manera absoluta, la no reidentificación posterior de los titulares de los datos.

Precisamente para abordar cuáles son los límites en la efectividad de esos procesos de anonimización, la AEPD ha publicado hace unos días una nota técnica, en la que también analiza hasta qué punto la información está realmente anonimizada, y cómo se puede gestionar el riesgo de reidentificación.

En este documento, elaborado por la Unidad de Evaluación y Estudios Tecnológicos de la autoridad española de protección de datos, se parte de la base de que, en aplicación del principio de responsabilidad proactiva o accountability establecido en el Reglamento General de Protección de Datos (RGPD), el responsable debe analizar los riesgos en los tratamientos de datos, en este caso concreto, los de reidentificación derivado de sus procesos de anonimización, así como los generados en el proceso posterior y en el enriquecimiento de conjuntos de datos. El fin último de este análisis, no es otro que alcanzar un balance correcto entre la necesidad de obtener unos resultados con una determinada fidelidad, y el coste que el tratamiento puede tener para los derechos y libertades de los ciudadanos.

Para dar solución a este problema y evitar la desanonimización de un conjunto de datos, se ha desarrollado una disciplina conocida como Control de Revelación Estadística o técnicas SDC (Statistical Disclosure Control, más información a este respecto aquí), que tiene como objeto estudiar la forma más óptima de realizar un tratamiento adicional sobre la información de los sujetos de datos, consiguiendo al mismo tiempo maximizar la privacidad y mantener los objetivos establecidos en la aplicación o servicio que explota tales datos.

Si bien es cierto que existen diferentes técnicas orientadas a preservar la privacidad de los datos personales de individuos, todas ellas encaminadas a limitar las amenazas a la privacidad que pueden materializarse al desanonimizar la información, la AEPD centra su análisis en la K-anonimización, técnica ya mencionada por el antiguo Grupo de Trabajo del Artículo 29 en su Opinión 05/2014.

¿En qué consiste realmente la K-anonimidad?

Publicado en Blog
Página 1 de 13

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal