Miércoles, 06 Noviembre 2019 14:32

FÚTBOL ESPAÑOL VS PROTECCIÓN DE DATOS

En la sociedad actual se encuentra normalizado que un equipo de fútbol informe públicamente del alcance de las lesiones de sus jugadores. Nos podemos encontrar incluso, con casos en los que se publican fotografías del post-operatorio para que la afición pueda “verificar” que todo ha salido correctamente. Tanto es así que, a día de hoy, cualquier aficionado puede conocer con facilidad, cuáles son las lesiones que el jugador del que es seguidor ha podido sufrir en una temporada.

Todo esto es debido a que se establece como una “costumbre” futbolística el que los entrenadores del equipo hablen del estado físico y de salud de los jugadores emitiendo un parte médico al respecto para tranquilizar a los aficionados. Precisamente respecto de estas cuestiones se ha pronunciado un jugador del Real Madrid (Gareth Bale) a la hora de solicitar a los responsables médicos de su club que no emitan ningún informe sobre su última lesión, abogando a su privacidad, utilizando su derecho a la protección de datos y a su privacidad, lo que los medios de prensa han denominado esto como “La ley Bale”.

Pero ¿hasta qué punto esto es legal? ¿Qué ocurre con el derecho a la protección de los datos personales de esos jugadores y su intimidad?

En primer lugar, para determinar hasta qué punto es legal o no debemos tener en cuenta que nos encontramos ante una cesión o comunicación de datos, y al igual que cualquier otro tratamiento de datos de carácter personal, debe cumplir con una serie de principios, los cuales se encuentran consagrados en el Reglamento General de Protección de Datos (RGPD) y son los siguientes:

  • Limitación del fin: El tratamiento de datos personales debe estar limitado a fines legítimos para los cuales los datos personales fueron recogidos originalmente del interesado.
  • Minimización de datos: Durante la recogida de datos, sólo se pueden solicitar los datos personales absolutamente necesarios para tal fin.
  • Exactitud: Los datos personales de los interesados deben ser siempre precisos y estar actualizados.
  • Integridad y Confidencialidad: Los datos personales deben ser tratados de forma que se garantice la seguridad apropiada, incluyendo protección contra el tratamiento no autorizado o ilegal. Además, los responsables deben asegurar que los datos no pueden ser modificados por personas no autorizadas.
  • Limitación del almacenamiento: Los datos personales deben ser conservados solamente el tiempo necesario.
  • Licitud, lealtad y transparencia: El RGPD indica que todos los tratamientos de datos personales deban ser leales; ósea, que las empresas no realicen tratamientos que no sean legítimos. Además de lo anterior, las empresas deben ser transparentes con respecto al tratamiento de datos personales, e informar siempre al interesado de manera abierta y transparente.

De todos los principios indicados, en el caso que estamos analizando el principio que mas debemos tener en cuenta es el principio de licitud.

¿Cómo se debería de actuar para cumplir con el principio de licitud?

Debemos de acudir al apartado 1º del artículo 6 del RGPD, en el que se estipula que el tratamiento solo será lícito si se cumple al menos una de las siguientes bases jurídicas para el tratamiento:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

En este caso concreto la única base jurídica que podría ser de aplicación sería el consentimiento del interesado. Por lo tanto, en el caso de que el equipo de fútbol decidiese ceder los datos médicos del jugador sin su previo consentimiento, estaría incurriendo en un incumplimiento normativo en materia de protección de datos, dado que no tendría una base jurídica para poder realizar dicha comunicación.

Pero ¿bastaría con ese consentimiento para tratar datos de salud?

Publicado en Blog

En las últimas semanas, las Cookies han sido un tema de tendencia a raíz de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el Asunto C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband Ev Y Planet49 GmbH. En este asunto, la sociedad alemana Planet 49, en el marco de juegos con fines promocionales organizados en línea, procedió a la configuración de una casilla marcada por defecto con la que los internautas que deseaban participar en dicho juego expresaban su consentimiento para la colocación de cookies, con el fin de recabar información con fines publicitarios para los productos de las empresas colaboradoras de Planet49.

En esta resolución, el TJUE declara que el consentimiento que el usuario de un sitio de Internet debe dar para la instalación de cookies en su equipo y la consulta de éstas no se presta de manera válida mediante una casilla marcada por defecto, requiriendo la intervención del interesado para evitar esta aceptación.

También subraya que el consentimiento debe ser específico, de modo que el hecho de que un usuario active el botón de participación en el juego organizado por Planet49 con fines promocionales, no basta para considerar que este ha dado de manera válida su consentimiento para la instalación de cookies.

Es cierto que esta sentencia ha gozado de mucha difusión y se ha presentado como una resolución muy novedosa, tal vez porque el TJUE ha entrado de lleno en uno de los aspectos más polémicos que afecta de manera directa a los usuarios cuando hacen uso de la navegación online. Sin embargo, al fin y al cabo el Tribunal ha aplicado el Reglamento Europeo de Protección de Datos (RGPD), y en concreto ha tenido en cuenta los requisitos que la norma europea establece para recabar de forma válida el consentimiento de los interesados (art. 8 y Considerando 32).

Asimismo, el Grupo de Trabajo del artículo 29 (GT29), configurado actualmente como Comité Europeo de Protección de Datos, en sus Directrices sobre el consentimiento conforme a RGPD (puedes ver un artículo sobre su análisis aquí), ya dejaba claro que no son válidas las construcciones de exclusión voluntaria (opt-out boxes). Es decir, que requieren una intervención del interesado para evitar el tratamiento.

De igual modo, manifestaba que deben evitarse prácticas tales como incorporar casillas pre-marcadas en los procedimientos de gestión del consentimiento, pues el RGPD exige que el consentimiento debe otorgarse mediante una clara acción afirmativa que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado.

Y si esta Sentencia del TJUE se convertía en noticia en los medios de comunicación hace unas semanas, estos días hemos podido ver las redes sociales inundadas con publicaciones acerca de la resolución de la AEPD en el Procedimiento Nº: PS/00300/2019 sancionando a la conocida aerolínea Vueling, por no recabar el consentimiento de los usuarios de manera correcta para la instalación de cookies en su página web.  

¿En qué fundamenta la AEPD su decisión?

Publicado en Blog

El sector de los videojuegos se encuadra dentro del sector de la información y comunicación, también conocido como sector TIC. En sentido estricto, el sector TIC se compone de cuatro sectores: edición, medios audiovisuales (cine, música, video y televisión), telecomunicaciones y procesamiento de datos (programación, consultoría informática y servicios de información).

Se puede afirmar que el sector de los videojuegos ha aumentado exponencialmente con el paso del tiempo, especialmente en los último 5 años. Dicha información se puede confirmar en el último informe presentado por la Asociación Española de Videojuegos (AEVI) donde viene definir el impacto total sobre la producción del sector del videojuego y su efecto sobre la economía española, produciendo un valor que llegó a superar los 3.000 millones de euros.
Ahora bien, debido a la inmensa cantidad de datos que se mueven dentro de la industria de los videojuegos, en especial dentro de los denominados juegos online o dentro del sector de los esports, es necesario tener en cuenta el impacto de la normativa en materia de Protección de Datos sobre dicho sector.

Para poder analizar el impacto en materia de Protección de Datos, se deberá tener en cuenta la siguiente normativa:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en adelante “RGPD”.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante “LOPDGDD”.

Una vez definida la normativa, las claves a tener en cuenta deben ser las siguientes:

1. Política de Privacidad: deber de informar y consentimiento del interesado.

Cuando la compañía de videojuegos actúe como responsable del tratamiento al recabar datos de los jugadores deberá informar de manera clara, sencilla y concisa sobre las circunstancias relativas al tratamiento de datos del interesado. La manera más habitual de informar al interesado es mediante la aceptación de la Política de Privacidad cuando se registra como usuario. Dentro de dicha Política de Privacidad, la compañía deberá informar de lo siguiente:

Publicado en Blog

Como siempre hemos recalcado en este blog, cuando se vaya a realizar un tratamiento de datos de carácter personal debemos plantearnos si dicho tratamiento se realiza de forma lícita, y para ello, actualmente debemos examinar las bases que lo legitiman contempladas en el artículo 6 del Reglamento General de Protección de Datos (RGPD). En caso de que no se cumpla al menos con una de las condiciones que recoge este artículo, el tratamiento de datos se considerará ilícito.

Precisamente, sobre la licitud del tratamiento de los datos de los empleados de una empresa de Contact-Center, se ha pronunciado recientemente la Sala Cuarta de lo Social del Tribunal Supremo (TS) mediante una sentencia (ver aquí) con relación a la validez de la obtención del consentimiento de los empleados a través de una cláusula genérica recogida en el propio contrato laboral, para poder usar su imagen en las video llamadas realizadas para prestar los servicios de telemarketing.

En concreto, la cláusula tipo que incorpora la empresa a los contratos establece que “El trabajador consiente expresamente , conforme a la LO 1/1982, de 5 de mayo, RD 1720/2007 de Protección de Datos de carácter personal y Ley Orgánica 3/1985 de 29 de mayo, a la cesión de su imagen, tomada mediante cámara web o cualquier otro medio, siempre con el fin de desarrollar una actividad propia de telemarketing y cumplir, con el objeto del contrato y los requerimientos del contrato mercantil del cliente” .

El único fin que la empresa pretende conseguir con esta cláusula, es poder prestar correctamente sus servicios de atención al cliente, y para ello instala una cámara Webcam en los terminales de los trabajadores que intervienen en la videollamada.

Cabe señalar que, si, además, por cualquier motivo, la empresa desea utilizar la imagen de los trabajadores para la realización de actividades promocionales y publicitarias, en este caso la empresa sí estaba solicitando el consentimiento mediante una autorización específica y diferente.

Entonces, cabe plantearse dos preguntas:

¿Es necesario solicitar el consentimiento de los empleados para poder usar su imagen en el marco de las labores propias de su actividad? Y de ser necesario, ¿es válido obtenerlo mediante una cláusula contractual genérica?

Publicado en Blog

En estos momentos especiales suele ser típico que las empresas y/o profesionales realicemos envíos de felicitaciones navideñas, las cuales nos ayudan a dar una imagen mucho más humana y cercana para con clientes.
Sin embargo, no debemos olvidar que la dirección de correo electrónico es un dato de carácter personal, que se encuentra protegido por la siguiente normativa:

-Reglamento Europeo de Protección de Datos (RGPD).

-La reciente Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, LO 3/2018 (LOPD).

-Así como la Ley 34/2002, de Servicios de la Sociedad de la Información y comercio electrónico (LSSI), la cual tiene por objeto la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, objeto que podemos encontrar reflejado en su propio artículo 1, a lo que debemos dejar claro que las comunicaciones comerciales por correo electrónico son un servicio de la sociedad de la información.

La LSSI prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, par-tiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera:
1. f) "Comunicación comercial: toda forma de comunicación dirigida a la promoción, direc-ta o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional."


De aquí podemos deducir que el envío por parte de una empresa o profesional de una felicitación navideña no podría escapar de esta definición, puesto que se considera como un evidente acto de promoción de la imagen. Pero pasemos a desarrollarlo:
En primer lugar, aclararemos por qué el correo electrónico se considera como un dato de carácter personal, esto es así dado que en la mayoría de los casos el correo electrónico tiene información acerca de su titular, o permite proceder a la identificación de este.


Por lo tanto, una vez que tenemos conocimiento de esto, deberemos estar muy atentos y contar con la solicitud previa o el consentimiento expreso del destinatario (artículo 21.1 LSSI):
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo elec-trónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”
Debemos de aplicar esto, a pesar de que resulte algo muy tentador y a la vez muy cómodo a la hora de enviar, ya que su coste es muy bajo y además con solo un “clic” estaremos enviando a toda nuestra lista de contactos.


Debemos de tener siempre en mente que sólo podremos utilizar el correo electrónico como medio para el envío de felicitaciones de Navidad a aquellos usuarios de los que dispon-gamos de un previo consentimiento para la recepción de comunicaciones comerciales.

Un punto para destacar de la LSSI en este ámbito es el siguiente:

Publicado en Blog

Actualmente internet nos permite encontrar y conocer a la mayoría de las empresas o entidades, que hacen de su página web su primera pantalla de presentación, y en la que es fundamental proporcionar una información, clara, precisa y sencilla que reforzará la imagen de la empresa ante los potenciales clientes.

Pero, ¿qué textos legales ha de incluir una página web?

En gran cantidad de portales web podemos ver, habitualmente anclados en su parte inferior, un Aviso Legal, Política de Privacidad y Política de Cookies.

Si bien es cierto que acostumbramos a ver estos tres textos juntos, es importante saber que la adecuación legal de una página web deriva por una parte de la normativa aplicable en materia de protección de datos, y por otra parte de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI).

Normativa en materia de protección de datos.

Respecto de esta materia, es necesario centrar nuestra atención en la obligación de informar a los interesados cuando se recaben sus datos de carácter personal.

Ya la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), establecía en su artículo 5 las obligaciones respecto de la información que se ha de facilitar a los interesados en el momento en que se soliciten sus datos:

 La existencia del fichero o tratamiento, su finalidad y destinatarios.
 El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
 La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
 La identidad y datos de contacto del responsable del tratamiento.

Sin embargo, ya ha sido objeto de análisis en este Blog (ver aquí), que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, incorporando, en líneas generales, los siguientes detalles:

 Los datos de contacto del Delegado de Protección de Datos, en su caso.
 La base jurídica o legitimación para el tratamiento.
 El plazo o los criterios de conservación de la información.
 La existencia de decisiones automatizadas o elaboración de perfiles.
 La previsión de transferencias a Terceros Países.
 El derecho a presentar una reclamación ante las Autoridades de Control.

Ahora bien, ¿cómo se puede facilitar toda esta información al interesado?

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal