¿Quién no utiliza una App en su día a día? Hasta la persona que menos utilice su teléfono móvil inteligente hace uso al menos de una aplicación móvil para conectarse con los demás, mirar el tiempo que va a hacer en su localidad, o simplemente revisar su bandeja de correo electrónico.

Pero ¿Desde cuándo llevamos haciendo uso de las famosas Apps? Aunque parezca mentira las aplicaciones móviles llevan conviviendo con nosotros mucho más tiempo del que pensamos.
¿Recordáis el Nokia 3310? ¿Y el juego de la Snake que tanto tiempo enganchaba a sus usuarios? Pues sí, era el inicio de las aplicaciones móviles.

El término App proviene de la palabra inglesa “Application” que significa aplicación. Comenzó a utilizarse en 2007 y 2008 para hacer referencia a las aplicaciones de los móviles.
Las Apps empiezan a cobrar importancia tras el lanzamiento, por parte de Apple, del primer Iphone y de la App Store, y por parte del eterno enemigo Android, el Android Market, que hoy en día conocemos como Google Play.

Una aplicación móvil o App es un programa informático diseñado para ser ejecutado desde una interfaz móvil, es decir, en smartphones (teléfonos inteligentes), tabletas, u otros dispositivos móviles similares. Todas ellas tienen unas características especiales:

Publicado en Blog

El creciente volumen de información generada por el sector público, con la potencialidad que le otorga el desarrollo de la sociedad de la información, favorece su reutilización para la provisión de nuevos productos y servicios.

La Agencia Española de Protección de Datos (en adelante AEPD), elaboró en su día unas orientaciones sobre la reutilización de la información del sector público con la finalidad de facilitar criterios que contribuyan de una manera equilibrada a favorecer la reutilización de la información pública minimizando los riesgos que sobre el derecho a la protección de datos personales pueda implicar para los ciudadanos.

Ahora bien, en la misma línea y al hilo de lo anteriormente expuesto, la AEPD publicó recientemente un informe en respuesta a la consulta planteada como consecuencia de la puesta en marcha del programa de ACCESO A FONDOS DOCUMENTALES Y OBRAS (ATOPO), por la Diputación de Pontevedra.

¿En qué consiste el Programa ATOPO?

La ejecución del programa ATOPO, supone la publicación y por tanto el acceso de los ciudadanos- a información proveniente de diversas fuentes, tales como repositorio de colecciones y fondos documentales, bibliográficos, cartográficos y audiovisuales, depositados en el Museo de Pontevedra, en el Servicio de Patrimonio Documental y Bibliográfico, e incluso procedentes (a través de los correspondientes convenios), de los archivos municipales y de otras instituciones, públicas o privadas, de la provincia.

A través de este programa se pretende facilitar el acceso de modo universal, directo, sin identificación ni autorización, previa definición de los límites y condiciones de otras normativas aplicables entre las que se encuentra la de protección de datos personales.

Como punto de partida, acudiendo a la definición de tratamiento de datos personales del art. 4.2 del RGPD podemos considerar la existencia de tratamiento de datos personales en la ejecución del programa ATOPO.

Por tanto, una vez determinada la existencia del tratamiento debemos hacernos la siguiente pregunta:

¿Cuáles podrían ser las bases de legitimación del tratamiento del programa ATOPO? 

Publicado en Blog

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, en su artículo 18, regula el derecho de acceso a la historia clínica del paciente, derecho que está conectado con el propio derecho de acceso del artículo 15 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (a partir de ahora, RGPD).

Por lo tanto, además de la información que debe proporcionarse a los pacientes por el hecho de ejercitar su derecho de acceso conforme al RGPD (fines del tratamiento, categoría de datos, destinatarios o categoría de destinatarios a los que se comunican o comunicarán sus datos…), los pacientes tienen derecho a acceder a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella, pero el ejercicio de este derecho por parte de un paciente no implica que se le deba proporcionar íntegramente los documentos de la historia clínica ya que existe determinada información que deberá excluirse.
También sucede que, en determinados casos y para finalidades concretas, otras personas diferentes al paciente o los sanitarios que le asisten pueden tener acceso a la información que contiene la historia clínica.

¿QUÉ PUEDE O NO APARECER EN LA COPIA DE LA HISTORIA CLÍNICA QUE SE PROPORCIONA AL PACIENTE?

Publicado en Blog
Lunes, 22 Junio 2020 16:57

Wifi-tracking y protección de datos.

Cada vez más, percibimos como algo corriente ser objeto de seguimiento o rastreo mientras navegamos por internet o usamos nuestros dispositivos conectados, con el fin de que diferentes entidades puedan recopilar información acerca de nosotros, y de este modo poder elaborar perfiles, analizar comportamientos, o monetizar la información recopilada, para la posterior realización de acciones de mercadotecnia.

El uso de estos sistemas está más que instaurado desde hace años, y es por ello por lo que, aunque todavía nos genere cierta inquietud la precisión de los anuncios de publicidad en nuestra navegación por internet, la realidad es que ya no sorprende a ningún usuario.

Dentro de los diferentes métodos de seguimiento, tal vez el ámbito más conocido resulte precisamente el de web tracking, como mecanismo de rastreo dirigido a la identificación de dispositivos, navegadores y herramientas que utilizamos comúnmente los usuarios de internet.

Sin embargo, hace ya algunos años que, sin necesidad de navegar en la red, podemos ser objeto de seguimiento o rastreo, con el simple hecho de visitar determinados comercios o tiendas físicas, gracias al wifi-tracking.

Aunque se trata de un método que ya fue empleado por alguna empresa estadounidense en el año 2013 (como la cadena de moda Nordstrom, tal y como se hacía eco ese año el propio New York Times), y en España lleva unos años instaurado, es ahora cuando se ha formulado una consulta ante la Agencia Española de Protección de Datos (AEPD), acerca de si este sistema de seguimiento de usuarios se encuentra sujeto al ámbito de aplicación de la normativa en materia de protección de datos. La autoridad de control española se ha pronunciado sobre ello en su Informe Jurídico 0017/2019, que ahora analizamos en esta publicación.

Con carácter previo a profundizar en los fundamentos de la AEPD, consideramos conveniente exponer de forma breve, en qué consiste el Wi-Fi tracking.

El Wi-Fi tracking se refiere a los sistemas capaces de detectar las señales que periódicamente emiten los dispositivos electrónicos equipados con tecnología Wi-Fi y utilizar esta información para conocer de forma estadística o agregada la presencia o los flujos de dispositivos en diferentes localizaciones.

Si en un espacio determinado, como puede ser un comercio, se instalan rastreadores Wi-Fi, estos permitirán recoger y registrar la señal única que cada teléfono envía en la búsqueda de una red Wi-Fi (Dirección MAC), y usar esa información para el seguimiento del cliente a través de una zona para construir un perfil en torno a sus hábitos de compra. Por ejemplo, podría registrarse el tiempo que el dispositivo de un cliente ha esperado en la línea de caja, a qué hora ha entrado y salido, o qué zonas de la tienda ha visitado.

Situado ya el funcionamiento de este método de seguimiento, comenzamos con las cuestiones que la AEPD aborda para dar respuesta a la consulta objeto del Informe:

¿Un sistema de Wi-Fi tracking, implica un tratamiento de datos personales?

Publicado en Blog

A lo largo de esta última década, es cada vez más común, la proliferación de aplicaciones y plataformas de mensajería rápida, que ha terminado derivándose en la utilización de las mismas para realizar videollamadas debido sobre todo a su comodidad y rapidez, más aún acentuada debido a la situación que vivimos en estos momentos, tanto a nivel profesional como su uso particular. Todas las compañías punteras dentro de las redes sociales tales como Facebook, Instagram, o nuevas startups creadas como partytime, jitsimeet entre otras. Las cuales compiten por ser cada vez más atractivas y por lo tanto más populares con estos fines. Para no perder esa carrera y competitividad, deben ser cada vez más fáciles en su uso, más prácticas, más atractivas y sobre todo y lo más importante más seguras. Y por ello, entre sus funciones principales se debe encontrar la garantizar al usuario que la aplicación o plataforma es inexpugnable.

Objetivos como eliminar las brechas de seguridad, evitar la pérdida de datos, la cesión de datos sin consentimiento entre otros, evitar el acceso a datos de carácter personal no autorizados por el usuario, es el santo grial de las empresas, actualmente no hay ninguna mensajería rápida en este caso que estamos hablando las dedicadas a videollamadas que garantice el 100% de seguridad, con lo cual estamos a expensas de que se realice un seguimiento a las mismas y una rápida respuesta en caso de fallos de seguridad algo de lo que por ejemplo Facebook no puede presumir, pero como todo, a medida que van surgiendo los problemas se van encontrando soluciones, que puede que sea la segunda premisa que valoramos los usuarios en estas empresas, ya que muchas veces no es posible ser proactivo porque en muchos casos es imposible atender a todas las fisuras que pueden darse, pues ser reactivo y dar soluciones rápidas. Para lo cual las aplicaciones para empezar en sus políticas ya van avisando de los datos a los que acceden y a los que no, pues es obligatorio darlo a conocer.

En cuanto a las plataformas más utilizadas, en el ámbito empresarial, aparte de Teams de Windows, se están utilizando otras recientes como Zoom, relativamente nueva y Skype que es la pionera de las plataformas en realización de videollamadas, Slack también considerada una plataforma segura para uso empresarial, muchas de ellas, incluyen opciones para configurar la seguridad, prevenir accesos fraudulentos, bloquear reuniones una vez sus participantes ya estén en ella y así evitar el acceso de intrusos, la configuración de seguridad predeterminada, herramientas para identificar dispositivos de los participantes entre otros.

Publicado en Blog

No pretendo dar respuestas absolutas a un tema complejo y que en parte requiere de un conocimiento y ciertas valoraciones a nivel técnico, pero si compartir mi opinión y mis dudas con relación al nuevo apunte estrella indicado por la AEPD en el último informe emitido relativo a la utilización de técnicas de reconocimiento facial en la realización de pruebas de evaluación online (Informe N/REF: 0036/2020).

Parece que la AEPD, aunque sin concretar nada, nos deja abierto para el debate ciertas consideraciones que implicarían cambios sustanciales en el tratamiento dado a los datos biométricos bajo la óptica del RGPD. Desde esta perspectiva de generación de debate se podría decir que se agradece, aunque también siembra ciertas dudas sobre todos los profesionales que nos dedicamos día a día a la interpretación de la normativa de protección de datos. Veamos en concreto a que nos estamos refiriendo y que es lo que la AEPD comenta en su informe:

"Al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:

Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno)."

A raíz de la distinción establecida por el Grupo del artículo 29, la AEPD introduce lo siguiente:

Publicado en Blog

El viernes dedicamos nuestra publicación al análisis de las técnicas de proctoring y el conflicto que se puede llegar a crear entre los métodos de control en los exámenes online y la protección de datos de carácter personal.

Justamente ese mismo día, la Agencia Española de Protección de Datos (AEPD) hizo público el Informe N/REF: 0036/2020 en el que analiza la utilización del reconocimiento facial para realizar exámenes online.

Siendo el criterio plasmado en nuestra publicación se encuentra en la línea de lo expuesto por la AEPD, debemos de tener presente que este es un tema que genera cierta duda y alerta, y es por ello por lo que consideramos oportuno recoger algunos de los principales criterios establecidos por la AEPD en el mencionado Informe, en aras de completar lo ya indicado en nuestra publicación acerca de las técnicas proctoring.

La AEPD, como ya ha hecho en otros informes relacionados con la COVID-19, vuelve a partir de la base fundamental de que el derecho fundamental a la protección de datos personales no ha visto suspendido como consecuencia de la pandemia y de la declaración del estado de alarma,  y por lo tanto, todo tratamiento de datos personales deberá respetar este derecho fundamental ajustándose para ello a la normativa vigente en materia de protección de datos, esto es, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Así, aunque el informe se centra en el análisis jurídico del uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online, antes desarrollar tal análisis, trata otro tipo de cuestiones respecto de las que la AEPD ya se pronunció en su Informe 36/2019 sobre tratamiento de datos en universidades, como por ejemplo la publicación de las calificaciones de los alumnos. 

Pero ¿cuál es la respuesta que da la AEPD a la consulta planteada?

Publicado en Blog

En unos meses en los que, con motivo de la declaración del estado de alarma, nos hemos tenido que adaptar a un funcionamiento todavía más telemático que al que estamos habituados en esta sociedad rendida a lo digital, han sido objeto de debate y análisis diferentes herramientas desde un punto de vista de la privacidad, centrado hasta el momento en torno a las plataformas de videollamadas y Apps de control de la COVID 19, y podemos añadir ahora a lista de “más cuestionados”, las técnicas de proctoring.

Se acerca el fin del año académico 2019/2020, y dentro del reto asumido de implementar la actividad académica a distancia y online en tiempo récord, llega el momento de afrontar las evaluaciones.

Siendo el sector educativo uno de los ámbitos más repercutidos en esta situación de crisis sanitaria, en estas últimas semanas, centros escolares, Universidades y otros centros de enseñanzas no universitarias, se enfrentan al desafío de establecer métodos de evaluación que mantengan el equilibrio entre una correcta supervisión del examen o prueba que se realiza de forma online y la identificación del estudiante que realiza la prueba, y la garantía de los derechos de todos los estudiantes. Derechos que, no solamente se refieren a la protección de datos de carácter personal, sino que también afectan al derecho a la educación, que podría verse mermado debido a la posible brecha digital existente entre los estudiantes.

Si bien es cierto que corresponde a las autoridades autonómicas competentes, determinar los criterios relativos al desarrollo de la actividad educativa durante el tercer trimestre escolar y los criterios de evaluación del curso académico 2019/2020, esta cuestión continúa generando cierta preocupación en la comunidad educativa.  

Así, y centrándonos en lo que a la materia de protección de datos se refiere, nos encontramos con una serie de escenarios de evaluación que tienen un diferente impacto en los derechos de los estudiantes, que podríamos clasificar, de forma muy genérica de la siguiente manera.

Publicado en Blog
Martes, 05 Mayo 2020 14:05

BLOCKCHAIN y PROTECCIÓN DE DATOS

En el presente artículo se trae a colación el análisis de aspectos concretos de privacidad y protección de datos aplicados a una de las tecnologías disruptivas que está llamada a ser uno de los mayores cambios sistémicos de nuestros tiempos y cuya perspectiva de uso futuro arroja las cotas de expectativas más altas del panorama global. Ésta nos es otra que la tecnología BLOCKCHAIN o cadena de bloques.

He de indicar al lector que se requiere unas nociones básicas de en qué consiste la tecnología BLOCKCHAIN y sus principales características, ya que el análisis que se realiza en el presente artículo trata de los datos que son necesarios introducir en la BLOCKCHAIN y su consideración como dato de carácter personal.

No obstante, se facilita un breve resumen de lo que es BLOCKCHAIN y sus principales características:

El concepto presenta diversas definiciones posibles, pudiendo decirse que se trata de una tecnología de registro distribuido de información, replicada en tiempo -real- en miles de ordenadores conectados, cuyos datos entran en este registro a través de un complejo sistema de autenticación basado en criptografía asimétrica utilizando claves públicas y privadas para garantizar la correcta (evitando el doble gasto) y segura anotación de las transacciones. Este método de cifrado asegura la confidencialidad de la información ya que lo que se graba en esta cadena de bloque es un hash que resume una entrada de información.

La cadena de bloques está apoyada en tecnología peer to peer y por tanto compartida por múltiples nodos, en la que se registran bloques de información. Son sus características principales el Consenso, Trazabilidad e Inmutabilidad. Estas características garantizan que para que una transacción/anotación se valide deberá ser consensuada por todos los participantes, dichos participantes podrán conocer el origen y verificar el historial de toda anotación, no se podrá manipular la información registrada por parte de los participantes.

Establecidas esta premisa previa sobre concepto y característica de la tecnología BLOCKCHAIN paso a compartir el ejercicio práctico sobre el que gira este artículo, una labor necesaria y cuasi obligatorio para aquellas personas u organizaciones que estén decididas a implementar procesos de tratamiento de datos personales utilizando la referida cadena de bloques.

Los aspectos más conceptuales y de preparación van a ser muy importante para una implementación con garantías de la BLOCKCHAIN en los procesos de negocio de la organización. Para ello, será necesario tener en cuenta los principios de privacidad por diseño y por defecto, que nos obligarán a adoptar medidas de minimización de riesgos para la privacidad, adoptando medidas desde el diseño del producto/servicio y su aplicación en el estado conceptual del mismo.

Lo primero que se debe determinar en el proceso de implementación de una BLOCKCHAIN es si se tratan datos personales o no dentro de la cadena de bloques que se esté implementando. No siempre son datos personales los introducidos en la cadena de bloques.

Así, según el Reglamento (UE) 679/2916 General de Protección de Datos (RGPD), artículo 4.1 define como dato personal:

Publicado en Blog

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.

El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.

Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:

  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal