Recientemente hemos conocido una noticia polémica que ha avivado el debate sobre el uso de nuevas tecnologías en la privacidad de la población. Y no es para menos, ya que China a comienzos de este mes ha asentado un precedente peligroso a nivel mundial.

A partir de ahora, los ciudadanos chinos deben acceder a registrar los parámetros biométricos faciales si desean adquirir un teléfono móvil nuevo. Desde Pekín se argumenta que han adoptado estas medidas con la finalidad de “proteger los derechos y los intereses legítimos de los ciudadanos en el ciberespacio” pero las alarmas se han disparado, pues entendemos que lo que persiguen las autoridades es verificar las identidades de todos los usuarios en Internet, suponiendo una restricción para todas las personas que sólo buscan comunicarse libremente.

Actualmente China cuenta con una tecnología poco fiable, generalizada e innecesaria para llevar a cabo este “control” de la sociedad china. No olvidemos que ya existe una política de registro de la tarjeta SIM, por lo que el Estado ya es conocedor de la identidad del propietario de una SIM mediante identificación oficial, pasaporte o comprobante de domicilio. De esta manera, el registro obligatorio de la tarjeta SIM erradica el potencial problema del anonimato de las comunicaciones, pues permite el seguimiento de la ubicación y la vigilancia e intercepción de las comunicaciones. Numerosos estudios han afirmado que esta medida atenta contra el derecho a la privacidad y representa una amenaza para grupos vulnerables, siendo además una medida ineficaz para reducir el abuso de los servicios de telecomunicaciones para actividades criminales y fraudulentas. De hecho, han aumentado los delitos de suplantación de identidad, fomentando así el crecimiento del mercado negro para todos aquellos que desean permanecer en el anonimato, así como la compra de SIM extranjeras o el uso de teléfonos satélites para evitar completar los requisitos del registro de la tarjeta. David Kaye, profesor de derecho en la Universidad de California y relator especial de la ONU sobre la Promoción y Protección del Derecho a la Libertad de Opinión y Expresión ya señaló “el registro obligatorio de la tarjeta SIM puede proporcionar a los gobiernos la capacidad de monitorear a los individuos y periodistas mucho más allá de cualquier interés legítimo del gobierno”.

Publicado en Blog

Cuando hablamos de privacidad de un individuo hemos de partir de la base de estar ante un derecho reconocido en la Constitución Española (en adelante CE), concretamente en el artículo 18 y que le atribuye a este la potestad de mantener su intimidad fuera del control de terceros, asegurándose la no divulgación de aquellos aspectos privados e íntimos de su vida. A ojos del presente artículo no podemos dejar de lado la referencia a una de las esferas que configuran esta privacidad y que, con el avance de las nuevas tecnologías ha asumido una importancia exponencial: la privacidad digital. Y es que, desgraciadamente, la falta de la misma en el entorno web, es una realidad que ya está moldeando nuestras vidas.

Es un hecho. El usuario se ha convertido protagonista del llamado Internet Social, es él quién aporta sus contenidos, suministra información y decide qué comparte con terceros. Se configura así el llamado derecho a la intimidad digital, entendiendo, por tal, aquel del que disponen los interesados en lo que respecta a la salvaguarda de sus datos privados en el ámbito de las nuevas tecnologías de la información, en especial, a la información que circula por Internet.

Pero ¿qué ocurre cuando este derecho es vulnerado por terceros como consecuencia de la publicación, sin nuestro consentimiento, de información que pertenece a nuestra esfera íntima y privada? Es en esta coyuntura en la que se encontró la joven víctima del conocido caso “La Manada” como consecuencia de la exposición web de datos de carácter personal vinculados a su persona.

Entrando en materia, los hechos objeto de análisis en el presente artículo, fueron puestos en conocimiento de la Agencia Española de Protección de Datos (en adelante, AEPD) en mayo de 2018 mediante una reclamación en la que se indicaba la difusión de los posibles datos personales de la joven en foros abiertos de Internet. Ante tal información, la AEPD comienza las pertinentes labores de investigación que tienen como resultado, la incoación, contra el medio de prensa digital, “La Tribuna de Cartagena”, de un procedimiento sancionador (PS/00139/2019) como consecuencia de la publicación de un artículo en el que se detallaban el nombre, apellidos, edad y universidad en la que estudiaba la joven y al que acompañaba una fotografía de la misma.

Estos hechos supondrían una infracción del artículo 6.1 de la Ley Orgánica de Protección de Datos 15/1999 (en adelante, LOPD 15/99) que dispone que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

Resulta necesario indicar que la AEPD fundamenta su decisión en la LOPD 15/99 porque los hechos acontecieron en un período en el que dicha normativa aún resultaba plenamente exigible. Aun así, a día de hoy, es por todos sabido que la LOPD 15/99 se encuentra ya derogada por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 3/2018 (en adelante, LOPDGDD); motivo por el cual, en el presente artículo, trataremos de identificar los preceptos de la actual normativa, Reglamento Europeo de Protección de Datos (RGPD) y LOPDGDD, que se corresponden con el artículo de la LOPD 15/99 infringido a ojos de la AEPD.

¿En qué fundamenta entonces la Agencia, la decisión emitida?

Publicado en Blog
Miércoles, 06 Noviembre 2019 14:32

FÚTBOL ESPAÑOL VS PROTECCIÓN DE DATOS

En la sociedad actual se encuentra normalizado que un equipo de fútbol informe públicamente del alcance de las lesiones de sus jugadores. Nos podemos encontrar incluso, con casos en los que se publican fotografías del post-operatorio para que la afición pueda “verificar” que todo ha salido correctamente. Tanto es así que, a día de hoy, cualquier aficionado puede conocer con facilidad, cuáles son las lesiones que el jugador del que es seguidor ha podido sufrir en una temporada.

Todo esto es debido a que se establece como una “costumbre” futbolística el que los entrenadores del equipo hablen del estado físico y de salud de los jugadores emitiendo un parte médico al respecto para tranquilizar a los aficionados. Precisamente respecto de estas cuestiones se ha pronunciado un jugador del Real Madrid (Gareth Bale) a la hora de solicitar a los responsables médicos de su club que no emitan ningún informe sobre su última lesión, abogando a su privacidad, utilizando su derecho a la protección de datos y a su privacidad, lo que los medios de prensa han denominado esto como “La ley Bale”.

Pero ¿hasta qué punto esto es legal? ¿Qué ocurre con el derecho a la protección de los datos personales de esos jugadores y su intimidad?

En primer lugar, para determinar hasta qué punto es legal o no debemos tener en cuenta que nos encontramos ante una cesión o comunicación de datos, y al igual que cualquier otro tratamiento de datos de carácter personal, debe cumplir con una serie de principios, los cuales se encuentran consagrados en el Reglamento General de Protección de Datos (RGPD) y son los siguientes:

  • Limitación del fin: El tratamiento de datos personales debe estar limitado a fines legítimos para los cuales los datos personales fueron recogidos originalmente del interesado.
  • Minimización de datos: Durante la recogida de datos, sólo se pueden solicitar los datos personales absolutamente necesarios para tal fin.
  • Exactitud: Los datos personales de los interesados deben ser siempre precisos y estar actualizados.
  • Integridad y Confidencialidad: Los datos personales deben ser tratados de forma que se garantice la seguridad apropiada, incluyendo protección contra el tratamiento no autorizado o ilegal. Además, los responsables deben asegurar que los datos no pueden ser modificados por personas no autorizadas.
  • Limitación del almacenamiento: Los datos personales deben ser conservados solamente el tiempo necesario.
  • Licitud, lealtad y transparencia: El RGPD indica que todos los tratamientos de datos personales deban ser leales; ósea, que las empresas no realicen tratamientos que no sean legítimos. Además de lo anterior, las empresas deben ser transparentes con respecto al tratamiento de datos personales, e informar siempre al interesado de manera abierta y transparente.

De todos los principios indicados, en el caso que estamos analizando el principio que mas debemos tener en cuenta es el principio de licitud.

¿Cómo se debería de actuar para cumplir con el principio de licitud?

Debemos de acudir al apartado 1º del artículo 6 del RGPD, en el que se estipula que el tratamiento solo será lícito si se cumple al menos una de las siguientes bases jurídicas para el tratamiento:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

En este caso concreto la única base jurídica que podría ser de aplicación sería el consentimiento del interesado. Por lo tanto, en el caso de que el equipo de fútbol decidiese ceder los datos médicos del jugador sin su previo consentimiento, estaría incurriendo en un incumplimiento normativo en materia de protección de datos, dado que no tendría una base jurídica para poder realizar dicha comunicación.

Pero ¿bastaría con ese consentimiento para tratar datos de salud?

Publicado en Blog

¿Alguna vez has tenido a tu alcance la posibilidad de acceder a las cuentas de email y redes sociales de otra persona? ¡Cuidado! Según una reciente sentencia de la Audiencia Provincial de Orense (SAP Orense 388/2017 de 11 de diciembre) podrías llegar a cometer un delito de descubrimiento y revelación de secretos.

Y es que, si hay algo valioso en la Red son nuestros datos personales, a pesar de que no siempre seamos conscientes de ello.

En nuestra sociedad actual, cada vez es más común que terceros intrusos accedan, sin autorización, a nuestras cuentas (correo electrónico, bancarias, de redes sociales…etc.) vulnerando, así, una “pequeña” parte de nuestra intimidad. Sin embargo, en ocasiones, estos accesos ilegítimos tienen como finalidad conocer qué secretos escodemos en las conversaciones íntimas que mantenemos a través de nuestras cuentas personales.

Pero, ¿Qué podemos hacer para evitar que se cuelen en nuestra esfera privada en la red? Es importante que como usuarios actuemos con cierta diligencia en la custodia de nuestros datos personales, no compartiendo, por ejemplo, las contraseñas de acceso con amigos, parejas u otras personas pertenecientes a nuestro círculo íntimo, evitando así, poner en peligro nuestra privacidad.

Fue precisamente de esta circunstancia de la que se aprovechó la parte acusada en la sentencia mencionada. El ahora ya condenado, quien había mantenido una relación sentimental con la afectada, tuvo acceso a sus contraseñas personales durante el transcurso de la relación afectiva. Toda vez que la relación había finalizado, y sirviéndose del conocimiento que tenía sobre la vida personal de su ex pareja, no sólo accedió a sus cuentas personales, sino que además procedió a cambiar todas las claves de acceso a las mismas. Una vez se hizo con el control exclusivo de las cuentas suplantó la identidad de la perjudicada, llegando incluso a concertar encuentros en su nombre a través de mensajes privados.

En este supuesto, la comisión del hecho delictivo se pudo comprobar debido a que el acceso a dichas cuentas se efectuó desde un ordenador cuya dirección IP resultó corresponder a la de un ordenador del domicilio del condenado.

Sin embargo, y tal y como apunta la sentencia de la AP de Orense, no se puede fundamentar la existencia de un pronunciamiento condenatorio en forma exclusiva en la dirección IP

Publicado en Blog

En su primera sentencia (nº 545/2015, de 15 de octubre) sobre el derecho al olvido el Tribunal Supremo determinó que "los periódicos digitales no podrán permitir que los motores de búsqueda indexen noticias pasadas, cuando los afectados se lo soliciten, estableciendo así una prevalencia del derecho al honor, a la intimidad y a la protección de datos sobre la libertad de información".

En los años 80 el diario El País publicó una noticia, con nombres y apellidos, de dos personas implicadas en un delito de tráfico y consumo de drogas. Años más tarde, y con la condena cumplida, los afectados pudieron comprobar que si introducían sus datos de carácter personal en los buscadores, aquella noticia aparecía en los primeros puestos de consulta. Esto era debido a que El País había llevado a cabo una proceso de digitalización de su hemeroteca.

Los afectados elevaron la cuestión a los Tribunales, donde la Audiencia Provincial de Barcelona les dio la razón, ordenando además al diario demandado a que también eliminase los nombres e incluso las iniciales de los afectados.

En la Sentencia el TS realiza una ponderación entre los derechos a la libertad de información frente al derecho al honor, intimidad y protección de datos, llegando a las siguientes conclusiones:

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal