Lunes, 22 Junio 2020 16:57

Wifi-tracking y protección de datos.

Cada vez más, percibimos como algo corriente ser objeto de seguimiento o rastreo mientras navegamos por internet o usamos nuestros dispositivos conectados, con el fin de que diferentes entidades puedan recopilar información acerca de nosotros, y de este modo poder elaborar perfiles, analizar comportamientos, o monetizar la información recopilada, para la posterior realización de acciones de mercadotecnia.

El uso de estos sistemas está más que instaurado desde hace años, y es por ello por lo que, aunque todavía nos genere cierta inquietud la precisión de los anuncios de publicidad en nuestra navegación por internet, la realidad es que ya no sorprende a ningún usuario.

Dentro de los diferentes métodos de seguimiento, tal vez el ámbito más conocido resulte precisamente el de web tracking, como mecanismo de rastreo dirigido a la identificación de dispositivos, navegadores y herramientas que utilizamos comúnmente los usuarios de internet.

Sin embargo, hace ya algunos años que, sin necesidad de navegar en la red, podemos ser objeto de seguimiento o rastreo, con el simple hecho de visitar determinados comercios o tiendas físicas, gracias al wifi-tracking.

Aunque se trata de un método que ya fue empleado por alguna empresa estadounidense en el año 2013 (como la cadena de moda Nordstrom, tal y como se hacía eco ese año el propio New York Times), y en España lleva unos años instaurado, es ahora cuando se ha formulado una consulta ante la Agencia Española de Protección de Datos (AEPD), acerca de si este sistema de seguimiento de usuarios se encuentra sujeto al ámbito de aplicación de la normativa en materia de protección de datos. La autoridad de control española se ha pronunciado sobre ello en su Informe Jurídico 0017/2019, que ahora analizamos en esta publicación.

Con carácter previo a profundizar en los fundamentos de la AEPD, consideramos conveniente exponer de forma breve, en qué consiste el Wi-Fi tracking.

El Wi-Fi tracking se refiere a los sistemas capaces de detectar las señales que periódicamente emiten los dispositivos electrónicos equipados con tecnología Wi-Fi y utilizar esta información para conocer de forma estadística o agregada la presencia o los flujos de dispositivos en diferentes localizaciones.

Si en un espacio determinado, como puede ser un comercio, se instalan rastreadores Wi-Fi, estos permitirán recoger y registrar la señal única que cada teléfono envía en la búsqueda de una red Wi-Fi (Dirección MAC), y usar esa información para el seguimiento del cliente a través de una zona para construir un perfil en torno a sus hábitos de compra. Por ejemplo, podría registrarse el tiempo que el dispositivo de un cliente ha esperado en la línea de caja, a qué hora ha entrado y salido, o qué zonas de la tienda ha visitado.

Situado ya el funcionamiento de este método de seguimiento, comenzamos con las cuestiones que la AEPD aborda para dar respuesta a la consulta objeto del Informe:

¿Un sistema de Wi-Fi tracking, implica un tratamiento de datos personales?

Publicado en Blog

Recién estrenado el 2020 y como en años anteriores la Unidad de Evaluación y Estudios Tecnológicos de la Agencia Española de Protección de Datos emite un informe anual en el que se resumen las características principales de las notificaciones de brechas de seguridad recibidas por la Agencia Española de Protección de Datos (AEPD) en virtud del artículo 33 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ( en adelante RGPD).

Pues bien, a la espera de que la AEPD publique el correspondiente informe anual y en base a los datos extraídos de los informes mensuales emitidos hasta el mes de noviembre de este último año tan sólo 79 de las 1296 notificaciones de brecha de seguridad han sido trasladadas a la Subdirección General de Inspección de Datos (en adelante SGID) para el esclarecimiento de los hechos al apreciar la existencia de riesgo alto para los derechos y libertades de los ciudadanos o que se requiere una investigación adicional para determinar la existencia de dicho riesgo.

 
 BRECHAS NOTIFICADAS ANTE LA AEPD    TRASLADADAS A SGID
 Enero 78  8
 Febrero 101  13
 Marzo 113  3
 Abril 95  7
 Mayo 84  0
 Junio 92  15
 Julio 83  14
 Agosto 42  0
 Septiembre 133  8
 Octubre 266  7
Noviembre 209  4
TOTAL 1296  79

¿Pero cómo determinar si existe un riesgo alto para los derechos y libertades de los ciudadanos?

Publicado en Blog

Es probable que hayas oído hablar del whistleblowing, pero ¿de dónde proviene dicho término y que significa?

Para conocer el origen el término “whistleblower”, hemos de acudir a la práctica de los oficiales de policía británicos, los cuales hacían sonar sus silbatos (whistle) soplando (blow), en el caso de que presenciasen la comisión de un presunto delito. De este modo se alertaba tanto a las autoridades como a los ciudadanos del peligro.

Actualmente, este término se refiere al ciudadano que informa de que se está cometiendo un acto delictivo en la organización para la que presta servicios.

¿Para qué se utiliza el canal (whistleblowing)?

Como hemos ido adelantando, dicho canal se usa para denunciar un hecho constitutivo de delito, peligro o fraude dentro de una empresa. Si bien es cierto que tiene especial relevancia en el sistema público, también se utiliza en el sistema privado, siendo alguno de los delitos susceptibles de denuncia los que citamos a continuación:

·         Blanqueo de capitales.

·         Delitos en materia de protección de datos.

·         Contra la propiedad intelectual e industrial.

·         Evasiones de impuestos.

·         Contra la Hacienda Pública, etc.

A este respecto, consideramos importante el hacer referencia a la persona que realiza la denuncia (whistlebower), ¿qué tipo de protección tiene?

En líneas generales, España no dispone de ninguna normativa que regule específicamente las medidas de protección mínimas que debería recibir cualquier persona que se encuentre en posición de denunciar una irregularidad o ilícito cometido en una organización, tanto pública como privada. Si bien es cierto que hay determinadas normas que regulan algunos aspectos de estos canales, estas no entran en la protección de la persona que se encarga de realizar la denuncia. Hemos de resaltar entre dichas normas la originaria de la popularización de este término en España:

·  LO 5/2010, de 22 de junio que introduce el artículo 31 bis en nuestro Código Penal, la cual se aprobó en Diciembre de 2010, estableciendo así un estatuto de responsabilidad penal para las personas jurídicas de forma autónoma e independiente del de sus representantes legales y administradores. Además, introduce como atenuante e incluso eximente a esa responsabilidad el demostrar haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.

Es a partir de esta reforma cuando se hace más popular en las empresas españolas la implantación de canales de denuncias internos.

También cabe destacar que diversos organismos a lo largo de los años han ido pronunciándose en relación con el canal whistleblowing, como, por ejemplo:

1.    Grupo de Trabajo del Artículo 29, en el Dictamen 1/2006, en el cual el WG29 se postula hacia canales de denuncia abiertos, es decir, de manera identificada, fundamentándolo hasta en seis razones diferentes, pero a pesar de su preferencia, no rechaza de forma categórica la posibilidad de que se puedan dar denuncias de forma anónima.

2.    Fiscalía General del Estado, a través de la Circular 1/2016, de la cual hemos de destacar que ya adelantaba lo siguiente: "para que la obligación de utilizar el canal de denunciar pueda ser exigida a los empleados será imprescindible que la empresa implemente adicionalmente una "regulación protectora específica del denunciante (whistleblower)".

No obstante, es cierto que algunas de nuestras Comunidades Autónomas sí que se han encargado de regular en esta materia. Entre otras, podemos destacar el caso de Castilla y León a través de la Ley 2/2016, de 11 de noviembre, por la que se regulan las actuaciones en relación con las informaciones que reciba la Administración Autonómica sobre hechos relacionados con delitos contra la Administración Pública, estableciendo a su vez garantías para los informantes.

Asimismo, no queremos pasar a analizar la Directiva sin recordar que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su artículo 24 también hace referencia a los canales de denuncia internos, diciendo textualmente:

“Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información”.

Publicado en Blog

Sanción histórica a LaLiga: 250.000€ por 'espiar' con tu móvil en busca de piratería”; “La AEPD multa con 250.000 euros a LaLiga por la app que usa el micrófono de los móviles” estos son algunos de los titulares que hace unas semanas inundaban los medios de comunicación con motivo de la sanción que la Agencia Española de Protección de Datos (AEPD) impuso a La Liga Española de Futbol (en adelante LALIGA).

Sin embargo, durante este tiempo los profesionales de la privacidad nos hemos mantenido expectantes a la espera de la publicación de la resolución sancionadora por parte de la AEPD, para poder analizar cuáles son los fundamentos de la autoridad española de protección de datos.

Pues bien, la ansiada resolución finalmente se ha hecho pública esta semana, y sin lugar a duda supondrá un punto importante en lo que a interpretación de la norma se refiere.

De la extensa resolución sancionadora, debemos extraer como punto fundamental, que la autoridad española de protección de datos considera que LALIGA ha vulnerado el artículo 5.1 del Reglamento General de Protección de Datos (en adelante RGPD), en lo que respecta al principio de transparencia:

“Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)”

Para comprender por qué la AEPD ha llegado a esta determinación, debemos analizar los siguientes puntos de controversia entre la entidad sancionada y la autoridad de protección de datos:

¿Trata la AppLiga datos personales?

Uno de los asuntos que se sitúa en el lugar principal de controversia es la determinación de si el aplicativo del que La Liga es titular, trata datos de carácter personal. Es imprescindible que sea este uno de los puntos centrales en los fundamentos de derecho, toda vez que, de no existir un tratamiento de datos personales, no tendrían cabida el resto de fundamentos que ahora componen la resolución. Para defender su postura, se argumentan las siguientes cuestiones:

Publicado en Blog

Hace escasos días, el mundo entero se hacía eco de una noticia relativa a Google y al futuro cierre para los usuarios, no así para las empresas, de su conocida, aunque poco exitosa, red social Google +.

El Gigante de Internet achacó como motivo principal del cierre, la poca interacción de sus usuarios, pese a sus ya 7 años de trayectoria, siendo solamente el 10% de los mismos los que realmente llegaban a hacer auténtico uso de ella.

Este motivo, no exento de importancia, unido a la reciente noticia de un fallo de seguridad en una de sus interfaces de programación de aplicaciones (las llamadas API), han sido el detonante para la decisión definitiva del cierre de la red social en agosto del próximo año.

Este fallo de seguridad permitió que 438 aplicaciones tuvieran acceso durante 3 años a todos los datos de carácter personal de cerca de medio millón de usuarios de la red social. Entre tales datos que quedaron al descubierto, se encontraban: el nombre y apellidos del usuario, su fecha de nacimiento, sexo, relación sentimental, lugares donde la persona ha residido, dirección de correo electrónico, habilidades…

El error fue detectado en el pasado mes de marzo, pero, dada la relevancia de las sanciones y procedimientos a seguir que establece el actual marco normativo en materia de protección de datos, liderado por el Reglamento Europeo de Protección de Datos (en adelante, RGPD) a continuación voy a proceder a explicar cuáles hubieran sido las consecuencias si dicho suceso se hubiera producido a partir del 25 de mayo del presente año, cuando el RGPD empezó a desplegar sus plenos efectos.

Antes de proceder al propio análisis, en primer lugar, se debe determinar si este incidente se corresponde o no con una violación de la seguridad de los datos, término que contempla y desarrolla el RGPD

El artículo 4.12 del RGPD define la violación de la seguridad de los datos como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos

Publicado en Blog

A finales de agosto de 2016, el servicio de mensajería Whatsapp envió un mensaje a sus usuarios solicitando la aceptación de los nuevos términos de servicio pero también su consentimiento para compartir datos con Facebook, que en 2014 había procedido a la compra de la famosa app. Sin embargo, la forma en la que se solicitaba este consentimiento y su legitimidad, ha sido objeto de controversia, tal y como veremos en este artículo.

El mensaje al que hacíamos referencia y que aparecía ante todo usuario ya registrado a la App era:

“En WhatsApp estamos actualizando nuestros Términos de Servicio y nuestra Política de Privacidad para reflejar la integración de nuevas funciones, como Llamada WhatsApp. Lee los Términos y la Política de Privacidad para aprender más acerca de tus opciones. Por favor acepta los Términos y la Política de Privacidad antes del 19 de octubre de 2016 para continuar usando WhatsApp”.

Este consentimiento se solicitaba mediante una casilla premarcada y en una ventana que se mostraba a los usuarios de forma opcional.

Por su parte y para los nuevos usuarios, al instalar la aplicación, se podía acceder a un enlace de “Política de Privacidad” donde se recogía lo siguiente:

Publicado en Blog

El Reglamento General de Protección de Datos (RGPD) en su artículo 68.1 dice "se crea el Comité Europeo de Protección de Datos (Comité), como organismos de la Unión, que gozará de personalidad jurídica”.

Pero ¿Quién será realmente el Comité?

En el considerando 139 del RGPD indica que el Comité deberá sustituir al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado por la Directiva 95/46/CE, esto es, el por todos conocido (GT29).

¿Cuáles serán las principales características del nuevo Comité?.

1. Gozará de personalidad jurídica propia.

2. Estará compuesto por:

- un presidente como representante principal, designado por la propia Comisión entres sus miembros, más dos vicepresidentes.

La duración del mandato de presidente y vicepresidentes será de 5 años de duración con posibilidad de una única renovación.

Dentro de las funciones asignadas al presidente en el artículo 64 del RGPD, destacamos:

Publicado en Blog

El pasado lunes 29 de febrero la Comisión Europea hacía público el borrador del nuevo acuerdo que sustituirá al derogado Safe Harbor, el ya famoso Privacy Shield.

Asimismo, se han dado a conocer los compromisos que el Gobierno de los Estados Unidos ha realizado sobre la aplicación del nuevo acuerdo, garantizando y estableciendo límites al acceso a los datos por las autoridades nacionales de seguridad, asegurando que no habrá vigilancia indiscriminada.

El objetivo principal del Privacy Shield será garantizar a los ciudadanos de la UE los mismos derechos de protección respecto de sus datos de carácter personal cuando sean tratados por entidades norteamericanas. En el caso de que estos derechos no estén garantizados, los datos no saldrán de la Unión Europea.

En el nuevo acuerdo se recogerán también los requisitos establecidos por el Tribunal de Justicia en la sentencia de 6 de octubre de 2015.

Los principales pilares del Privacy Shield serán:

Publicado en Blog
Viernes, 23 Octubre 2015 12:53

Sin Puerto Seguro.¿Ahora qué hacemos?

El pasado 16 de octubre las Autoridades de protección de datos reunidas en el Grupo de Trabajo del Art.29, del que forma parte la Agencia Española de Protección de Datos, publicaron una declaración conjunta sobre las primeras consecuencias que se pueden sacar, tanto a nivel europeo como nacional, tras la invalidación del Acuerdo de Puerto Seguro de la Comisión por el TJUE.

Indicamos los aspectos más importantes a tener en cuenta de esta declaración conjunta:

1. Las decisiones que se tomen para hacer frente a la aplicación de la sentencia, deberá hacerse desde una posición sólida, colectiva y común por parte de todas las Autoridades de protección de datos.

2. Que a pesar de que el TJUE aboga por una vigilancia más amplia respecto de las entidades de EEUU que traten datos de carácter personal de ciudadanos europeos, el Grupo de Trabajo recuerda que dicha vigilancia no es posible dentro del marco jurídico de la UE. Por este motivo, y para poder cumplir con las recomendaciones vertidas en la propia Sentencia, el Grupo de Trabajo considera necesario, y de manera urgente, que los Estados miembros y las instituciones europeas, comiencen las conversaciones con las autoridades de EEUU, en aras de encontrar soluciones políticas, jurídicas y técnicas, que permitan las transferencias de datos respetando los derechos fundamentales de los afectados.

Publicado en Blog

A estas alturas de la película, para nadie es desconocido el uso, cada vez más prolífico, de estos "juguetes" que sobrevuelan nuestras cabezas.

Originalmente diseñados para cumplir tareas de carácter militar, hoy en día los drones se están utilizando para una gran variedad de usos civiles, comerciales o, incluso, policiales, como por ejemplo, la supervisión y la inspección de infraestructuras o instalaciones industriales, publicidad, ocio y entretenimiento, cartografía, para control fronterizo, para la seguridad y la vigilancia por parte de las Fuerzas y Cuerpos de Seguridad, entre otros muchos usos.

Pero, ¿qué son los llamados VANT o dones?

El Real Decreto 1489/1994, de 1 de julio, por el que se aprueba el Reglamento de la Circulación Aérea Operativa define como Vehículo aéreo no tripulado (VANT) a aquél vehículo aéreo propulsado que no lleva personal como operador a bordo. Los vehículos aéreos no tripulados incluyen solo aquellos vehículos controlables en los tres ejes. Además:

a) Es capaz de mantenerse en vuelo por medios aerodinámicos.
b) Es pilotado de forma remota o incluye un programa de vuelo automático.
c) Es reutilizable.
d) No está clasificado como un arma guiada o un dispositivo similar de un solo uso diseñado para el lanzamiento de armas.

En principio, y así se ha llegado a entender durante algún tiempo es que la mayor parte de los fines civiles o comerciales para las que se empleaban los "drones" no comportaban la captación o grabación de imágenes (voces) de personas físicas identificadas o identificables, por tanto, no implicaban la existencia de un tratamiento de datos personales a los efectos de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).

Sin embargo, a medida que el uso de estas aeronaves se fue poniendo de moda, y su utilización en el ocio, los servicios y la fotografía aumentaba, hicieron surgir las dudas y plantearse la posibilidad de que en su uso se pudieran captar imágenes de personas físicas identificadas o identificables, lo que obligaría a tener presentes los principios y obligaciones de la LOPD.

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal