La protección de datos es un tema crucial en la era digital en la que vivimos. Para garantizar la privacidad de los ciudadanos y el correcto tratamiento de su información personal, la Unión Europea implementó el Reglamento General de Protección de Datos (RGPD). Este reglamento se aplica en todos los países miembros de la UE, incluida España. En este artículo, exploraremos qué empresas están obligadas a cumplir con el RGPD en España y por qué es vital que se adhieran a estas regulaciones.

¿Qué es el Reglamento Europeo de Protección de Datos (RGPD)?

El RGPD es una normativa legal que busca armonizar las leyes de protección de datos en toda la Unión Europea y garantizar la privacidad y seguridad de los datos personales. Este reglamento establece los derechos de los individuos sobre sus datos personales y las obligaciones de las organizaciones que los recopilan y procesan.

Empresas obligadas a cumplir con el RGPD en España:

Empresas establecidas en la Unión Europea: Todas las empresas establecidas en España, ya sean de capital nacional o extranjero, deben cumplir con el RGPD si procesan datos personales.

Empresas fuera de la Unión Europea que tratan datos de ciudadanos europeos: Si una empresa fuera de la UE ofrece bienes o servicios a ciudadanos europeos o realiza un seguimiento del comportamiento de los mismos, está sujeta al RGPD. Por lo tanto, si su empresa está ubicada fuera de la UE pero recopila datos de personas en España, debe cumplir con estas regulaciones.

Empresas de cualquier tamaño: El RGPD se aplica tanto a grandes corporaciones como a pequeñas y medianas empresas (PYMES). No importa el tamaño de tu empresa; si procesa datos personales de individuos en España, debe cumplir con el RGPD.

Cumplir con el RGPD es esencial por las siguientes razones:

Evitar sanciones financieras: El incumplimiento del RGPD puede resultar en multas significativas, que pueden alcanzar hasta el 4% de la facturación global anual de una empresa o 20 millones de euros, según el importe que sea mayor. Cumplir con el RGPD te ayuda a evitar sanciones económicas perjudiciales para tu negocio.

Proteger la reputación y la confianza del cliente: El RGPD enfatiza la transparencia en el tratamiento de datos personales y el consentimiento de los individuos. Al cumplir con estas normas, demuestras tu compromiso con la privacidad y la protección de datos de tus clientes. Esto fortalece la confianza en tu empresa y te distingue como una organización responsable y ética.

En la era digital actual, muchas empresas y organizaciones están optando por migrar sus operaciones y servicios a la nube (cloud computing) debido a los beneficios de eficiencia, flexibilidad y escalabilidad que ofrece. Sin embargo, con la proliferación de datos en línea y el aumento de las amenazas cibernéticas, es importante contar con infraestructuras sólidas que garanticen la protección de los datos y la privacidad del usuario. En este artículo, hablaremos de las infraestructuras que sirven para dar servicios en la nube relacionados con la protección de datos.

IaaS (Infraestructura como servicio): Este modelo de servicio en la nube proporciona a los usuarios acceso a infraestructuras de TI virtuales, como servidores, almacenamiento y redes, a través de internet. El proveedor de IaaS es responsable de la gestión y mantenimiento de la infraestructura, mientras que el usuario es responsable de la instalación, configuración y gestión del software y aplicaciones que se ejecutan en la infraestructura. En cuanto a la protección de datos, los proveedores de IaaS suelen ofrecer medidas de seguridad, como cortafuegos, para garantizar la protección de los datos almacenados en la nube.

PaaS (Plataforma como servicio): Este modelo de servicio en la nube proporciona a los usuarios una plataforma de desarrollo y ejecución de aplicaciones en línea. El proveedor de PaaS es responsable de la gestión y mantenimiento de la plataforma, mientras que el usuario es responsable del desarrollo y la implementación de las aplicaciones. En cuanto a la protección de datos, los proveedores de PaaS suelen ofrecer medidas de seguridad para garantizar la protección de los datos de la aplicación y del usuario.

SaaS (Software como servicio): Este modelo de servicio en la nube proporciona a los usuarios acceso a aplicaciones de software a través de internet, sin la necesidad de descargar o instalar el software en sus dispositivos. El proveedor de SaaS es responsable de la gestión y mantenimiento del software, mientras que el usuario solo necesita acceder a la aplicación a través de internet. En cuanto a la protección de datos, los proveedores de SaaS suelen ofrecer medidas de seguridad, como encriptación y autenticación de usuario, para garantizar la privacidad y seguridad de los datos.

SECaaS (Seguridad como servicio): Este modelo de servicio en la nube proporciona a los usuarios acceso a soluciones de seguridad de TI, como la gestión de identidad y acceso, la prevención de pérdida de datos y la seguridad de red, a través de internet. El proveedor de SECaaS es responsable de la gestión y mantenimiento de la solución de seguridad, mientras que el usuario solo necesita acceder a la solución a través de internet. En cuanto a la protección de datos, los proveedores de SECaaS suelen ofrecer medidas de seguridad avanzadas para garantizar la protección de los datos.

DRaaS (Recuperación ante desastres como servicio): Este modelo de servicio en la nube proporciona a los usuarios acceso a soluciones de recuperación ante desastres, como copias de seguridad y recuperación de datos, a través de internet. El proveedor de DRaaS es responsable de la gestión y mantenimiento de la solución de recuperación ante desastres, mientras que el usuario solo necesita acceder a la solución a través de internet. En cuanto a la protección de datos, los proveedores de DRaaS suelen ofrecer medidas de seguridad avanzadas, como la replicación de datos

NaaS significa Network as a Service (Red como servicio), y es un modelo de servicio en la nube que proporciona a los usuarios acceso a soluciones de red a través de internet. En lugar de tener que construir y mantener una infraestructura de red, los usuarios pueden contratar los servicios de un proveedor de NaaS para obtener soluciones de red personalizadas y escalables.

El proveedor de NaaS es responsable de la gestión y mantenimiento de la infraestructura de red, mientras que el usuario solo necesita acceder a la solución a través de internet. Los proveedores de NaaS pueden ofrecer una variedad de servicios de red, como enrutamiento, firewall, VPN, balanceo de carga y optimización de ancho de banda. En cuanto a la protección de datos, los proveedores de NaaS suelen ofrecer medidas de seguridad avanzadas para garantizar la privacidad y seguridad de los datos en la red. Por ejemplo, pueden ofrecer soluciones de cifrado de datos, autenticación de usuario y detección y prevención de amenazas.

El modelo de NaaS es particularmente útil para empresas que necesitan una infraestructura de red flexible y escalable, pero que no quieren invertir en la construcción y mantenimiento de una infraestructura de red propia. Al contratar los servicios de NaaS, los usuarios pueden centrarse en su negocio principal y dejar la gestión de la infraestructura de red en manos de profesionales. Además, los proveedores de NaaS pueden ofrecer soluciones personalizadas y escalables según las necesidades de la empresa, lo que permite a los usuarios adaptar su infraestructura de red a medida que cambian sus necesidades.

La comunidad europea ha publicado las DIRECTRICES ÉTICAS para una IA FIABLE. Este documento ha sido redactado por el Grupo de expertos de alto nivel sobre inteligencia artificial también llamada (IA). A continuación, hacemos un resumen de los aspectos más importantes de estas directrices en relación  a una INTELIGENCIA ARTIFICIAL fiable:

La fiabilidad de la inteligencia artificial se apoya en 3 COMPONENTES que deben satisfacerse a lo largo de todo el ciclo de vida del sistema:

1) LICITA La Inteligencia Artificial debe ser LÍCITA, es decir, cumplir todas las leyes y reglamentos aplicables;

2) ÉTICA Ha de ser ÉTICA, de modo que se garantice el respeto de los principios y valores éticos;

3) ROBUSTA Debe ser ROBUSTA, tanto desde el punto de vista técnico como social, puesto que los sistemas de IA, incluso si las intenciones son buenas, pueden provocar daños accidentales.

LOS FUNDAMENTOS para una IA fiable que deben garantizar el respeto de los principios éticos basados en los derechos fundamentales está basado en 4 PRINCIPIOS BÁSICOS, Se trata de los principios de:

1) RESPETO DE LA AUTONOMÍA HUMANA: Los derechos fundamentales en los que se apoya la Unión europea van dirigidos a garantizar el respeto de la libertad y la autonomía de los seres humanos. Las personas que interactúen con sistemas de Inteligencia Artificial deben poder mantener una autonomía plena y efectiva sobre sí mismas. Los sistemas de IA no deberían subordinar, coaccionar, engañar, manipular, condicionar o dirigir a los seres humanos de manera injustificada. En lugar de ello, los sistemas de IA deberían diseñarse de forma que aumenten, complementen y potencien las aptitudes cognitivas, sociales y culturales de las personas. La distribución de funciones entre los seres humanos y los sistemas de IA debería seguir principios de diseño centrados en las personas, y dejar amplias oportunidades para la elección humana. Esto implica garantizar la supervisión y el control humanos sobre los procesos de trabajo de los sistemas de IA. Deberían ayudar a las personas en el entorno laboral y aspirar a crear empleos útiles.

2) PREVENCIÓN DEL DAÑO: Los sistemas de Inteligencia Artificial no deberían provocar daños (o agravar los existentes) ni perjudicar de cualquier otro modo a los seres humanos. Esto conlleva la protección de la dignidad humana, así como de la integridad física y mental. Todos los sistemas y entornos de Inteligencia Artificial en los que operan estos deben ser seguros. También deberán ser robustos desde el punto de vista técnico, y debería garantizarse que no puedan destinarse a usos malintencionados. Se deberá prestar también una atención particular a las situaciones en las que los sistemas de IA puedan provocar efectos adversos (o agravar los existentes) debido a asimetrías de poder o de información, por ejemplo, entre empresarios y trabajadores, entre empresas y consumidores o entre gobiernos y ciudadanos

3) EQUIDAD: El desarrollo, despliegue y utilización de sistemas de Inteligencia Artificial debe ser equitativo. Pese a que reconocemos que existen muchas interpretaciones diferentes de la equidad, creemos que esta tiene tanto una dimensión sustantiva como procedimental. La dimensión sustantiva implica un compromiso de: garantizar una distribución justa e igualitaria de los beneficios y costes, y asegurar que las personas y grupos no sufran sesgos injustos, discriminación ni estigmatización. También se debería fomentar la igualdad de oportunidades en términos de acceso a la educación, los bienes los servicios y la tecnología. Además, el uso de sistemas de Inteligencia Artificial no debería conducir jamás a que se engañe a los usuarios (finales) ni se limite su libertad de elección. Asimismo, la equidad implica que los profesionales de la Inteligencia Artificial deberían respetar el principio de proporcionalidad entre medios y fines.

4) EXPLICABILIDAD: La explicabilidad es crucial para conseguir que los usuarios confíen en los sistemas de Inteligencia Artificial y para mantener dicha confianza. Esto significa que los procesos han de ser transparentes, que es preciso comunicar abiertamente las capacidades y la finalidad de los sistemas de Inteligencia artificial y que las decisiones deben poder explicarse en la medida de lo posible a las partes que se vean afectadas por ellas de manera directa o indirecta. Sin esta información, no es posible impugnar adecuadamente una decisión. No siempre resulta posible explicar por qué un modelo ha generado un resultado o una decisión particular (ni qué combinación de factores contribuyeron a ello). Esos casos, que se denominan algoritmos de «caja negra», requieren especial atención. En tales circunstancias, puede ser necesario adoptar otras medidas relacionadas con la explicabilidad (por ejemplo, la trazabilidad, la auditabilidad y la comunicación transparente sobre las prestaciones del sistema), siempre y cuando el sistema en su conjunto respete los derechos fundamentales.

Para garantizar el cumplimiento de la Inteligencia Artificial fiable se debe evaluar y abordar constantemente 7 REQUISITOS a lo largo del ciclo de vida de los sistemas de Inteligencia Artificial  a través de MÉTODOS TÉCNICOS Y MÉTODOS NO TÉCNICOS.  

1) ACCIÓN Y SUPERVISIÓN HUMANAS: Los sistemas de Inteligencia Artificial deberían respaldar la autonomía y la toma de decisiones de las personas, tal como prescribe el principio del respeto de la autonomía humana. Esto requiere que los sistemas de IA actúen tanto como facilitadores de una sociedad democrática, próspera y equitativa, apoyando la acción humana y promoviendo los derechos fundamentales, además de permitir la supervisión humana.

2) SOLIDEZ TÉCNICA Y SEGURIDAD: Un componente crucial de la Inteligencia Artificial fiable es la solidez técnica, que está estrechamente vinculada al principio de prevención del daño. La solidez técnica requiere que los sistemas de Inteligencia Artificial se desarrollen con un enfoque preventivo en relación con los riesgos, de modo que se comporten siempre según lo esperado y minimicen los daños involuntarios e imprevistos, evitando asimismo causar daños inaceptables. Además, debería garantizarse la integridad física y mental de los seres humanos. Resistencia a los ataques y seguridad: Los sistemas de Inteligencia Artificial, como todos los sistemas de software, deben protegerse frente a las vulnerabilidades que puedan permitir su explotación por parte de agentes malintencionados. Plan de repliegue y seguridad general: Los sistemas de IA deberían contar con salvaguardias que posibiliten un plan de repliegue en el caso de que surjan problemas. Esto puede significar que los sistemas de IA pasen de un procedimiento basado en estadísticas a otro basado en normas, o que soliciten la intervención de un operador humano antes de proseguir con sus actuaciones. Precisión. La precisión está relacionada con la capacidad de un sistema de Inteligencia Artificial para realizar juicios correctos, como, por ejemplo, clasificar correctamente información en las categorías adecuadas, o con su capacidad para efectuar predicciones, formular recomendaciones o tomar decisiones correctas basándose en datos o modelos. Fiabilidad y reproducibilidad. Es esencial que los resultados de los sistemas de IA sean reproducibles, además de fiables. Un sistema de IA fiable es aquel que funciona adecuadamente con un conjunto de información y en diversas situaciones.

3) GESTIÓN DE LA PRIVACIDAD Y DE LOS DATOS: La privacidad es un derecho fundamental que se ve especialmente afectado por los sistemas de Inteligencia artificial, y que guarda una estrecha relación con el principio de prevención del daño. La prevención del daño a la privacidad también requiere una adecuada gestión de los datos, que abarque la calidad y la integridad de los datos utilizados, su pertinencia en contraste con el ámbito en el que se desplegarán los sistemas de Inteligencia Artificial, sus protocolos de acceso y la capacidad para procesar datos sin vulnerar la privacidad. Protección de la intimidad y de los datos: Los sistemas de IA deben garantizar la protección de la intimidad y de los datos a lo largo de todo el ciclo de vida de un sistema. Calidad e integridad de los datos: La calidad de los conjuntos de datos utilizados es primordial para el desempeño de los sistemas de Inteligencia Artificial. Cuando se recopilan datos, estos pueden contener sesgos sociales, imprecisiones y errores. Este problema debe abordarse antes de llevar a cabo cualquier tipo de formación en la que se utilice cualquier conjunto de datos. Además, es necesario garantizar la integridad de los datos. Acceso a los datos: En cualquier organización que maneje datos personales deberían establecerse protocolos que rijan el acceso a los datos. Solamente debería permitirse acceder a los datos personales a personal debidamente cualificado, poseedor de las competencias adecuadas y que necesite acceder a la información pertinente.

4) TRANSPARENCIA: Este requisito guarda una relación estrecha con el principio de explicabilidad e incluye la transparencia de los elementos pertinentes para un sistema de Inteligencia Artificial: los datos, el sistema y los modelos de negocio. Trazabilidad: Los conjuntos de datos, deberían documentarse con arreglo a la norma más rigurosa posible con el fin de posibilitar la trazabilidad y aumentar la transparencia. Explicabilidad: concierne a la capacidad de explicar tanto los procesos técnicos de un sistema de Inteligencia Artificial como las decisiones humanas asociadas. Cuando un sistema de IA tenga un impacto significativo en la vida de las personas, debería ser posible reclamar una explicación adecuada del proceso de toma de decisiones del sistema de IA. Comunicación: Los sistemas de Inteligencia Artificial no deberían presentarse a sí mismos como humanos ante los usuarios; las personas tienen derecho a saber que están interactuando con un sistema de IA. Por lo tanto, los sistemas de IA deben ser identificables como tales. Además, cuando sea necesario, se debería ofrecer al usuario la posibilidad de decidir si prefiere interactuar con un sistema de IA o con otra persona, con el fin de garantizar el cumplimiento de los derechos fundamentales. Más allá de lo expuesto, se debería informar sobre las capacidades y limitaciones del sistema de IA a los profesionales o usuarios finales; dicha información debería proporcionarse de un modo adecuado según el caso de uso de que se trate y debería incluir información acerca del nivel de precisión del sistema de Inteligencia Artificial, así como de sus limitaciones.

5) DIVERSIDAD, NO DISCRIMINACIÓN Y EQUIDAD: Para hacer realidad la Inteligencia Artificial fiable, es preciso garantizar la inclusión y la diversidad a lo largo de todo el ciclo de vida de los sistemas de inteligencia artificial. Además de tener en cuenta a todos los afectados y garantizar su participación en todo el proceso, también es necesario garantizar la igualdad de acceso mediante procesos de diseño inclusivos, sin olvidar la igualdad de trato. Necesidad de evitar sesgos injustos: Los conjuntos de datos que utilizan los sistemas de Inteligencia Artificial pueden presentar sesgos históricos inadvertidos, lagunas o modelos de gestión incorrectos. La explotación intencionada de los sesgos (de los consumidores) o la competencia desleal también pueden provocar situaciones perjudiciales, como la homogeneización de los precios mediante la colusión o la falta de transparencia del mercado. Siempre que sea posible, los sesgos identificables y discriminatorios deberían eliminarse en la fase de recopilación de la información.  Accesibilidad y diseño universal: En el ámbito específico de las relaciones entre empresas y consumidores, los sistemas deberían estar centrados en el usuario y diseñarse de un modo que permitan que todas las personas utilicen los productos o servicios de Inteligencia Artificial con independencia de su edad, género, capacidades o características. La accesibilidad de esta tecnología para las personas con discapacidad, que están presentes en todos los grupos sociales, reviste una importancia particular. Los sistemas de IA deben ser adaptables y tener en cuenta los principios del Diseño Universal para servir al mayor número posible de usuarios.  Participación de las partes interesadas. Con el fin de desarrollar sistemas de Inteligencia Artificial fiables, es recomendable consultar a las partes interesadas que se pueden ver afectadas de manera directa o indirecta por el sistema a lo largo de todo su ciclo de vida.

6) BIENESTAR SOCIAL Y AMBIENTAL: Se debería fomentar la sostenibilidad y la responsabilidad ecológica de los sistemas de Inteligencia Artificial, así como impulsar la investigación de soluciones de inteligencia artificial para hacer frente a los temas que suscitan preocupación a escala mundial, como los Objetivos de Desarrollo Sostenible. Lo ideal es que la IA se utilice en beneficio de todos los seres humanos, incluidas las generaciones futuras. Una IA sostenible y respetuosa con el medio. Los sistemas de inteligencia artificial prometen ayudar a abordar algunas de las preocupaciones sociales más urgentes. Se deberían promover medidas que garanticen el respeto del medio ambiente. Impacto social: Aunque los sistemas de Inteligencia Artificial se pueden utilizar para mejorar las competencias sociales, también pueden contribuir a su deterioro. Esto puede afectar al bienestar físico y mental de las personas. Por lo tanto, será necesario tener en cuenta y llevar a cabo un seguimiento exhaustivo de los efectos de esos sistemas. Sociedad y democracia: El uso de sistemas de IA debería ser objeto de un estudio pormenorizado, sobre todo en situaciones relacionadas con el proceso democrático, no solo en el terreno de la adopción de decisiones políticas sino también en contextos electorales.

7) RENDICIÓN DE CUENTAS. Los requisitos anteriores se complementan con el de rendición de cuentas, estrechamente relacionado con el principio de equidad. Este requisito exige establecer mecanismos que permitan garantizar la responsabilidad y rendición de cuentas sobre los sistemas de IA y sus resultados, tanto antes de su implantación como después de esta. Auditabilidad. La auditabilidad es la capacidad para evaluar los algoritmos, los datos y los procesos de diseño. Esto no implica necesariamente que siempre deba disponerse de forma inmediata de la información sobre los modelos de negocio y la propiedad intelectual del sistema de IA. En aplicaciones que afecten a los derechos fundamentales, incluidas las aplicaciones esenciales desde el punto de vista de la seguridad, los sistemas de IA deberían poder someterse a auditorías independientes. Minimización de efectos negativos y notificación de estos. La identificación, evaluación, notificación y minimización de los posibles efectos negativos de los sistemas de IA resulta especialmente crucial para quienes resulten (in)directamente afectados por ellos. Debe protegerse debidamente a los denunciantes anónimos, las ONG, los sindicatos u otras entidades que trasladen preocupaciones legítimas en relación con un sistema basado en IA. Búsqueda de equilibrios. Se deberían identificar los intereses y valores subyacentes al sistema de IA y que, en el caso de que surjan conflictos, se deberá explicitar cómo se ha intentado buscar el equilibrio entre ellos y evaluar dicho equilibrio en términos del riesgo que plantea para los principios éticos, incluidos los derechos fundamentales. En las situaciones en que no sea posible identificar equilibrios aceptables desde el punto de vista ético, no se debería continuar con el desarrollo, despliegue y utilización del sistema de IA en la forma prevista. Cualquier decisión sobre la búsqueda de equilibrios debe razonarse y documentarse convenientemente. Compensaciones. Cuando se produzcan efectos adversos injustos, deberían preverse mecanismos accesibles que aseguren una compensación adecuada. Se debería prestar atención a las personas o grupos vulnerables.

MÉTODOS TÉCNICOS Y NO TÉCNICOS PARA HACER REALIDAD LA IA FIABLE

Para cumplir los requisitos anteriormente expuestos, cabe utilizar tanto métodos técnicos como de otro tipo. Dichos métodos abarcan todas las fases del ciclo de vida de un sistema de IA. La realización de la IA fiable es un proceso continuo.

MÉTODOS TÉCNICOS: Arquitecturas para una inteligencia artificial fiable, ética y estado de derecho desde el diseño, métodos de explicación, realización de ensayos y validación, indicadores de calidad del servicio.

MÉTODOS NO TÉCNICOS: normativa, códigos de conducta, normalización, certificación, rendición de cuentas a través de marcos de gobernanza, educación y concienciación para fomentar una mentalidad ética, participación de las partes interesadas y diálogo social, diversidad y equipos de diseño inclusivos.

EVALUACIÓN DE LA INTELIGENCIA ARTIFICIAL FIABLE

La guía de “DIRECTRICES ÉTICAS PARA UNA IA FIABLE” ofrece una lista no exhaustiva para la evaluación de la fiabilidad de la IA (versión piloto) con el fin de poner en práctica la IA fiable. La lista es de aplicación, en particular, a los sistemas de IA que interactúen directamente con los usuarios, y va dirigida fundamentalmente a desarrolladores y responsables del despliegue de sistemas de IA (sean desarrollados internamente o adquiridos a terceros). La lista de evaluación no aborda la puesta en práctica del primer componente de la IA fiable (la IA lícita). La utilización de esta lista no constituye una prueba del cumplimiento legal ni pretende servir como guía para garantizar el cumplimiento de la legislación vigente. Dado el carácter específico de las aplicaciones de los sistemas de IA, será necesario adaptar la lista de evaluación a los casos de uso y contextos específicos en los que operen dichos sistemas. Puedes encontrar está lista en el siguiente ENLACE

En el post que podrás ver de Javier Munguia desde su blog de www.datuslex.com nos explica cuales son los escenarios posibles en referencia al reglamento europeo de protección de datos (RGPD) y la ley británica “Data Protection Act de 2018”. Lo puedes ver en el siguiente enlace.

El Brexit parece que ha llegado para quedarse.

En el siguiente post  Amedeo Maturo nos explica detalladamente cuales van a ser las implicaciones para las empresas españolas en referencia a la protección de datos, destacamos brevemente que El ICO establece el deber de nombrar a un representante en territorio del Reino Unido, para las empresas responsables o encargadas que se encuentra fuera del Reino Unido: 

-sin oficinas, sucursales u otros establecimientos en el Reino Unido; pero está ofreciendo bienes o servicios a personas en el Reino Unido o supervisando el comportamiento de las personas en el Reino Unido. No te pierdas su interesante artículo.

Los llamados RANSOMWARE son un tipo de programa informático que cifran los archivos del sistema operativo inutilizando tu ordenador y solicitando al usuario a pagar el rescate. En los últimos meses y actualmente algunos ordenadores de todo el mundo han sufrido el bloqueo o encriptado de sus archivos por culpa de estos programas maliciosos.

Por ello te queremos informar de que INCIBE (INSTITUTO NACIONAL DE CIBERSEGURIDAD) a través de este enlace ha habilitado una página donde te informa y te ayuda a mitigar los efectos de estos códigos maliciosos. También en este enlace que cuenta con miembros como EUROPOL, INTELSECURITY, KAPERSKY entre otros han habilitado esta página donde te informan y te ayudan a encontrar posibles soluciones.  Aquí dispones de herramientas de recuperación de archivos cifrados por malware Emsisoft y Avast

El Parlamento Europeo, en su sesión plenaria de 14 de abril de 2016, ha aprobado el Reglamento General de Protección de Datos (RGPD). El objetivo del nuevo Reglamento consiste en dar mayor control a las personas físicas sobre sus datos personales en un entorno de comunicaciones avanzadas tecnológicamente. La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades.

REGLAMENTO (UE) 2016/679  DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos  datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) 

El reglamento entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea. 

Será aplicable a partir de dos años después de la fecha de la entrada en vigor del Reglamento es decir el 25 de Mayo del 2018.

El reglamento será obligatorio en todos sus elementos y directamente aplicable en cada estado Miembro de la Unión Europea.

Los llamados RANSOMWARE son un tipo de programa informático que cifran los archivos del sistema operativo inutilizando tu ordenador y coaccionando al usuario a pagar el rescate. En los últimos meses ordenadores de todo el mundo han sufrido el bloqueo o encriptado de sus archivos por culpa de estos programas. Estos programas se han convertido en una amenaza para los usuarios, las compañías e instituciones gubernamentales. A continuación te damos unos consejos para intentar minimizar los riesgos ante dichos programas.

- Lo primero que tiene que entender es que su empresa es una ventana de exposición vulnerable a ataques de ciberseguridad.

- Hacer copias de seguridad de todos los datos empresariales importantes diariamente. Externalizar la copia de seguridad. 

- Instalar, utilizar y mantener actualizados anti-virus y anti-spyware. Utilizar cortafuegos o firewall.

- Revisar y mantener al día los parches de seguridad y actualizaciones de los sistemas operativos y aplicaciones.

- No ejecute ningún fichero adjunto o enlace de un correo que reciba cuyo remitente le resulte desconocido,  o bien si es de algún remitente conocido, asegúrese que esa información la está esperando.

- Limitar la navegación de los empleados. La visita a paginas desconocidas puede contribuir a la instalación a través del navegador de virus, troyano, spyware o malware.

- Si recibe el correo de algún proveedor comunicándole un cambio de domiciliación bancaria, contraste esta información telefónicamente. 

- Se tiene conocimiento de que se están suplantando los perfiles profesionales en redes sociales sobre todo en LINKENDIN. Asegúrese cuando le envían una invitación que conoce a la persona que le solicita la conexión. 

En el siguiente enlace encontrara información breve de cómo actúan.

Con motivo del Día mundial del consumidor, la Agencia Española de Protección de Datos y el Consejo de Consumidores y Usuarios recuerdan los pasos básicos que debe seguir un ciudadano que haya sido víctima de este tipo de abuso. Aqui te dejamos el enlace

SANCIONES POR EL USO DEL WHATSAPP EN CAMPAÑAS DE MARKETING

Son muchas las empresas que utilizan el whassap como medio de difusión de campañas de marketing y comunicaciones comerciales, estas actuaciones están legisladas por la LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico)

La Agencia Española de Protección de datos en su procedimiento sancionador PS/00388/2015 sanciona a una empresa por el uso del WhatsApp en él envió de comunicaciones publicitarias.  En el presente caso la entidad denunciada ha acreditado el consentimiento o autorización de la denunciante para ser receptora de acciones comerciales, deducida así de la ficha que aporta al procedimiento en su defensa, donde aparecen los datos de la denunciante, incluida el número de teléfono. Lo que no ofrece la empresa en la leyenda de dicho mensaje de WhatsApp es un medio de oposición sencillo y gratuito para el tratamiento de los datos con fines promocionales, lo que constituye la infracción del artículo 21.2 de la LSSI 

RECOMENDACIONES PARA CUMPLIR CON LA LOPD Y LA LSSI 

La LSSI, en su artículo 21.1, prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, sin consentimiento expreso del destinatario.

Descrito el marco normativo aplicable a las comunicaciones comerciales remitidas a través de medios electrónicos, se debe destacar que la LSSI dispone en su artículo 21.2 que lo siguiente:

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

SANCIONES 

De conformidad con lo establecido en el artículo 38, en sus apartados 3 y 4 de la LSSI, se consideran infracciones graves y leves las siguientes:

3. Son infracciones graves:

c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, a su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21”.

4. Son infracciones leves:

d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave”.

En consecuencia, la infracción del artículo 21 de la LSSI, en los términos indicados por el citado artículo 38.4.d), se califica en términos generales como infracción leve, aunque si se produce un envío masivo de comunicaciones comerciales no solicitadas a diferentes destinatarios o su envío insistente o sistemático a un mismo destinatario, en los términos que se indican en el también citado artículo 38.3.b), se producirá una infracción de carácter grave a los efectos de la LSSI.

Tu imagen, tanto una foto como un vídeo en el que apareces, es un dato personal. La Ley Orgánica de Protección de Datos reconoce a las personas el derecho a que sus datos personales inadecuados o excesivos se supriman cuando así lo soliciten. La Agencia Española de Protección de datos te informa en su página web cómo solicitar la eliminación de fotos o vídeos publicados en Internet en el que apareces aquí te adjuntamos el enlace

Por si habéis tenido conocimiento de la reciente sentencia dictada por el Tribunal de Justicia de la Unión Europea sobre el caso de la política de privacidad de Facebook en el llamado “Caso Schrems” bien en prensa, radio, TV o redes sociales y, dado el revuelo generado por las consecuencias que acarrea para las empresas españolas, os resumimos brevemente y os explicamos las implicaciones a nivel práctico y posibles soluciones de la invalidación de los Principios de Puerto Seguro.

El alto tribunal ha dictado con fecha 6 de octubre de 2015 una resolución ciertamente valiente y sin precedentes, por la que decreta invalidar el acuerdo de Puerto Seguro o Safe Harbor que hasta ahora se mantenía entre la Unión Europea y los Estados Unidos.

Safe Harbor era un acuerdo al que las empresas americanas podían suscribirse voluntariamente para ofrecer a las empresas europeas un nivel equivalente de protección que se ajustase lo máximo posible a las reglas del juego europeo en materia de protección de datos de carácter personal. El acuerdo permitía simplificar de manera importante los movimientos internacionales de datos que pudieran darse entre empresas americanas y europeas, y daba la posibilidad a las empresas americanas de cumplir con esos principios realizando unos pequeños ajustes en sus políticas de privacidad y en sus políticas de seguridad y almacenamiento de datos de carácter personal.

La posición del Gobierno de Estados Unidos tras los atentados de las Torres Gemelas y su consiguiente cruzada contra el terrorismo se ha basado en una vigilancia sistemática e indiscriminada de la información tratada por sus empresas en su territorio nacional -independientemente del país de origen de los interesados-, lo que ha hecho saltar por los aires la presumida privacidad adoptada por los principios de Puerto Seguro y ha chocado directamente con la Carta de Derechos Fundamentales de la Unión Europea.

Con el dictamen publicado ayer por el TJUE, y de forma escueta, concluimos que el alto tribunal  dictamina que este acuerdo de Puerto Seguro ya no ofrece las garantías necesarias para los ciudadanos de la UE, pues las autoridades americanas podrían acceder de manera sistemática e indiscriminada -y por tanto poco lícita- a los datos e información de cualquier ciudadano de la UE.

Se abre ahora un período de incertidumbre hasta que se aclare exactamente cómo van a responder los proveedores de servicios online que mantienen alojados sus sistemas de información en Estados Unidos, como por ejemplo Facebook, Google (Gmail, YouTube, Google+, Drive), Twitter, Linkedin, Amazon, MailChimp y un largo etcétera de servicios que utilizamos habitualmente.

Enlace a la nota de prensa del Tribunal de Justicia de la Unión Europea

Enlace a la nota de prensa de la Agencia Española de Protección de Datos

A nivel práctico esto supone:

Cuando utilizamos por ejemplo Gmail, con sede en EEUU, se está produciendo una transferencia internacional de datos que debe estar avalada por las autoridades europeas para que sea lícita. Hasta el día de ayer, esto se conseguía si la empresa americana cumplía una serie de Principios de Puerto Seguro sin requerirse ningún procedimiento especial para poder realizarla, salvo el de cumplir con el deber de informar a los afectados y notificar la transferencia a la propia Agencia Española de Protección de Datos.

Sin embargo, estos Principios de Puerto Seguro, ayer fueron directamente dinamitados.

A partir de ahora, en caso de que exista una transferencia internacional de datos de carácter personal a empresas americanas, habrá que valorar y estudiar el caso concreto pues la AEPD podrá investigar las transferencias a petición de cualquier interesado que denuncie que se hacen sin los requisitos legales necesarios.

A los ojos de la UE, EEUU ya no dispone de las mismas garantías de privacidad de manera automática por lo que habrá de estudiarse las diferentes opciones posibles, que pasan por:

1.       Acogernos a la excepción e) del artículo 34 LOPD:

Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista y para que sea válida tendremos que:

·  Informar previamente a todos los interesados/afectados. Y manifestar que pretendemos realizar una transferencia internacional de datos con un tercer país que no reúne las garantías de privacidad y protección de datos equivalentes a las europeas, detallándole los posibles riesgos para su privacidad. 

· Solicitar el consentimiento inequívoco a cada uno de ellos de manera precisa y mejor de forma expresa y por escrito para poder realizar esa transferencia de datos.

2.       Otras posibles opciones serán:

  ·    Solicitar la autorización previa de la Directora de la Agencia Española de  Protección de Datos para realizarla -justificando la necesidad de la transferencia y su seguridad y:

-  Firmar  y poner  en  marcha las cláusulas  contractuales tipo aprobadas por la Comisión Europea, de conformidad con la Directiva 95/46/CE.

-     Acudir, en caso de que se trate de empresas de grupo a las reglas corporativas vinculantes.

     ·   Buscar otros proveedores que si cumplan con la normativa europea -no siempre será posible.

   · Que los proveedores americanos se instalen en la UE y cumplan con nuestra normativa -aunque algunos ya lo han hecho, no parece una solución generalizada y una solución difícil para las pequeñas y medianas empresas americanas-.

En cualquier caso evitemos los alarmismos y esperemos los siguientes movimientos:

·         De una parte las multinacionales americanas, conocedoras de la situación en la que quedan, ya están preparado una batería de acciones que les permita seguir operando con cierta normalidad en la UE. 

·         La Comisión Europea también está buscando soluciones rápidas para que las relaciones comerciales se mantengan y esta actuación no perjudique el desarrollo económico de la UE.

·       De otra la AEPD debe pronunciarse de manera detallada sobre los siguientes pasos a dar, sobre cómo abordarlos y en qué situación quedan las actuales transferencias declaradas y que hasta el momento eran válidas.

Por todo lo anterior esperaremos unos días para poder ofrecer soluciones solventes y con base jurídica sólida y ajustar cada caso a las nuevas reglas de juego.

José Manuel Mulero-Laia Esteban-María Ayarra

La entrada y uso de las nuevas tecnologías ha supuesto grandes beneficios para los emprendedores, los autónomos, la creación de compañías Startup, así como para las empresas. Sin embargo, su presencia en el día a día de las compañías y emprendedores puede traer consigo algunos riesgos legales si no se cumple con la normativa que afectan a la actividad digital.

En lo que respecta a nuestra especialidad en la Protección de datos LOPD y la Ley De Servicios De La Sociedad De La Información Y De Comercio Electrónico, LSSI ley 34/2002, el no adaptarnos a estas leyes nos puede acarrear alguna infracción. Por ello te indicamos que tendría que realizar un emprendedor, los autónomos, las empresas y las nuevas compañías startup para cumplir con estas normativas:

CON RESPECTO A LA PROTECCION DE DATOS

è  Se debe realizar un análisis de los datos que la empresa recaba, trata y/o almacena, teniendo en cuenta que los ficheros se deben agrupar en cuanto a la finalidad de los mismos, siendo independiente el soporte o formato en el cual los almacenamos. 

è Para legalizar los ficheros los tenemos que inscribir en la Agencia Española de Protección de datos que a diferencia de lo que se cree, solo hay que comunicar el tipo de información que trata la empresa, a que colectivo pertenece, que origen tiene y su finalidad. En esta fase también tenemos que analizar qué tipo de datos se tratan o van a tratar ya que existen 3 niveles según el tipo de dato que se recabe: Básico, Medio, o Alto.

è Debemos elaborar el Documento de Seguridad con el contenido exigido por el RD1720/2007 y que puntualizamos a continuación:

a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido.

c) Funciones y obligaciones del personal.

d) Estructura de los ficheros.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación  en los ficheros automatizados.

g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes.

h) La identificación del responsable o responsables de seguridad en el caso de los ficheros de nivel medio o alto.

i) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

     El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información.

è Se deben elaborar e implementar las cláusulas informativas que nos indica la ley en los cuestionarios o formularios que la empresa utilice para la recogida de los datos personales. También se deben redactar clausulas legales de consentimiento en el caso que los datos sean cedidos.

è  Firmar el Compromiso de confidencialidad y secreto con los trabajadores ya que el  artículo 10 de la LOPD establece que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero.

è Firmar los contratos de acceso a datos (Encargado del Tratamiento) Toda empresa externa que nos preste un servicio y que acceda a datos personales de los cuáles nosotros somos responsables por ejemplo: Asesoría fiscal, empresa de prevención de riesgos laborales, etc) es considerada un Encargado del Tratamiento y es preciso firmar un contrato de acceso a datos dicha empresa que regule la prestación de los servicios que nos presta.

è En función de los datos personales tratados se deberán implantar medidas de seguridad de nivel básico, medio y/o alto a los ficheros que contienen dichos datos. Estas medidas son las, Medidas técnicas: son las destinadas a conservar la confidencialidad,  integridad y disponibilidad de la información, su no alteración, pérdida o robo de los datos personales a través de medios o dispositivos técnicos. Medidas organizativas: son aquellas medidas destinadas a establecer procedimientos, medidas,  normas, reglas y estándares de seguridad, cuyos destinatarios son los usuarios que tratan los datos de los ficheros. 

è Disponer de plantillas para el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición. También llamados derechos ARCO que le permitan una rápida y eficaz respuesta a los afectados que quieran ejercer sus derechos.

CON RESPECTO A LAS PAGINAS WEB (LSSI) 

è Generar la Política de Privacidad: en la cual incluiremos, quién es el Responsable de los Datos, con que finalidad se recogen, si van a ser cedidos, qué datos es obligatorio que facilite el usuario, las medidas de seguridad que se han implantado para evitar accesos no autorizados a esos datos o para evitar pérdidas de información, la posibilidad de que los usuarios puedan ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición) y la forma en que éstos pueden ejercerlos.

è Generar un Aviso legal: el artículo 10 establece las menciones obligatorias sobre el nombre o denominación social y datos de contacto, los datos de inscripción en el Registro Mercantil u otros registros públicos, NIF, información sobre el precio de los productos, sobre las autorizaciones administrativas necesarias en su caso, datos del Colegio profesional y códigos de conducta a los que esté adherido.

è Generar unas condiciones generales y particulares de contratación: se deberá informar sobre los pasos a seguir para celebrar el contrato, el archivo y accesibilidad del documento electrónico en el que se realiza el contrato, lenguaje en que puede formalizarse contrato. Proceso de registro de clientes, proceso de compra, precios y condiciones, plazos de entrega, envíos y devoluciones etc. Una vez celebrado el contrato, el prestador debe confirmar la recepción de la aceptación mediante correo electrónico u otro medio de comunicación.

è Generar la política de Cookies: Se debe informar a los destinatarios sobre el uso que se realiza en la página web de cookies, si son propias o de terceros e indicando su definición, función y  finalidad,  ofreciendo la posibilidad de revocarlas de una forma sencilla e informada.

La Ley Orgánica de Protección de Datos establece una serie de principios que tienen que respetar tanto los responsables del fichero como cualquiera de los usuarios que tengan acceso o sean encargados del tratamiento de los ficheros que contengan datos personales.

Únicamente se tratarán los datos que sean adecuados, pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan, el responsable de tratamiento deberá limitar la obtención de datos estrictamente pertinente a la finalidad para la que se recaban.

Ejemplo: Si tengo una tienda de muebles y vendo un sofá, tendré que recabar los datos solo necesarios para la prestación del servicio y la facturación, si recogiera o recabara el dato del número de hijos, ese dato no sería pertinente para el fin que se recaba, que es llevarle el sofá al domicilio y realizarle la factura, sería un dato excesivo.

El principio de finalidad.

Los datos personales recogidos sólo pueden utilizarse para la finalidad determinada, explícita y legítima que motivó su recogida. Cualquier uso de los datos para una finalidad incompatible con aquélla para la cual se recogieron es contrario a este principio.

El principio de exactitud

Los datos personales contenidos en el fichero tienen que ser exactos y actualizados, de manera que reflejen la situación real de las personas afectadas. Los datos recogidos directamente del afectado o interesado en principio se consideran exactos.

El principio de conservación de los datos

Los datos personales son conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten posteriormente. Podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.   

Sólo se pueden conservar si se disocian o cuando el tratamiento de los datos atienda a valores históricos, estadísticos o científicos de acuerdo con la legislación específica. El almacenamiento lícito de los datos que ya no resulte necesario podrá conseguirse, por lo tanto, mediante la anonimización o la pseudoni­mización de los datos.

El principio de lealtad

Cualquier entidad que trate datos personales lo tiene que hacer de manera leal, lícita y sin utilizar medios fraudulentos en su recogida. La vulneración de este principio está tipificada como una infracción muy grave.

El principio de tratamiento leal regula, fundamentalmente, la relación entre el responsable del tratamiento y el interesado.

Inma Montes @datusmas

Inma Montes @datusmas 

     Cada día son más las comunidades de propietarios que para garantizar la seguridad de sus vecinos y el acceso a personas ajenas a la comunidad deciden la instalación de cámaras de videovigilancia en los portales o zonas de acceso comunes a la vivienda. La Agencia Española de Protección de datos ha editado una FICHA PRACTICA  con información sobre los requisitos que se tienen que cumplir para la instalación de las cámaras de Videovigilancia cabe destacar:

- El Consentimiento de la instalación por la Junta de Propietarios que quedara registrado en el Acta de dicha junta.

-Si se realizan grabaciones dar de alta dicho FICHERO en la Agencia Española de Protección de datos.

- Se debe informar sobre la instalación de dichas cámaras.

- Las cámaras sólo podrán captar imágenes de las zonas comunes de la comunidad. No podrán captarse imágenes de la vía pública. 

- La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.

- El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.

- En ningún caso estarán accesibles a los vecinos mediante canal de televisión comunitaria.

- El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. A las imágenes grabadas accederá sólo el personal autorizado.

- Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación.

- La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales.

Inma Montes @datusmas 

Inma Montes @datusmas 

Atendiendo a la guía de cookies y ajustándonos a la consulta que realizamos a la Agencia Española de Protección de datos  y del cual se realizó informe jurídico 0196/2014 sobre el  cumplimiento del art. 22.2 de la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de comercio electrónico; en particular si en caso de utilizarse un sistema de información por capas la segunda capa ha de referirse al nombre exacto de las cookies, su cometido y funciones o si basta la referencia a estas cuestiones de forma genérica en el que se hace indica la existencia de cookies de terceros, con identificación del tercero y las finalidades, haciendo constar un enlace que amplíe dicha información.  

¿Como deberíamos realizar la política de cookies?

En primer lugar la “primera capa” o banner debe contener:

-La información esencial sobre la existencia de cookies.

-Si son propias o de terceros.

-Finalidades de las cookies empleadas.

-Modos de prestar el consentimiento.

-Información sobre un procedimiento de rechazo de cookies.

El aviso de cookies contenido en la primera capa ha de ser suficientemente visible, es decir aparecer a primera vista y de forma destacada y no puede entenderse cumplida dicha primera capa con la existencia de una política de privacidad, o incluso política de cookie en el sitio web en cuestión. 

En segundo lugar una “segunda capa”:

A esta “segunda capa” se accede mediante enlace o hipervínculo de la “primera capa” y se ofrecería información adicional sobre las cookies, esta información deberá contener:

-Que son y para que se utilizan las cookies.

-Los tipos de cookies utilizados y su finalidad.

-La forma de desactivar o eliminar las cookies a través de las funcionalidades facilitadas por el editor, las herramientas proporcionadas por el navegador.

-La forma de revocación del consentimiento ya prestado.

-La identificación de quien utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros contratados o cuyos servicios ha decidido utilizar el editor, con identificación de estos terceros.

Estos requisitos serian esenciales para el cumplimiento de la ley de cookies.

Inma Montes @datusmas 

Laia Esteban Guinea – www.guineaperea.com

Hoy en día, cada vez son más las empresas que deciden emprender su camino a través de Internet dándose a conocer, publicitándose o  incluso comercializando sus productos o servicios a través de este canal. Ahora bien, es fundamental que todas aquellas empresas y empresarios que toman esta decisión, conozcan la normativa que se les aplica para así evitar riesgos y sanciones innecesarios y fáciles de solventar.

Nos vamos a centrar en tres textos que prácticamente existen en cualquier página Web de cualquier tipo: La Política de Privacidad, el Aviso Legal y la Política de Cookies. Sin embargo excluiremos del presente artículo, aquellas páginas Web que realizan comercio electrónico, y a las que se les sumará, además de los textos de los que hablaremos a continuación, otro texto sobre Condiciones Generales de la Contratación y que será objeto de un artículo independiente.

A.     En primer lugar, hablaremos de la Política de Privacidad. Se trata de un texto  que deberán incluir aquellas páginas Web en las que se recojan y/o en las que se traten datos de carácter personal y al que se deberá poder acceder fácilmente y de forma sencilla. Este texto, deberá incluir información sobre los diversos tratamientos de datos que se van a realizar por el Responsable a través de la Página Web en cuestión, -desde ponerse en contacto con el usuario, contestar la consulta planteada a través del formulario o enviar publicidad, por ejemplo-. Y deberá indicar como mínimo:

§  Quién es el Responsable de los Datos.

§  Para qué finalidad se recogen.

§  Si se ceden a alguna empresa (por ejemplo, de publicidad para envío de Newsletter).

§  Qué datos es obligatorio que facilite el usuario y qué datos no lo son y porqué.

§  Si existe alguna transferencia internacional de datos entre empresas.

§  Las medidas de seguridad que se han implantado para evitar accesos no autorizados a esos datos o para evitar pérdidas de información.

§  La posibilidad de que los usuarios puedan ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición) y la forma en que éstos pueden ejercerlos.

La existencia de este texto, será obligatoria, por ejemplo:

1.      Si en la página Web se decide incorporar un formulario de contacto. En este caso, la empresa está realizando una recogida y, posteriormente, un tratamiento de datos personales con la información que obtiene del usuario que cumplimenta el formulario y por tanto se deberá cumplir con lo dispuesto en la LOPD.

2.      Si la página Web dispone de un apartado para suscripción a Newsletter. En este caso, al igual que en el anterior, se está recogiendo una información que será tratada para el envío de comunicaciones comerciales electrónicas o publicidad y se deberá, por ejemplo, solicitar consentimiento expreso para poder enviar estos Newsletter, y cumplir con lo dispuesto en la LOPD y en la LSSI.

Ahora bien, el hecho de que aparezca este texto en una página Web, es, para que nos entendamos, la parte visible de las obligaciones que establece la LOPD. Es muy importante que además de incluir este texto en una página Web, la empresa o empresario implante de manera adecuada la normativa sobre protección de datos en todos sus niveles, valorando los distintos tratamientos de datos que se hacen o se van a hacer en la empresa (desde que se formaliza un contrato hasta que se presta un servicio, envío Newsletter, sorteos, encuestas ….), estudiando posibles cesiones de datos y la existencia de encargados de tratamiento (asesores, informáticos u otros), inscribiendo ficheros en la Agencia Española de Protección de Datos, detectando si existen transferencias internacionales de datos, elaborando un Documento de Seguridad, y estableciendo las medidas de seguridad adecuadas al tipo de datos que se manejan.

B.     Dado que normalmente a través de una página Web empresarial, lo que se hace es realizar una actividad económica directa (actividades propias de comercio electrónico) o indirecta (exhibición de servicios, publicidad, etc.) se deberá cumplir con la ya mencionada LSSI, y con otras normativas que variarán según la actividad de la empresa, y se deberá  elaborar lo que se suele llamar “Aviso Legal”.

La LSSI obliga a las empresas, a incluir en este texto una serie de información que permita a los usuarios identificar y localizar a la empresa/empresario de una manera rápida y sencilla. Concretamente se exige informar de:

-        Nombre o denominación social, domicilio, correo electrónico, teléfono o cualquier otro dato que permita una comunicación directa y efectiva.

-        Datos de inscripción en el Registro mercantil y número de identificación fiscal. (Si se trata de autónomo, se deberá indicar el NIF).

-        Datos identificativos del órgano competente encargado de la supervisión de la autorización administrativa, caso de que la actividad lo requiera.

-        En caso de ejercer una profesión regulada: Datos del Colegio Profesional al que pertenece y número de colegiado, título académico oficial o profesional, Estado en que se expidió el título u homologación, normas deontológicas aplicables a la profesión.

-        Códigos de conducta a los que esté adherido.

Además este texto suele incorporar temas relacionados a las Condiciones de uso de la página Web, registros a zonas privadas de la página Web, temas relacionados con la Propiedad Industrial e Intelectual propios o de terceros, procedimientos para la notificación de posibles infracciones que pudieran derivarse de la página Web, así como la ley aplicable en caso de conflicto de interpretación de los contenidos de la página Web.

C.     Por último y para terminar, indicaremos que si una página Web ha instalado Cookies para optimizar la navegación, realizar estudios estadísticos o para mejorar los servicios ofrecidos y/u ofrecer publicidad personalizada en función de patrones de navegación de los usuarios (por ejemplo: Adwords, Analytics, etc.), se deberá cumplir con lo dispuesto para ellas en la LSSI, e incorporar en la página Web una “Política de Cookies”. Siguiendo las siguientes pautas:

1. Incluir un banner con una primera capa informativa que hable de la existencia de cookies, el tipo de cookies y la finalidad.

2. Que este banner derive a una segunda capa informativa con información más específica del tipo de cookies que se instalan, las funciones de las mismas, su duración, cómo se da el consentimiento para su instalación, como se revoca este consentimiento y la forma en que el usuario puede desinstalar las Cookies.

3. Establecer un sistema adecuado para obtener el consentimiento del usuario (aunque sea tácito).

Laia Esteban Guinea – www.guineaperea.com

La Ley Orgánica de Protección de Datos establece una serie de principios que tienen que respetar tanto los responsables del fichero como cualquiera de los usuarios que tengan acceso o sean encargados del tratamiento de los ficheros que contengan datos personales.

Únicamente se tratarán los datos que sean adecuados, pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan, el responsable de tratamiento deberá limitar la obtención de datos estrictamente pertinente a la finalidad para la que se recaban.

Ejemplo: Si tengo una tienda de muebles y vendo un sofá, tendré que recabar los datos solo necesarios para la prestación del servicio y la facturación, si recogiera o recabara el dato del número de hijos, ese dato no sería pertinente para el fin que se recaba, que es llevarle el sofá al domicilio y realizarle la factura, sería un dato excesivo. 

El principio de finalidad. 

Los datos personales recogidos sólo pueden utilizarse para la finalidad determinada, explícita y legítima que motivó su recogida. Cualquier uso de los datos para una finalidad incompatible con aquélla para la cual se recogieron es contrario a este principio. 

El principio de exactitud

Los datos personales contenidos en el fichero tienen que ser exactos y actualizados, de manera que reflejen la situación real de las personas afectadas. Los datos recogidos directamente del afectado o interesado en principio se consideran exactos.

El principio de conservación de los datos

Los datos personales son conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten posteriormente. Podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.   

Sólo se pueden conservar si se disocian o cuando el tratamiento de los datos atienda a valores históricos, estadísticos o científicos de acuerdo con la legislación específica. El almacenamiento lícito de los datos que ya no resulte necesario podrá conseguirse, por lo tanto, mediante la anonimización o la pseudonimización de los datos.

El principio de lealtad

Cualquier entidad que trate datos personales lo tiene que hacer de manera leal, lícita y sin utilizar medios fraudulentos en su recogida. La vulneración de este principio está tipificada como una infracción muy grave.

El principio de tratamiento leal regula, fundamentalmente, la relación entre el responsable del tratamiento y el interesado.

Autor: Inma Montes

@datusmas