RECURSOS Y SOLUCIONES PARA LOS RANSOMWARE O CODIGOS MALICIOSOS

Los llamados RANSOMWARE son un tipo de programa informático que cifran los archivos del sistema operativo inutilizando tu ordenador y solicitando al usuario a pagar el rescate. En los últimos meses y actualmente algunos ordenadores de todo el mundo han sufrido el bloqueo o encriptado de sus archivos por culpa de estos programas maliciosos.

Por ello te queremos informar de que INCIBE (INSTITUTO NACIONAL DE CIBERSEGURIDAD) a través de este enlace ha habilitado una página donde te informa y te ayuda a mitigar los efectos de estos códigos maliciosos. También en este enlace que cuenta con miembros como EUROPOL, INTELSECURITY, KAPERSKY entre otros han habilitado esta página donde te informan y te ayudan a encontrar posibles soluciones.

 

 

NUEVO REGLAMENTO DE PROTECCION DE DATOS EUROPEO

El Parlamento Europeo, en su sesión plenaria de 14 de abril de 2016, ha aprobado el Reglamento General de Protección de Datos (RGPD). El objetivo del nuevo Reglamento consiste en dar mayor control a las personas físicas sobre sus datos personales en un entorno de comunicaciones avanzadas tecnológicamente. La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades.

 

REGLAMENTO (UE) 2016/679  DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos  datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) 

 

El reglamento entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea. 

 

Será aplicable a partir de dos años después de la fecha de la entrada en vigor del Reglamento es decir el 25 de Mayo del 2018.

 

El reglamento será obligatorio en todos sus elementos y directamente aplicable en cada estado Miembro de la Unión Europea.

Descarga
Será aplicable a partir del 25 de mayo de 2018.
REGLAMENTO EUROPEO PROTECCION DE DATOS.p
Documento Adobe Acrobat 1'000.8 KB

Como secuestran tu ordenador y te piden rescate por ello. RANSOMWARE

Los llamados RANSOMWARE son un tipo de programa informático que cifran los archivos del sistema operativo inutilizando tu ordenador y coaccionando al usuario a pagar el rescate. En los últimos meses ordenadores de todo el mundo han sufrido el bloqueo o encriptado de sus archivos por culpa de estos programas. Estos programas se han convertido en una amenaza para los usuarios, las compañías e instituciones gubernamentales. A continuación te damos unos consejos para intentar minimizar los riesgos ante dichos programas.

 

- Lo primero que tiene que entender es que su empresa es una ventana de exposición vulnerable a ataques de ciberseguridad.

- Hacer copias de seguridad de todos los datos empresariales importantes diariamente. Externalizar la copia de seguridad

- Instalar, utilizar y mantener actualizados anti-virus y anti-spyware. Utilizar cortafuegos o firewall.

- Revisar y mantener al día los parches de seguridad y actualizaciones de los sistemas operativos y aplicaciones.

- No ejecute ningún fichero adjunto o enlace de un correo que reciba cuyo remitente le resulte desconocido,  o bien si es de algún remitente conocido, asegúrese que esa información la está esperando.

- Limitar la navegación de los empleados. La visita a paginas desconocidas puede contribuir a la instalación a través del navegador de virus, troyano, spyware o malware.

- Si recibe el correo de algún proveedor comunicándole un cambio de domiciliación bancaria, contraste esta información telefónicamente. 

- Se tiene conocimiento de que se están suplantando los perfiles profesionales en redes sociales sobre todo en LINKENDIN. Asegúrese cuando le envían una invitación que conoce a la persona que le solicita la conexión. 

 

En el siguiente enlace encontrara información breve de cómo actúan.


Cómo actuar ante una suplantación de identidad en servicios de telecomunicaciones

 

Con motivo del Día mundial del consumidor, la Agencia Española de Protección de Datos y el Consejo de Consumidores y Usuarios recuerdan los pasos básicos que debe seguir un ciudadano que haya sido víctima de este tipo de abuso. Aqui te dejamos el enlace


SANCIONES POR EL USO DEL WHATSAPP EN CAMPAÑAS DE MARKETING

SANCIONES POR EL USO DEL WHATSAPP EN CAMPAÑAS DE MARKETING

Son muchas las empresas que utilizan el whassap como medio de difusión de campañas de marketing y comunicaciones comerciales, estas actuaciones están legisladas por la LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico)

La Agencia Española de Protección de datos en su procedimiento sancionador PS/00388/2015 sanciona a una empresa por el uso del WhatsApp en él envió de comunicaciones publicitarias.  En el presente caso la entidad denunciada ha acreditado el consentimiento o autorización de la denunciante para ser receptora de acciones comerciales, deducida así de la ficha que aporta al procedimiento en su defensa, donde aparecen los datos de la denunciante, incluida el número de teléfono. Lo que no ofrece la empresa en la leyenda de dicho mensaje de WhatsApp es un medio de oposición sencillo y gratuito para el tratamiento de los datos con fines promocionales, lo que constituye la infracción del artículo 21.2 de la LSSI 

 

RECOMENDACIONES PARA CUMPLIR CON LA LOPD Y LA LSSI 

 

La LSSI, en su artículo 21.1, prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, sin consentimiento expreso del destinatario.

Descrito el marco normativo aplicable a las comunicaciones comerciales remitidas a través de medios electrónicos, se debe destacar que la LSSI dispone en su artículo 21.2 que lo siguiente:

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

 

SANCIONES 

 

De conformidad con lo establecido en el artículo 38, en sus apartados 3 y 4 de la LSSI, se consideran infracciones graves y leves las siguientes:

3. Son infracciones graves:

c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, a su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21”.

4. Son infracciones leves:

d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave”.

En consecuencia, la infracción del artículo 21 de la LSSI, en los términos indicados por el citado artículo 38.4.d), se califica en términos generales como infracción leve, aunque si se produce un envío masivo de comunicaciones comerciales no solicitadas a diferentes destinatarios o su envío insistente o sistemático a un mismo destinatario, en los términos que se indican en el también citado artículo 38.3.b), se producirá una infracción de carácter grave a los efectos de la LSSI.

 

Cómo solicitar la eliminación de fotos o vídeos publicados en internet

Tu imagen, tanto una foto como un vídeo en el que apareces, es un dato personal. La Ley Orgánica de Protección de Datos reconoce a las personas el derecho a que sus datos personales inadecuados o excesivos se supriman cuando así lo soliciten. La Agencia Española de Protección de datos te informa en su página web cómo solicitar la eliminación de fotos o vídeos publicados en Internet en el que apareces aquí te adjuntamos el enlace

LEGALIZAR UNA PAGINA WEB

Legalizar página web

Hemos subido a nuestro canal de Youtube un breve vídeo en el cual explicamos cómo se debe Legalizar una página web. Te lo mostramos a continuación. 

"Safe Harbor ha muerto"

Por si habéis tenido conocimiento de la reciente sentencia dictada por el Tribunal de Justicia de la Unión Europea sobre el caso de la política de privacidad de Facebook en el llamado “Caso Schrems” bien en prensa, radio, TV o redes sociales y, dado el revuelo generado por las consecuencias que acarrea para las empresas españolas, os resumimos brevemente y os explicamos las implicaciones a nivel práctico y posibles soluciones de la invalidación de los Principios de Puerto Seguro.

El alto tribunal ha dictado con fecha 6 de octubre de 2015 una resolución ciertamente valiente y sin precedentes, por la que decreta invalidar el acuerdo de Puerto Seguro o Safe Harbor que hasta ahora se mantenía entre la Unión Europea y los Estados Unidos.

 

Safe Harbor era un acuerdo al que las empresas americanas podían suscribirse voluntariamente para ofrecer a las empresas europeas un nivel equivalente de protección que se ajustase lo máximo posible a las reglas del juego europeo en materia de protección de datos de carácter personal. El acuerdo permitía simplificar de manera importante los movimientos internacionales de datos que pudieran darse entre empresas americanas y europeas, y daba la posibilidad a las empresas americanas de cumplir con esos principios realizando unos pequeños ajustes en sus políticas de privacidad y en sus políticas de seguridad y almacenamiento de datos de carácter personal.

 

La posición del Gobierno de Estados Unidos tras los atentados de las Torres Gemelas y su consiguiente cruzada contra el terrorismo se ha basado en una vigilancia sistemática e indiscriminada de la información tratada por sus empresas en su territorio nacional -independientemente del país de origen de los interesados-, lo que ha hecho saltar por los aires la presumida privacidad adoptada por los principios de Puerto Seguro y ha chocado directamente con la Carta de Derechos Fundamentales de la Unión Europea.

Con el dictamen publicado ayer por el TJUE, y de forma escueta, concluimos que el alto tribunal  dictamina que este acuerdo de Puerto Seguro ya no ofrece las garantías necesarias para los ciudadanos de la UE, pues las autoridades americanas podrían acceder de manera sistemática e indiscriminada -y por tanto poco lícita- a los datos e información de cualquier ciudadano de la UE.

 

Se abre ahora un período de incertidumbre hasta que se aclare exactamente cómo van a responder los proveedores de servicios online que mantienen alojados sus sistemas de información en Estados Unidos, como por ejemplo Facebook, Google (Gmail, YouTube, Google+, Drive), Twitter, Linkedin, Amazon, MailChimp y un largo etcétera de servicios que utilizamos habitualmente.

 

Enlace a la nota de prensa del Tribunal de Justicia de la Unión Europea

Enlace a la nota de prensa de la Agencia Española de Protección de Datos

 

A nivel práctico esto supone:

Cuando utilizamos por ejemplo Gmail, con sede en EEUU, se está produciendo una transferencia internacional de datos que debe estar avalada por las autoridades europeas para que sea lícita. Hasta el día de ayer, esto se conseguía si la empresa americana cumplía una serie de Principios de Puerto Seguro sin requerirse ningún procedimiento especial para poder realizarla, salvo el de cumplir con el deber de informar a los afectados y notificar la transferencia a la propia Agencia Española de Protección de Datos.

Sin embargo, estos Principios de Puerto Seguro, ayer fueron directamente dinamitados.

 

A partir de ahora, en caso de que exista una transferencia internacional de datos de carácter personal a empresas americanas, habrá que valorar y estudiar el caso concreto pues la AEPD podrá investigar las transferencias a petición de cualquier interesado que denuncie que se hacen sin los requisitos legales necesarios.

 

A los ojos de la UE, EEUU ya no dispone de las mismas garantías de privacidad de manera automática por lo que habrá de estudiarse las diferentes opciones posibles, que pasan por:

1.       Acogernos a la excepción e) del artículo 34 LOPD:

 

Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista y para que sea válida tendremos que:

 

·  Informar previamente a todos los interesados/afectados. Y manifestar que pretendemos realizar una transferencia internacional de datos con un tercer país que no reúne las garantías de privacidad y protección de datos equivalentes a las europeas, detallándole los posibles riesgos para su privacidad. 

· Solicitar el consentimiento inequívoco a cada uno de ellos de manera precisa y mejor de forma expresa y por escrito para poder realizar esa transferencia de datos.

 

 

2.       Otras posibles opciones serán:

 

  ·    Solicitar la autorización previa de la Directora de la Agencia Española de  Protección de Datos para realizarla -justificando la necesidad de la transferencia y su seguridad y:

 

-  Firmar  y poner  en  marcha las cláusulas  contractuales tipo aprobadas por la Comisión Europea, de conformidad con la Directiva 95/46/CE.

 

-     Acudir, en caso de que se trate de empresas de grupo a las reglas corporativas vinculantes.

 

     ·   Buscar otros proveedores que si cumplan con la normativa europea -no siempre será posible.

 

   · Que los proveedores americanos se instalen en la UE y cumplan con nuestra normativa -aunque algunos ya lo han hecho, no parece una solución generalizada y una solución difícil para las pequeñas y medianas empresas americanas-.

 

En cualquier caso evitemos los alarmismos y esperemos los siguientes movimientos:

·         De una parte las multinacionales americanas, conocedoras de la situación en la que quedan, ya están preparado una batería de acciones que les permita seguir operando con cierta normalidad en la UE. 

·         La Comisión Europea también está buscando soluciones rápidas para que las relaciones comerciales se mantengan y esta actuación no perjudique el desarrollo económico de la UE.

·       De otra la AEPD debe pronunciarse de manera detallada sobre los siguientes pasos a dar, sobre cómo abordarlos y en qué situación quedan las actuales transferencias declaradas y que hasta el momento eran válidas.

  

Por todo lo anterior esperaremos unos días para poder ofrecer soluciones solventes y con base jurídica sólida y ajustar cada caso a las nuevas reglas de juego.

 

José Manuel Mulero-Laia Esteban-María Ayarra

LOS EMPRENDEDORES Y LA PROTECCIÓN DE DATOS

La entrada y uso de las nuevas tecnologías ha supuesto grandes beneficios para los emprendedores, los autónomos, la creación de compañías Startup, así como para las empresas. Sin embargo, su presencia en el día a día de las compañías y emprendedores puede traer consigo algunos riesgos legales si no se cumple con la normativa que afectan a la actividad digital.

En lo que respecta a nuestra especialidad en la Protección de datos LOPD y la Ley De Servicios De La Sociedad De La Información Y De Comercio Electrónico, LSSI ley 34/2002, el no adaptarnos a estas leyes nos puede acarrear alguna infracción. Por ello te indicamos que tendría que realizar un emprendedor, los autónomos, las empresas y las nuevas compañías startup para cumplir con estas normativas:

 

CON RESPECTO A LA PROTECCION DE DATOS

è  Se debe realizar un análisis de los datos que la empresa recaba, trata y/o almacena, teniendo en cuenta que los ficheros se deben agrupar en cuanto a la finalidad de los mismos, siendo independiente el soporte o formato en el cual los almacenamos. 

è Para legalizar los ficheros los tenemos que inscribir en la Agencia Española de Protección de datos que a diferencia de lo que se cree, solo hay que comunicar el tipo de información que trata la empresa, a que colectivo pertenece, que origen tiene y su finalidad. En esta fase también tenemos que analizar qué tipo de datos se tratan o van a tratar ya que existen 3 niveles según el tipo de dato que se recabe: Básico, Medio, o Alto.

è Debemos elaborar el Documento de Seguridad con el contenido exigido por el RD1720/2007 y que puntualizamos a continuación:

a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido.

c) Funciones y obligaciones del personal.

d) Estructura de los ficheros.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación  en los ficheros automatizados.

g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes.

h) La identificación del responsable o responsables de seguridad en el caso de los ficheros de nivel medio o alto.

i) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

 

     El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información.

 

è Se deben elaborar e implementar las cláusulas informativas que nos indica la ley en los cuestionarios o formularios que la empresa utilice para la recogida de los datos personales. También se deben redactar clausulas legales de consentimiento en el caso que los datos sean cedidos.

è  Firmar el Compromiso de confidencialidad y secreto con los trabajadores ya que el  artículo 10 de la LOPD establece que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero.

è Firmar los contratos de acceso a datos (Encargado del Tratamiento) Toda empresa externa que nos preste un servicio y que acceda a datos personales de los cuáles nosotros somos responsables por ejemplo: Asesoría fiscal, empresa de prevención de riesgos laborales, etc) es considerada un Encargado del Tratamiento y es preciso firmar un contrato de acceso a datos dicha empresa que regule la prestación de los servicios que nos presta.

è En función de los datos personales tratados se deberán implantar medidas de seguridad de nivel básico, medio y/o alto a los ficheros que contienen dichos datos. Estas medidas son las, Medidas técnicas: son las destinadas a conservar la confidencialidad,  integridad y disponibilidad de la información, su no alteración, pérdida o robo de los datos personales a través de medios o dispositivos técnicos. Medidas organizativas: son aquellas medidas destinadas a establecer procedimientos, medidas,  normas, reglas y estándares de seguridad, cuyos destinatarios son los usuarios que tratan los datos de los ficheros. 

è Disponer de plantillas para el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición. También llamados derechos ARCO que le permitan una rápida y eficaz respuesta a los afectados que quieran ejercer sus derechos.

 

CON RESPECTO A LAS PAGINAS WEB (LSSI) 

 

è Generar la Política de Privacidad: en la cual incluiremos, quién es el Responsable de los Datos, con que finalidad se recogen, si van a ser cedidos, qué datos es obligatorio que facilite el usuario, las medidas de seguridad que se han implantado para evitar accesos no autorizados a esos datos o para evitar pérdidas de información, la posibilidad de que los usuarios puedan ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición) y la forma en que éstos pueden ejercerlos.

è Generar un Aviso legal: el artículo 10 establece las menciones obligatorias sobre el nombre o denominación social y datos de contacto, los datos de inscripción en el Registro Mercantil u otros registros públicos, NIF, información sobre el precio de los productos, sobre las autorizaciones administrativas necesarias en su caso, datos del Colegio profesional y códigos de conducta a los que esté adherido.

è Generar unas condiciones generales y particulares de contratación: se deberá informar sobre los pasos a seguir para celebrar el contrato, el archivo y accesibilidad del documento electrónico en el que se realiza el contrato, lenguaje en que puede formalizarse contrato. Proceso de registro de clientes, proceso de compra, precios y condiciones, plazos de entrega, envíos y devoluciones etc. Una vez celebrado el contrato, el prestador debe confirmar la recepción de la aceptación mediante correo electrónico u otro medio de comunicación.

è Generar la política de Cookies: Se debe informar a los destinatarios sobre el uso que se realiza en la página web de cookies, si son propias o de terceros e indicando su definición, función y  finalidad,  ofreciendo la posibilidad de revocarlas de una forma sencilla e informada.



CALIDAD DE LOS DATOS ARTICULO 4º LOPD y 8 RLOPD

La Ley Orgánica de Protección de Datos establece una serie de principios que tienen que respetar tanto los responsables del fichero como cualquiera de los usuarios que tengan acceso o sean encargados del tratamiento de los ficheros que contengan datos personales.

Únicamente se tratarán los datos que sean adecuados, pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan, el responsable de tratamiento deberá limitar la obtención de datos estrictamente pertinente a la finalidad para la que se recaban.

Ejemplo: Si tengo una tienda de muebles y vendo un sofá, tendré que recabar los datos solo necesarios para la prestación del servicio y la facturación, si recogiera o recabara el dato del número de hijos, ese dato no sería pertinente para el fin que se recaba, que es llevarle el sofá al domicilio y realizarle la factura, sería un dato excesivo.

El principio de finalidad.

Los datos personales recogidos sólo pueden utilizarse para la finalidad determinada, explícita y legítima que motivó su recogida. Cualquier uso de los datos para una finalidad incompatible con aquélla para la cual se recogieron es contrario a este principio.

El principio de exactitud

Los datos personales contenidos en el fichero tienen que ser exactos y actualizados, de manera que reflejen la situación real de las personas afectadas. Los datos recogidos directamente del afectado o interesado en principio se consideran exactos.

El principio de conservación de los datos

Los datos personales son conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten posteriormente. Podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.   

Sólo se pueden conservar si se disocian o cuando el tratamiento de los datos atienda a valores históricos, estadísticos o científicos de acuerdo con la legislación específica. El almacenamiento lícito de los datos que ya no resulte necesario podrá conseguirse, por lo tanto, mediante la anonimización o la pseudoni­mización de los datos.

El principio de lealtad

Cualquier entidad que trate datos personales lo tiene que hacer de manera leal, lícita y sin utilizar medios fraudulentos en su recogida. La vulneración de este principio está tipificada como una infracción muy grave.

El principio de tratamiento leal regula, fundamentalmente, la relación entre el responsable del tratamiento y el interesado.


Inma Montes @datusmas

LAS CAMARAS DE VIDEOVIGILANCIA EN LAS COMUNIDADES DE PROPIETARIOS


Inma Montes @datusmas 

  

     Cada día son más las comunidades de propietarios que para garantizar la seguridad de sus vecinos y el acceso a personas ajenas a la comunidad deciden la instalación de cámaras de videovigilancia en los portales o zonas de acceso comunes a la vivienda. La Agencia Española de Protección de datos ha editado una FICHA PRACTICA  con información sobre los requisitos que se tienen que cumplir para la instalación de las cámaras de Videovigilancia cabe destacar:

- El Consentimiento de la instalación por la Junta de Propietarios que quedara registrado en el Acta de dicha junta.

 

-Si se realizan grabaciones dar de alta dicho FICHERO en la Agencia Española de Protección de datos.

 

- Se debe informar sobre la instalación de dichas cámaras.

 

- Las cámaras sólo podrán captar imágenes de las zonas comunes de la comunidad. No podrán captarse imágenes de la vía pública. 

 

- La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.

 

- El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.

 

- En ningún caso estarán accesibles a los vecinos mediante canal de televisión comunitaria.

 

- El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. A las imágenes grabadas accederá sólo el personal autorizado.

 

- Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación.

 

- La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales.


Inma Montes @datusmas 


COMO CUMPLIR CON LA LEY DE COOKIES


Inma Montes @datusmas 

Atendiendo a la guía de cookies y ajustándonos a la consulta que realizamos a la Agencia Española de Protección de datos  y del cual se realizó informe jurídico 0196/2014 sobre el  cumplimiento del art. 22.2 de la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de comercio electrónico; en particular si en caso de utilizarse un sistema de información por capas la segunda capa ha de referirse al nombre exacto de las cookies, su cometido y funciones o si basta la referencia a estas cuestiones de forma genérica en el que se hace indica la existencia de cookies de terceros, con identificación del tercero y las finalidades, haciendo constar un enlace que amplíe dicha información.  

¿Como deberíamos realizar la política de cookies?

 

En primer lugar la “primera capa” o banner debe contener:

 

-La información esencial sobre la existencia de cookies.

-Si son propias o de terceros.

-Finalidades de las cookies empleadas.

-Modos de prestar el consentimiento.

-Información sobre un procedimiento de rechazo de cookies.

El aviso de cookies contenido en la primera capa ha de ser suficientemente visible, es decir aparecer a primera vista y de forma destacada y no puede entenderse cumplida dicha primera capa con la existencia de una política de privacidad, o incluso política de cookie en el sitio web en cuestión. 

 

En segundo lugar una “segunda capa”:

 

A esta “segunda capa” se accede mediante enlace o hipervínculo de la “primera capa” y se ofrecería información adicional sobre las cookies, esta información deberá contener:

 

-Que son y para que se utilizan las cookies.

-Los tipos de cookies utilizados y su finalidad.

-La forma de desactivar o eliminar las cookies a través de las funcionalidades facilitadas por el editor, las herramientas proporcionadas por el navegador.

-La forma de revocación del consentimiento ya prestado.

-La identificación de quien utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros contratados o cuyos servicios ha decidido utilizar el editor, con identificación de estos terceros.

 

Estos requisitos serian esenciales para el cumplimiento de la ley de cookies.

Inma Montes @datusmas 


POLÍTICA DE PRIVACIDAD, AVISO LEGAL Y POLÍTICA DE COOKIES

Laia Esteban Guinea – www.guineaperea.com

Hoy en día, cada vez son más las empresas que deciden emprender su camino a través de Internet dándose a conocer, publicitándose o  incluso comercializando sus productos o servicios a través de este canal. Ahora bien, es fundamental que todas aquellas empresas y empresarios que toman esta decisión, conozcan la normativa que se les aplica para así evitar riesgos y sanciones innecesarios y fáciles de solventar.

 

Nos vamos a centrar en tres textos que prácticamente existen en cualquier página Web de cualquier tipo: La Política de Privacidad, el Aviso Legal y la Política de Cookies. Sin embargo excluiremos del presente artículo, aquellas páginas Web que realizan comercio electrónico, y a las que se les sumará, además de los textos de los que hablaremos a continuación, otro texto sobre Condiciones Generales de la Contratación y que será objeto de un artículo independiente.

 

A.     En primer lugar, hablaremos de la Política de Privacidad. Se trata de un texto  que deberán incluir aquellas páginas Web en las que se recojan y/o en las que se traten datos de carácter personal y al que se deberá poder acceder fácilmente y de forma sencilla. Este texto, deberá incluir información sobre los diversos tratamientos de datos que se van a realizar por el Responsable a través de la Página Web en cuestión, -desde ponerse en contacto con el usuario, contestar la consulta planteada a través del formulario o enviar publicidad, por ejemplo-. Y deberá indicar como mínimo:

 

§  Quién es el Responsable de los Datos.

§  Para qué finalidad se recogen.

§  Si se ceden a alguna empresa (por ejemplo, de publicidad para envío de Newsletter).

§  Qué datos es obligatorio que facilite el usuario y qué datos no lo son y porqué.

§  Si existe alguna transferencia internacional de datos entre empresas.

§  Las medidas de seguridad que se han implantado para evitar accesos no autorizados a esos datos o para evitar pérdidas de información.

§  La posibilidad de que los usuarios puedan ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición) y la forma en que éstos pueden ejercerlos.

 

La existencia de este texto, será obligatoria, por ejemplo:

 

1.      Si en la página Web se decide incorporar un formulario de contacto. En este caso, la empresa está realizando una recogida y, posteriormente, un tratamiento de datos personales con la información que obtiene del usuario que cumplimenta el formulario y por tanto se deberá cumplir con lo dispuesto en la LOPD.

 

2.      Si la página Web dispone de un apartado para suscripción a Newsletter. En este caso, al igual que en el anterior, se está recogiendo una información que será tratada para el envío de comunicaciones comerciales electrónicas o publicidad y se deberá, por ejemplo, solicitar consentimiento expreso para poder enviar estos Newsletter, y cumplir con lo dispuesto en la LOPD y en la LSSI.

 

Ahora bien, el hecho de que aparezca este texto en una página Web, es, para que nos entendamos, la parte visible de las obligaciones que establece la LOPD. Es muy importante que además de incluir este texto en una página Web, la empresa o empresario implante de manera adecuada la normativa sobre protección de datos en todos sus niveles, valorando los distintos tratamientos de datos que se hacen o se van a hacer en la empresa (desde que se formaliza un contrato hasta que se presta un servicio, envío Newsletter, sorteos, encuestas ….), estudiando posibles cesiones de datos y la existencia de encargados de tratamiento (asesores, informáticos u otros), inscribiendo ficheros en la Agencia Española de Protección de Datos, detectando si existen transferencias internacionales de datos, elaborando un Documento de Seguridad, y estableciendo las medidas de seguridad adecuadas al tipo de datos que se manejan.

 

B.     Dado que normalmente a través de una página Web empresarial, lo que se hace es realizar una actividad económica directa (actividades propias de comercio electrónico) o indirecta (exhibición de servicios, publicidad, etc.) se deberá cumplir con la ya mencionada LSSI, y con otras normativas que variarán según la actividad de la empresa, y se deberá  elaborar lo que se suele llamar “Aviso Legal”.

 

La LSSI obliga a las empresas, a incluir en este texto una serie de información que permita a los usuarios identificar y localizar a la empresa/empresario de una manera rápida y sencilla. Concretamente se exige informar de:

 

-        Nombre o denominación social, domicilio, correo electrónico, teléfono o cualquier otro dato que permita una comunicación directa y efectiva.

-        Datos de inscripción en el Registro mercantil y número de identificación fiscal. (Si se trata de autónomo, se deberá indicar el NIF).

-        Datos identificativos del órgano competente encargado de la supervisión de la autorización administrativa, caso de que la actividad lo requiera.

-        En caso de ejercer una profesión regulada: Datos del Colegio Profesional al que pertenece y número de colegiado, título académico oficial o profesional, Estado en que se expidió el título u homologación, normas deontológicas aplicables a la profesión.

-        Códigos de conducta a los que esté adherido.

 

Además este texto suele incorporar temas relacionados a las Condiciones de uso de la página Web, registros a zonas privadas de la página Web, temas relacionados con la Propiedad Industrial e Intelectual propios o de terceros, procedimientos para la notificación de posibles infracciones que pudieran derivarse de la página Web, así como la ley aplicable en caso de conflicto de interpretación de los contenidos de la página Web.

 

C.     Por último y para terminar, indicaremos que si una página Web ha instalado Cookies para optimizar la navegación, realizar estudios estadísticos o para mejorar los servicios ofrecidos y/u ofrecer publicidad personalizada en función de patrones de navegación de los usuarios (por ejemplo: Adwords, Analytics, etc.), se deberá cumplir con lo dispuesto para ellas en la LSSI, e incorporar en la página Web una “Política de Cookies”. Siguiendo las siguientes pautas:

 

  1. Incluir un banner con una primera capa informativa que hable de la existencia de cookies, el tipo de cookies y la finalidad.

 

  1. Que este banner derive a una segunda capa informativa con información más específica del tipo de cookies que se instalan, las funciones de las mismas, su duración, cómo se da el consentimiento para su instalación, como se revoca este consentimiento y la forma en que el usuario puede desinstalar las Cookies.

                                                                     

  1. Establecer un sistema adecuado para obtener el consentimiento del usuario (aunque sea tácito).

Laia Esteban Guinea – www.guineaperea.com


CALIDAD DE LOS DATOS ARTICULO 4º LOPD y 8 RLOPD

La Ley Orgánica de Protección de Datos establece una serie de principios que tienen que respetar tanto los responsables del fichero como cualquiera de los usuarios que tengan acceso o sean encargados del tratamiento de los ficheros que contengan datos personales.

Únicamente se tratarán los datos que sean adecuados, pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan, el responsable de tratamiento deberá limitar la obtención de datos estrictamente pertinente a la finalidad para la que se recaban.

 

Ejemplo: Si tengo una tienda de muebles y vendo un sofá, tendré que recabar los datos solo necesarios para la prestación del servicio y la facturación, si recogiera o recabara el dato del número de hijos, ese dato no sería pertinente para el fin que se recaba, que es llevarle el sofá al domicilio y realizarle la factura, sería un dato excesivo. 

El principio de finalidad. 

Los datos personales recogidos sólo pueden utilizarse para la finalidad determinada, explícita y legítima que motivó su recogida. Cualquier uso de los datos para una finalidad incompatible con aquélla para la cual se recogieron es contrario a este principio. 

El principio de exactitud

Los datos personales contenidos en el fichero tienen que ser exactos y actualizados, de manera que reflejen la situación real de las personas afectadas. Los datos recogidos directamente del afectado o interesado en principio se consideran exactos.

El principio de conservación de los datos

Los datos personales son conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten posteriormente. Podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.   

Sólo se pueden conservar si se disocian o cuando el tratamiento de los datos atienda a valores históricos, estadísticos o científicos de acuerdo con la legislación específica. El almacenamiento lícito de los datos que ya no resulte necesario podrá conseguirse, por lo tanto, mediante la anonimización o la pseudonimización de los datos.

El principio de lealtad

Cualquier entidad que trate datos personales lo tiene que hacer de manera leal, lícita y sin utilizar medios fraudulentos en su recogida. La vulneración de este principio está tipificada como una infracción muy grave.

El principio de tratamiento leal regula, fundamentalmente, la relación entre el responsable del tratamiento y el interesado.

 

Autor: Inma Montes

@datusmas