El pasado jueves 7 de marzo, los informativos de La 7, canal autonómico de televisión de la Región de Murcia, contaron conmigo en un reportaje sobre la noticia de la suspensión cautelar de la AEPD de la actividad de Worldcoin. La charla fue extensa y solo se incluyen algunos fragmentos, muchos puntos importantes quedaron fuera, pero es lógico ya que se trata de una pieza breve en el informativo. En este breve post vamos a abundar un poco más sobre ello.
La semana pasada saltaba la noticia: en una decisión muy poco habitual, la AEPD había suspendido cautelarmente la recogida de datos de la empresa Tools for Humanity (Worldcoin), invocando el art. 66 del Reglamento General de Protección de Datos (RGPD). Previamente esta empresa había sido noticia por el escaneo masivo de iris realizado en nuestro país, con notorias y visibles colas en centros comerciales, llegando casi a 400.000 personas las que habían accedido a este escaneo, a cambio de unas criptomonedas cuyo valor, según la cotización, oscilaba entre los 85 y los 150 euros. Si tenemos en cuenta que, en todo el mundo, el número de personas que habían colaborado con Worldcoin para el escaneo del iris era algo más de 4 millones, está claro que la cifra en España era más que llamativa. No obstante, el motivo último de actuar la AEPD ha sido la alarma social creada tras denunciar algunos padres que menores entre 14 y 18 años podían estar vendiendo sus datos de iris en este proceso.
La Sala III del Tribunal Supremo ha concluido que la obligación de las empresas de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes es de medios y no de resultado, aunque “es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”.
En sentencia de la que ha sido ponente el magistrado Diego Córdoba, la Sala confirma una sanción de 40.000 euros impuesta por la Agencia de Protección de Datos a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en la que figuraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).
Se establece que, salvo prueba en contrario, se presumirá amparado en lo dispuesto en el art. 6.1.f) del Reglamento 2016/679/UE, de 27 de abril el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumpla con una serie de requisitos.
El art. 19.1 de la LOPD-GDD/2018 autoriza el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica.
Se establece, por tanto, una presunción iuris tantum que puede ser destruida mediante la correspondiente prueba que permita desvirtuar esa presunción.
El art. 88 del Reglamento 2016/679/UE, de 27 de abril regula el tratamiento de los datos personales en el ámbito laboral y, en su apartado primero dispone que:Los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.
Requisitos de la autorización para el tratamiento de los datos
Los requisitos a los que queda sometida la autorización para el tratamiento de estos datos de carácter personal son que:
Se trate de datos de contacto de personas físicas (o empresarios individuales).
Puesto que el art. 6.1.f) del RGPD al que se remite el art. 19.1 de la LOPD-GDD/2018 establece que el tratamiento sólo será lícito cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Así, el art. 19.2 de la LOPD-GDD/2018 establece que:La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
El tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
La finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
En este sentido, el art. 6.1.f) del Reglamento 2016/679/UE, de 27 de abril , al que se remite el art. 19.1 de la LOPD-GDD/2018 , establece que el tratamiento sólo será lícito cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Datos de contacto de las personas físicas que prestan servicios en una persona jurídica
El art. 19.1 del LOPD-GDD/2018 se refiere a los “datos de contacto de las personas físicas” como supuesto en el que, en determinados casos y concurriendo determinadas condiciones, su tratamiento está permitido.
Téngase en cuenta que Considerando 14 del Reglamento de Protección de Datos señala que “la protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales” y que “el presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto”.
Ni el Reglamento 2016/679/UE, de 17 de abril, ni la LOPD-GDD/2018 determinan lo que ha de entenderse por esos “datos de contacto”.
El Reglamento hace uso en repetidas ocasiones de la expresión “datos de contacto” pero siempre referida al responsable o al encargado del tratamiento de datos personales y sin que, en momento alguno (ni en el art. 4 del Reglamento 2016/679/UE, de 27 de abril , ni en ningún otro lugar) se ofrezca una definición de este concepto.
Desde un sentido práctico (y finalístico) hay que entender por “datos de contacto” aquellos que permiten comunicarse con una determinada persona física por lo que, y en primer lugar, habrán de estar asociados al nombre de esa persona.
Por otra parte, y como datos que puedan recibir la calificación de “datos de contacto” serán aquellos que puedan cumplir con esa finalidad, como son:
El domicilio o direcciones físicas
El número de teléfono
La dirección de correo electrónico
Así como cualesquiera otro dato que pudiera permitir entra en contacto con una persona física.
Los datos que no cumplan con esta finalidad, los que por su propia naturaleza no se correspondan con este fin, no quedarán cubiertos por la autorización que confiere el art. 19.1 de la LOPD-GDD/2018.
Cumplir con la normativa de Protección de Datos siempre es un quebradero de cabeza. ¿Estoy realmente cumpliendo? ¿Cometo fallos en el tratamiento de los datos? ¿Podría incurrir en alguna conducta sancionable por la AEPD?
En el despacho intentamos ayudarte con dos estrategias fundamentales: el conocimiento y la sencillez. En el conocimiento porque estamos comprometidos con la actualización en la materia y lo que ello implica en los nuevos entornos digitales. En la sencillez porque queremos que cuentes con una herramienta fácil de usar, completa y que te permita una actualización permanente.
Ahora con el servicio de Cumplimiento de Protección de Datos de Víctor Martínez ABOGADO tienes acceso a un sistema encriptado en la nube en el que tus textos normativos y cláusulas están siempre 100% actualizados (por cambios que haya en la normativa). Todos ellos listos para descargar, pero siempre editables y actualizables. Puedes adaptarte en tiempo real a nuevos riesgos o transformaciones de tu negocio, nuevos colaboradores y proveedores, crecimiento de empleados, etc.
Adaptado a TELETRABAJO
Además los programas de cumplimiento de Protección de Datos de Víctor Martínez ABOGADO incluyen medidas de seguridad para protocolos de teletrabajo, como los activados en la pandemia de COVID-19 en 2020.
Miembro de APEP (Asociación Profesional Española de Privacidad)
El 25 de mayo de 2018 será de obligado cumplimiento el Reglamento General de Protección de Datos (RGPD) después de un plazo de dos años desde su entrada en vigor el 25 de mayo de 2016. Como ya hemos comentado en anteriores posts, esta nueva normativa incorpora algunas novedades importantes respecto de la forma en que se venía entendiendo la protección de datos en la LOPD: el consentimiento del usuario cobra aún mayor fuerza y tenemos que poder demostrar en todo momento que ese consentimiento existió y que por eso tratamos unos datos personales concretos. La privacidad desde el diseño, privacidad por defecto o ‘Privacy by default’ es un principio que debe regir el diseño y la concepción misma de cualquier plataforma, app o web. Otras obligaciones hasta hoy vigentes, como el registro de ficheros en la AEPD, dejan de ser exigibles, haciendo muchísimo hincapié en que podamos justificar que se tomaron todas las medidas posibles para un tratamiento seguro y correcto de los datos.
Ahora ante la inminente exigibilidad de la nueva norma, hay cierto nerviosismo por cumplirla y no crearse problemas, pero es importante que veamos el 25 de mayo como un inicio y no como un final. O al menos, como un punto y seguido. No haber conseguido adaptarnos a la normativa en esa fecha no implica tirar la toalla y esperar la multa con resignación, sino que hay que hacer un esfuerzo para, con el asesoramiento adecuado, adaptarse al cumplimiento del RGPD (sea antes, durante o algo después de su entrada en vigor definitiva).
Mi principal consejo es empezar revisando con sumo cuidado todos los textos legales, avisos y check-ins de vuestra web, así como todas aquellas cláusulas de aviso que incluís en vuestros contratos. Esto como medida digamos de urgencia para después, sin pausa, ir desarrollando el resto de medidas relativas a la protección de datos de vuestra empresa o negocio.
Si queréis podemos echaros una mano en info@victormartinezabogado.com o en el teléfono 647273610.
El 25 de mayo de 2018 será de obligado cumplimiento (y empezarán las sanciones) el Reglamento General de Protección de Datos, en vigor desde el 25 de mayo de 2016. ¿Por qué se dio un periodo tan amplio para su exigibilidad? Pues para que las distintas empresas e instituciones en el seno de la Unión Europea tuvieran tiempo para adaptarse a las importantes novedades que este texto legal conlleva.
A un par de meses de esa fecha límite, ¿cuál es la situación general? Que muchas empresas no han hecho prácticamente nada y ahora buscan empresas que, por el precio más módico posible, les ayuden a adaptarse a los nuevos requisitos legales. Mientras tanto, muchas de esas empresas “especializadas” se dedican a hacer acciones de marketing para captar clientes, en algunos casos vulnerando ellas mismas la normativa -incluso la actual- en materia de Protección de Datos (haciendo e-mailing indiscriminados, contactando con clientes a los que no pidieron jamás sus datos con fines comerciales, actuando en otras ocasiones de forma coordinada con otros despachos y asesorías para realizar ofertas a clientes de éstos sobre la base de un fichero de clientes que en principio no debería tener uso comercial…). Como se suele decir: en casa del herrero…
El primer consejo en estas circunstancias sería: que no cunda el pánico. El proceso de adaptación a la nueva normativa es complejo y laborioso, pero debe hacerse con calma y seguridad. Y el segundo consejo: las políticas de protección de datos van a ir reforzándose cada vez más, buscando la mayor protección de la privacidad de los usuarios, por lo que hay que considerar la preparación para el cumplimiento en este ámbito como una inversión de nuestra empresa, que nos va a ayudar a evitar las temidas sanciones, pero también a incrementar la confianza de nuestros clientes y consumidores, mejorando nuestro negocio. Por eso siempre es mejor un traje a medida que una plantilla aplicada apresuradamente. Y no tiene porqué ser más costoso.
En Víctor Martínez Abogado podemos ayudarte a cumplir con el RGPD y la nueva normativa de Protección de Datos en todos los ámbitos de tu empresa, desde los contratos que realizas hasta los formularios de contacto de tu página web. Estaremos encantados de atenderte y resolver tus dudas en info@victormartinezabogado.com.
El correo electrónico sigue siendo una de las aplicaciones más importantes de Internet; no sólo constituye una puerta de entrada a nuestro ordenador, sino que a través de esta vía es más posible conseguir que nosotros interactuemos con el contenido, a través de enlaces, respuestas, o instalación de programas. Por ello es también una de las vías preferidas de los ciberdelincuentes, que la utilizan como caballo de Troya para llegar a nuestros datos, nuestro software o nuestro dinero.
He querido publicar esta brevísima entrada para facilitaros un link a un post de la Oficina de Seguridad del Internauta que me parece interesantísimo: en él se incluyen ejemplos concretos de los correos con contenido malicioso más recientes, desde phising hasta fraudes económicos, pasando por blanqueo de dinero y difusión de malware. Puedes acceder a este artículo haciendo clic en este enlace.
A la hora de dirigirnos a nuestros clientes utilizando medios electrónicos (lo cual incluye obviamente el email, pero también los servicios de mensajería móvil como el tradicional SMS o Whatsapp), debemos tener en cuenta las limitaciones y condiciones establecidas en la LSSICE (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico), que son más estrictas aún que las referidas al correo postal.
En términos generales:
1. La Ley permite la realización de comunicaciones comerciales mediante el uso de Internet u otros medios electrónicos, siempre que puedan identificarse como tales y a la persona o empresa en nombre del cual se realizan o anunciante.
2. Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.
3. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
4. La Ley obliga, además, a los prestadores de servicios a habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado, así como a facilitar información accesible por vía telemática sobre dichos procedimientos.
¿Qué se entiende por «consentimiento o autorización expresa»?
La prestación de consentimiento expreso exige la manifestación de una voluntad libre, informada, específica e inequívoca, que no deje lugar a duda, de aceptación del envío de comunicaciones comerciales realizadas por correo electrónico u otro medio de comunicación individual equivalente. Este requisito se entendería cumplido por ejemplo, si el prestador de servicios, después de informar al usuario sobre el uso al que destinará su dirección o número de teléfono, le ofrece la oportunidad de manifestar su conformidad con el envío de comunicaciones comerciales haciendo «clic» en una casilla dispuesta al efecto.
Este requisito no se cumple cuando, sin haber autorizado de forma expresa la recepción de comunicaciones comerciales, el destinatario tolera o no se opone a su envío, cuando no responde a los mensajes por los que se solicita su consentimiento y, por supuesto, cuando se ha opuesto a su recepción.
Como siempre recomendamos visitar y consultar el completo portal www.lssi.gob.es, del que hemos extraído la información.
En su sentencia del 13 de mayo de 2014, el Tribunal de Justicia de la Unión Europea estableció que los usuarios pueden solicitar que los motores de búsqueda (Google, claro, pero también Bing, Yahoo, etc.) eliminen resultados de búsquedas que incluyan su nombre si esos resultados se consideran «inadecuados, no pertinentes o ya no pertinentes o son excesivos en relación con estos fines y el tiempo transcurrido». El alto tribunal estableció que el interesado debe presentar su solicitud “directamente” al buscador, que deberá examinar si es fundada.
Pero, ¿cómo se puede tramitar? Google ha creado un formulario online, bastante sencillo, en el que se puede pedir la retirada de los resultados que consideremos que nos afectan. Google estudiará si esos datos son realmente obsoletos o si existe un interés público en esa información (por ejemplo, información sobre estafas financieras, negligencia profesional, condenas penales o comportamiento público de funcionarios del gobierno).
Se trata de un formulario que se puede cumplimentar y enviar en representación de terceros (por ejemplo por parte de un abogado), y en el que hay que incluir:
1) La URL de cada enlace que aparece en una búsqueda de Google y que solicita que se retire.
2) Hay que explicar los motivos por los que la página enlazada se refiere a esa persona.
3) Y también explicar por qué esta URL de los resultados de búsqueda resulta irrelevante, obsoleta o inadecuada de cualquier otro modo.
Piden también un documento de identidad para evitar las solicitudes fraudulentas.
Cuando se eliminen esos resultados, el buscador insertará un aviso a pie de página de resultados advirtiendo al usuario de que algunos resultados de esa búsqueda han sido eliminados en función del “derecho al olvido”, tal y como avisa cuando se ve obligado a eliminar enlaces a contenidos por derechos de autor.
La cuestión de la seguridad del uso de WhatsApp en las conversaciones abogado-cliente es uno de los trending topics de la red. Al tratarse de una herramienta tan accesible y utilizada, la tentación de incorporarla al conjunto de recursos tecnológicos del letrado es muy grande. Como en otros casos, la cuestión fundamental es conocer en profundidad cuáles son las condiciones legales y técnicas de la plataforma para saber cuáles pueden ser sus usos y sus límites.
En fechas recientes el Colegio de Abogados de Málaga ha denunciado ante sus miembros «los inconvenientes que representa el uso de la aplicación de mensajería multiplafatorma WhatsApp, especialmente en la relación entre letrado y cliente». El Colegio de Abogados de Sabadell ha sido el que más lejos ha llegado en la investigación legal de los límites de esta aplicación. Así, la agrupación de Jóvenes Abogados de Sabadell decidió plantear una consulta formal ante la Autoridad Catalana de Protección de Datos (APDCAT) para que ésta se pronunciase sobre los riesgos que supone el uso de la aplicación WhatsApp en el ámbito profesional de las relaciones entre el abogado y el cliente. Sus conclusiones ponen de manifiesto «la existencia de diversas vulnerabilidades en la aplicación respecto de la normativa de protección de datos que podrían poner en evidencia las conversaciones de los abogados con sus clientes».
Riesgos y sanción para abogados
Los abogados, al igual que otros colectivos profesionales, tratan datos sensibles que pueden incluir datos de salud o datos relativos a la comisión de infracciones administrativas o penales. En la medida en que la normativa requiere la incorporación de determinadas medidas de seguridad al tratar estos datos, el abogado deberá verificar que los medios que utiliza para intercambiar información con sus clientes son seguros. El abogado que use medios de comunicación no segura se arriesga a sanciones que pueden llegar a 300.000 euros en los casos más graves.
Elementos clave en las condiciones de Whatsapp
WhatsApp puede cambiar las condiciones cuando quiera, el usuario es responsable de revisarlas periódicamente para ver si hay cambios y decidir si continúa utilizando el servicio o no.
WhatsApp no garantiza la confidencialidad de conversaciones y contenidos intercambiados en su servicio.
WhatsApp no borra conversaciones, sólo las oculta.
A WhatsApp no le enviamos sólo nuestro teléfono, sino nuestra agenda completa. Y no sólo recibe los números de nuestra agenda, sino la información completa de cada tarjeta de contacto: nombre y apellidos, correo electrónico, etc.
Cualquier daño ocasionado por el contenido enviado es responsabilidad exclusiva del usuario.
WhatsApp puede revocar estas condiciones cuando estime oportuno.
Cualquier incidente que nos ocurra con WhatsApp tiene un plazo de un año para denunciarse.
A todo esto hay que añadir, además, las vulnerabilidades técnicas de la plataforma, cuya seguridad, cifrado y protección contra virus y malware no son todo lo robustas que cabría desear en una aplicación de telecomunicaciones.
Consejos para el uso de WhatsApp
A priori yo daría dos consejos que pueden permitir un cierto uso de la plataforma sin comprometer el necesario celo de los datos personales que debe tener un abogado:
1. El primero es de elemental sentido común, que es restringir el uso de WhatsApp a situaciones y mensajes que no incluyan información sensible. Por ejemplo no habría gran problema en usarlo para cambiar la hora de una cita o comunicar que se va a llegar tarde a una reunión. Pero en ningún caso debería de usarse para comentar el contenido de una sentencia, resolución, o contrato, en plan «Sr. Fernández, acaba de llegar resolución y le ha sido concedida la invalidez, le corresponde una pensión de…».
2. El segundo es una recomendación de la propia Autoridad de Protección de Datos de Cataluña: que el abogado atribuya pseudónimos a sus contactos, lo que operará como una medida de protección contra todo uso indebido de la verdadera identidad de sus clientes. Bastaría cualquier nombre ficticio, código, o cualquier otro signo que se no sean su nombre ni apellidos reales. No obstante, dicha medida no evitará el «chequeo» que realiza WhatsApp en todos los contactos de la agenda del abogado.
Estas precauciones no atañen sólo a abogados, sino a todos aquellos profesionales que tienen una especial obligación de confidencialidad y protección de datos en el desempeño de su función: médicos, psicólogos, educadores, asesores, etc.
Utilizamos cookies para optimizar nuestro sitio web y nuestro servicio.
Funcional
Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos anónimos. Sin una requerimiento, el cumplimiento voluntario por parte de su proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarlo.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en un sitio web o en varios sitios web con fines de marketing similares.