Protección de Datos y RGPD: ¿Y después del 25 de mayo qué?

El 25 de mayo de 2018 será de obligado cumplimiento el Reglamento General de Protección de Datos (RGPD) después de un plazo de dos años desde su entrada en vigor el 25 de mayo de 2016. Como ya hemos comentado en anteriores posts, esta nueva normativa incorpora algunas novedades importantes respecto de la forma en que se venía entendiendo la protección de datos en la LOPD: el consentimiento del usuario cobra aún mayor fuerza y tenemos que poder demostrar en todo momento que ese consentimiento existió y que por eso tratamos unos datos personales concretos. La privacidad desde el diseño, privacidad por defecto o ‘Privacy by default’ es un principio que debe regir el diseño y la concepción misma de cualquier plataforma, app o web. Otras obligaciones hasta hoy vigentes, como el registro de ficheros en la AEPD, dejan de ser exigibles, haciendo muchísimo hincapié en que podamos justificar que se tomaron todas las medidas posibles para un tratamiento seguro y correcto de los datos.
Ahora ante la inminente exigibilidad de la nueva norma, hay cierto nerviosismo por cumplirla y no crearse problemas, pero es importante que veamos el 25 de mayo como un inicio y no como un final. O al menos, como un punto y seguido. No haber conseguido adaptarnos a la normativa en esa fecha no implica tirar la toalla y esperar la multa con resignación, sino que hay que hacer un esfuerzo para, con el asesoramiento adecuado, adaptarse al cumplimiento del RGPD (sea antes, durante o algo después de su entrada en vigor definitiva).
Mi principal consejo es empezar revisando con sumo cuidado todos los textos legales, avisos y check-ins de vuestra web, así como todas aquellas cláusulas de aviso que incluís en vuestros contratos. Esto como medida digamos de urgencia para después, sin pausa, ir desarrollando el resto de medidas relativas a la protección de datos de vuestra empresa o negocio.
Si queréis podemos echaros una mano en info@victormartinezabogado.com o en el teléfono 647273610.

RGPD Protección de Datos

Protección de Datos: Adaptación al RGPD – Cómo elegir a la empresa adecuada

El 25 de mayo de 2018 será de obligado cumplimiento (y empezarán las sanciones) el Reglamento General de Protección de Datos, en vigor desde el 25 de mayo de 2016. ¿Por qué se dio un periodo tan amplio para su exigibilidad? Pues para que las distintas empresas e instituciones en el seno de la Unión Europea tuvieran tiempo para adaptarse a las importantes novedades que este texto legal conlleva.

A un par de meses de esa fecha límite, ¿cuál es la situación general? Que muchas empresas no han hecho prácticamente nada y ahora buscan empresas que, por el precio más módico posible, les ayuden a adaptarse a los nuevos requisitos legales. Mientras tanto, muchas de esas empresas “especializadas” se dedican a hacer acciones de marketing para captar clientes, en algunos casos vulnerando ellas mismas la normativa -incluso la actual- en materia de Protección de Datos (haciendo e-mailing indiscriminados, contactando con clientes a los que no pidieron jamás sus datos con fines comerciales, actuando en otras ocasiones de forma coordinada con otros despachos y asesorías para realizar ofertas a clientes de éstos sobre la base de un fichero de clientes que en principio no debería tener uso comercial…). Como se suele decir: en casa del herrero…

El primer consejo en estas circunstancias sería: que no cunda el pánico. El proceso de adaptación a la nueva normativa es complejo y laborioso, pero debe hacerse con calma y seguridad. Y el segundo consejo: las políticas de protección de datos van a ir reforzándose cada vez más, buscando la mayor protección de la privacidad de los usuarios, por lo que hay que considerar la preparación para el cumplimiento en este ámbito como una inversión de nuestra empresa, que nos va a ayudar a evitar las temidas sanciones, pero también a incrementar la confianza de nuestros clientes y consumidores, mejorando nuestro negocio. Por eso siempre es mejor un traje a medida que una plantilla aplicada apresuradamente. Y no tiene porqué ser más costoso.

En Víctor Martínez Abogado podemos ayudarte a cumplir con el RGPD y la nueva normativa de Protección de Datos en todos los ámbitos de tu empresa, desde los contratos que realizas hasta los formularios de contacto de tu página web. Estaremos encantados de atenderte y resolver tus dudas en info@victormartinezabogado.com.

Tendencias en correos de phising, malware, estafas en la red

El correo electrónico sigue siendo una de las aplicaciones más importantes de Internet; no sólo constituye una puerta de entrada a nuestro ordenador, sino que a través de esta vía es más posible conseguir que nosotros interactuemos con el contenido, a través de enlaces, respuestas, o instalación de programas. Por ello es también una de las vías preferidas de los ciberdelincuentes, que la utilizan como caballo de Troya para llegar a nuestros datos, nuestro software o nuestro dinero.

He querido publicar esta brevísima entrada para facilitaros un link a un post de la Oficina de Seguridad del Internauta que me parece interesantísimo: en él se incluyen ejemplos concretos de los correos con contenido malicioso más recientes, desde phising hasta fraudes económicos, pasando por blanqueo de dinero y difusión de malware. Puedes acceder a este artículo haciendo clic en este enlace.

Envío de comunicaciones comerciales por medios electrónicos: ojo en tus campañas de email marketing

¿En qué condiciones está permitido el envío de comunicaciones comerciales por medios electrónicos?A la hora de dirigirnos a nuestros clientes utilizando medios electrónicos (lo cual incluye obviamente el email, pero también los servicios de mensajería móvil como el tradicional SMS o Whatsapp), debemos tener en cuenta las limitaciones y condiciones establecidas en la LSSICE (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico), que son más estrictas aún que las referidas al correo postal.

En términos generales:

1. La Ley permite la realización de comunicaciones comerciales mediante el uso de Internet u otros medios electrónicos, siempre que puedan identificarse como tales y a la persona o empresa en nombre del cual se realizan o anunciante.

2. Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

3. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

4. La Ley obliga, además, a los prestadores de servicios a habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado, así como a facilitar información accesible por vía telemática sobre dichos procedimientos.

¿Qué se entiende por “consentimiento o autorización expresa”?
La prestación de consentimiento expreso exige la manifestación de una voluntad libre, informada, específica e inequívoca, que no deje lugar a duda, de aceptación del envío de comunicaciones comerciales realizadas por correo electrónico u otro medio de comunicación individual equivalente. Este requisito se entendería cumplido por ejemplo, si el prestador de servicios, después de informar al usuario sobre el uso al que destinará su dirección o número de teléfono, le ofrece la oportunidad de manifestar su conformidad con el envío de comunicaciones comerciales haciendo “clic” en una casilla dispuesta al efecto.
Este requisito no se cumple cuando, sin haber autorizado de forma expresa la recepción de comunicaciones comerciales, el destinatario tolera o no se opone a su envío, cuando no responde a los mensajes por los que se solicita su consentimiento y, por supuesto, cuando se ha opuesto a su recepción.

Como siempre recomendamos visitar y consultar el completo portal www.lssi.gob.es, del que hemos extraído la información.

Formulario de solicitud de retirada de resultados de búsqueda de Google (Derecho al olvido)

google-servicesEn su sentencia del 13 de mayo de 2014, el Tribunal de Justicia de la Unión Europea estableció que los usuarios pueden solicitar que los motores de búsqueda (Google, claro, pero también Bing, Yahoo, etc.) eliminen resultados de búsquedas que incluyan su nombre si esos resultados se consideran “inadecuados, no pertinentes o ya no pertinentes o son excesivos en relación con estos fines y el tiempo transcurrido”. El alto tribunal estableció que el interesado debe presentar su solicitud “directamente” al buscador, que deberá examinar si es fundada.

Pero, ¿cómo se puede tramitar? Google ha creado un formulario online, bastante sencillo, en el que se puede pedir la retirada de los resultados que consideremos que nos afectan. Google estudiará si esos datos son realmente obsoletos o si existe un interés público en esa información (por ejemplo, información sobre estafas financieras, negligencia profesional, condenas penales o comportamiento público de funcionarios del gobierno).

Se trata de un formulario que se puede cumplimentar y enviar en representación de terceros (por ejemplo por parte de un abogado), y en el que hay que incluir:

1) La URL de cada enlace que aparece en una búsqueda de Google y que solicita que se retire.
2) Hay que explicar los motivos por los que la página enlazada se refiere a esa persona.
3) Y también explicar por qué esta URL de los resultados de búsqueda resulta irrelevante, obsoleta o inadecuada de cualquier otro modo.

Piden también un documento de identidad para evitar las solicitudes fraudulentas.
Cuando se eliminen esos resultados, el buscador insertará un aviso a pie de página de resultados advirtiendo al usuario de que algunos resultados de esa búsqueda han sido eliminados en función del “derecho al olvido”, tal y como avisa cuando se ve obligado a eliminar enlaces a contenidos por derechos de autor.

¿Es WhatsApp una herramienta de comunicación fiable para abogados y sus clientes?

WhatsApp y abogadosLa cuestión de la seguridad del uso de WhatsApp en las conversaciones abogado-cliente es uno de los trending topics de la red. Al tratarse de una herramienta tan accesible y utilizada, la tentación de incorporarla al conjunto de recursos tecnológicos del letrado es muy grande. Como en otros casos, la cuestión fundamental es conocer en profundidad cuáles son las condiciones legales y técnicas de la plataforma para saber cuáles pueden ser sus usos y sus límites.

En fechas recientes el Colegio de Abogados de Málaga ha denunciado ante sus miembros “los inconvenientes que representa el uso de la aplicación de mensajería multiplafatorma WhatsApp, especialmente en la relación entre letrado y cliente”. El Colegio de Abogados de Sabadell ha sido el que más lejos ha llegado en la investigación legal de los límites de esta aplicación. Así, la agrupación de Jóvenes Abogados de Sabadell decidió plantear una consulta formal ante la Autoridad Catalana de Protección de Datos (APDCAT) para que ésta se pronunciase sobre los riesgos que supone el uso de la aplicación WhatsApp en el ámbito profesional de las relaciones entre el abogado y el cliente. Sus conclusiones ponen de manifiesto “la existencia de diversas vulnerabilidades en la aplicación respecto de la normativa de protección de datos que podrían poner en evidencia las conversaciones de los abogados con sus clientes”.

Riesgos y sanción para abogados

Los abogados, al igual que otros colectivos profesionales, tratan datos sensibles que pueden incluir datos de salud o datos relativos a la comisión de infracciones administrativas o penales. En la medida en que la normativa requiere la incorporación de determinadas medidas de seguridad al tratar estos datos, el abogado deberá verificar que los medios que utiliza para intercambiar información con sus clientes son seguros. El abogado que use medios de comunicación no segura se arriesga a sanciones que pueden llegar a 300.000 euros en los casos más graves.

Elementos clave en las condiciones de Whatsapp

  • WhatsApp puede cambiar las condiciones cuando quiera, el usuario es responsable de revisarlas periódicamente para ver si hay cambios y decidir si continúa utilizando el servicio o no.
  • WhatsApp no garantiza la confidencialidad de conversaciones y contenidos intercambiados en su servicio.
  • WhatsApp no borra conversaciones, sólo las oculta.
  • A WhatsApp no le enviamos sólo nuestro teléfono, sino nuestra agenda completa. Y no sólo recibe los números de nuestra agenda, sino la información completa de cada tarjeta de contacto: nombre y apellidos, correo electrónico, etc.
  • Cualquier daño ocasionado por el contenido enviado es responsabilidad exclusiva del usuario.
  • WhatsApp puede revocar estas condiciones cuando estime oportuno.
  • Cualquier incidente que nos ocurra con WhatsApp tiene un plazo de un año para denunciarse.

(Resumen extraído del blog Celularis)

A todo esto hay que añadir, además, las vulnerabilidades técnicas de la plataforma, cuya seguridad, cifrado y protección contra virus y malware no son todo lo robustas que cabría desear en una aplicación de telecomunicaciones.

Consejos para el uso de WhatsApp

A priori yo daría dos consejos que pueden permitir un cierto uso de la plataforma sin comprometer el necesario celo de los datos personales que debe tener un abogado:

1. El primero es de elemental sentido común, que es restringir el uso de WhatsApp a situaciones y mensajes que no incluyan información sensible. Por ejemplo no habría gran problema en usarlo para cambiar la hora de una cita o comunicar que se va a llegar tarde a una reunión. Pero en ningún caso debería de usarse para comentar el contenido de una sentencia, resolución, o contrato, en plan “Sr. Fernández, acaba de llegar resolución y le ha sido concedida la invalidez, le corresponde una pensión de…”.

2. El segundo es una recomendación de la propia Autoridad de Protección de Datos de Cataluña: que el abogado atribuya pseudónimos a sus contactos, lo que operará como una medida de protección contra todo uso indebido de la verdadera identidad de sus clientes. Bastaría cualquier nombre ficticio, código, o cualquier otro signo que se no sean su nombre ni apellidos reales. No obstante, dicha medida no evitará el “chequeo” que realiza WhatsApp en todos los contactos de la agenda del abogado.

Estas precauciones no atañen sólo a abogados, sino a todos aquellos profesionales que tienen una especial obligación de confidencialidad y protección de datos en el desempeño de su función: médicos, psicólogos, educadores, asesores, etc.

Sanción de la Agencia Española de Protección de Datos (AEPD) a Google por valor de casi 1.000.000 de euros

google-services

Hace unos días la Agencia Española de Protección de Datos (AEPD) hizo pública una resolución en la que sancionaba a Google “por vulnerar gravemente los derechos de los ciudadanos”. ¿En qué se basaba esa sanción?

A diario como usuarios de Internet realizamos multitud de contratos. “¿Cómo? ¿Contratos yo?”, puede que piense el lector. Y en efecto, así es. Cada vez que aceptamos las cláusulas de privacidad al contratar un servicio (aunque este sea gratuito) estamos aceptando unas condiciones contractuales. En Dropbox, al empezar a utilizar sus útiles buzones. En Google, al crear una nueva cuenta de Gmail. Al instalar una nueva app en nuestro Smartphone, y así suma y sigue.

En 2012 Google cambió las condiciones de privacidad de todos sus servicios, unificándolos. De tal manera que el usuario pasaba a aceptar unas condiciones generales aplicables a todos los servicios y aplicaciones contratadas con la compañía de Mountain View. En palabras de la AEPD, “se creó un modelo de tratamiento de datos basado en la transversalidad, posibilitando que la información que una persona facilita para un servicio pueda combinarse con la de otros y utilizarse con cualquier finalidad, y generando un uso de los datos personales que excede ampliamente las expectativas que un usuario podría esperar de la utilización de un servicio”.

La Resolución de la AEPD declara la existencia de tres infracciones graves de la Ley Orgánica de Protección de Datos (LOPD), impone a Google una sanción de 300.000 euros por cada una de ellas y requiere a la compañía para que adopte sin dilación las medidas necesarias para cumplir con las exigencias legales.

La Agencia Española de Protección de Datos (AEPD) ha constatado que:

  1. Google recoge y trata ilegítimamente información personal, tanto de los usuarios autenticados (dados de alta en sus servicios) como de los no autenticados, e incluso de quienes son meros “usuarios pasivos” que no han solicitado sus servicios pero acceden a páginas que incluyen elementos gestionados por la compañía sin explicitarlo.
  2. No se informa con claridad a los usuarios de Gmail de que se realiza un filtrado del contenido del correo y de los ficheros anexos para insertar publicidad.
  3. Google combina la información personal obtenida a través de los diversos servicios o productos para utilizarla con múltiples finalidades que no se determinan con claridad, vulnerando con ello la prohibición de utilizar los datos para fines distintos de aquellos para los que han sido recabados.
  4. En contra de lo exigido por la legislación española, Google almacena y conserva datos personales por periodos de tiempo indeterminados o injustificados, contraviniendo con ello el mandato legal de proceder a su cancelación cuando dejan de ser necesarios para la finalidad que determinó su recogida.
  5. Finalmente, Google obstaculiza -y en algunos casos impide- el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición).

Esta acción forma parte de la actuación coordinada iniciada junto a las Autoridades de Protección de Datos de Alemania, Francia, Holanda, Italia y Reino unido tras la falta de reacción de Google a los requerimientos previos.

Al margen de las conclusiones legales, hay una conclusión que como usuarios debemos sacar y es que debemos conocer bien las condiciones de privacidad de los sitios web y aplicaciones que utilizamos. Google y muchas otras empresas nos prestan servicios muy valiosos, pero es importante que sepamos cuándo y cómo se usan nuestros datos para saber si podemos aprovechar estas aplicaciones para toda ocasión o solo para determinados usos.