Últimas publicaciones

Principales novedades del Reglamento General de Protección de Datos

Actualización de la normativa de protección de datos (RGPD)

Como ya muchos sabéis, el 25 de mayo de 2018 entra en aplicación el nuevo reglamento europeo de protección de datos, obligando a modificar y actualizar ciertos puntos de nuestra legislación. Sin embargo, puede que existan organizaciones que lo desconocen o que aún no han dado con la tecla a la hora de aplicar sus medidas. Qué duda cabe de que este Reglamento General de Protecciñon de Datos suprimirá, modificará e integrará figuras, procedimientos o tratamientos, creando un marco normativo igualitario para todos los estados miembros de la Unión Europea.

Principales novedades del nuevo Reglamento General de Protección de Datos

Responsabilidad proactiva: esto supone que el responsable del tratamiento de datos tendrá que guiarse por una serie de principios (reseñados en los artículos 5 y sucesivos; como pueden ser el de licitud, lealtad o transparencia), que velen por un uso legal y responsable de los datos de carácter personal en todo el período de tratamiento.

Legitimidad del tratamiento: hace referencia a la forma de proceder para adquirir esos datos, ya sea por una cuestión de obligación legal o en el interés y/o ejercicio de los poderes públicos.

Consentimiento: el consentimiento táctico o por inacción deja de ser válido, pues éste deberá demostrar la voluntad de afirmar, además de ser informado y libre. En el ámbito del consentimiento del menor de edad, el reglamento señala un intervalo desde los 13 a los 16 años.

Categoría especial de datos: la naturaleza de la información, especialmente sensible, genera la prohibición de su tratamiento, exceptuada por ser una serie de casos tasados. Dentro de esta categoría se hallan los referentes a etnia o raza, opinión política, salud o vida sexual y afiliación sindical, además de datos genéticos y biométricos.

Registro de actividades de tratamiento: con esto desaparece la obligación de notificar la inscripción de ficheros en el Registro de la AEPD (Agencia Española de Protección de Datos) o de la autoridad autonómica competente. Sin embargo, se recomienda implementar este registro con el fin de tener inventariados todos los tratamientos realizados en la entidad.

Análisis de riesgos: esta herramienta surge para el estudio de las diversas formas de tratamiento de datos, pudiendo optar por unas medidas de seguridad u otras, en función del riesgo que genere la información tratada. Así, desaparece el sistema de calificación de “bajo, medio o alto” de sensibilidad y riesgo de los datos, tomándose en consideración para la toma de medidas, la naturaleza de éstos, los costes de la aplicación y los fines del tratamiento.

Evaluación de impacto: a colación de la anterior, es otro mecanismo que permite identificar y evaluar los riesgos, siendo de carácter preventivo, para evitar posibles quiebras de seguridad. En este caso, es la Autoridad de Control la que señalará qué tratamientos requieren o no la evaluación de impacto, aunque el propio reglamento reseña algunos en los que es obligatoria esta herramienta.

Comunicación de quiebras de seguridad: antes no era obligatorio, pero, desde la entrada en vigor del RGPD, deberá hacerse en un plazo máximo de 72 horas desde que se supo de la misma. Además, siempre y cuando sea necesario y posible, se deberá notificar a los afectados.

Privacidad desde el diseño y por defecto: esta categoría se incluye con la finalidad de que se den las formas y procedimientos necesarios para el tratamiento de los datos durante todo el proceso, utilizando sólo aquellos de los que precise la organización. Este mecanismo hay que entenderlo en relación con la responsabilidad proactiva, citada anteriormente.

Principales novedades del Reglamento General de Protección de Datos

Derechos de los afectados: además de los antiguos derechos ARCO (acceso, rectificación, cancelación y oposición), el nuevo reglamento añade otros como supresión u olvido, transparencia, limitación en el tratamiento de datos y portabilidad de estos. No nos debemos olvidar del derecho de información en la recogida de datos, que debe ser conciso, transparente, inteligible y de fácil acceso y lenguaje.

Encargado del tratamiento: se requiere un personal formado en función del tipo de datos a tratar. Por otra parte, respecto al tipo de contrato con el encargado, la normativa europea señala que, además, deberá incluir las instrucciones del responsable del tratamiento, el deber de confidencialidad, las medidas de seguridad, el régimen de subcontratación, asistencia del responsable al encargado y su colaboración para cumplir las obligaciones pactadas y el destino de los datos cuando la prestación finalice.

Delegado de Protección de Datos: la principal novedad del reglamento; una figura a caballo entre el encargado y el responsable, que deberá informar y asesorar sobre los tratamientos, además de supervisarlos y colaborar con la Autoridad de Control. Será obligatoria para todas las entidades públicas, pudiendo ser contratado interna o externamente o, en las administraciones pequeñas, articulada desde las diputaciones provinciales o comunidad autónoma respectiva. Su perfil es el de un profesional del derecho, preferiblemente con amplia experiencia en el sector o, al menos, con formación previa acreditada y certificada.

Transferencias internacionales de datos: último punto novedoso del reglamento. Debido a los últimos avances tecnológicos, la transferencia o acumulación de datos vía “nube” es hoy, más que una realidad, el pan de cada día. Es, por ello, que la legislación de la antigua ley de protección de datos necesitaba una revisión concienzuda. En este caso y respecto de las administraciones públicas, el reglamento señala en qué casos es necesaria o no la previa autorización del afectado para la transmisión de sus datos, teniendo que informar al mismo según el caso.

Hacia una nueva Ley Orgánica de Protección de Datos

Tras esta normativa, de obligado cumplimiento para los estados miembros de la Unión, la pelota está ahora del lado del legislador español, que suponemos no tardará mucho en adaptar el derecho a las nuevas exigencias sociales y legales a través de la nueva Ley Orgánica de Protección de Datos. Aconsejamos encarecidamente la puesta al día, pues se acerca la fecha límite y lo mejor es no arriesgarse a una posible sanción.

Desde SISTEMIUS, realizamos esta pequeña revisión legal para su interés. Además, nos ponemos a su disposición para asesorarles a este respecto. No duden en consultarnos.

Jorge Mora Dorta

Sistemius

No todo son novedades en el RGPD, también hay derechos reformulados

NUEVOS DERECHOS DE LOS USUARIOS EN EL REGLAMENTO DE PROTECCIÓN DE DATOS (RGPD)

El Reglamento Europeo de Protección de Datos (RGPD) contiene una serie de derechos de los usuarios y personas afectadas por los tratamientos de datos que pueden ejercer ante el responsable y el encargado del tratamiento, según corresponda, o también ante el Delegado de Protección de Datos de estas compañías o entidades, si ha sido notificado válidamente este nombramiento en la Agencia Española de Protección de Datos. E incluso, en algún caso, como en el derecho a la indemnización, ante los Tribunales competentes.

Estos derechos son: derecho de acceso, derecho de rectificación, derecho de supresión y derecho al olvido, derecho de oposición a decisiones individuales automatizadas, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos y derecho a la indemnización. A continuación los detallaremos, clasificándolos en función de la si han sido creados o una modificación de normativa realizada previamente.

Derechos de nuevo cuño en el RGPD

 Derecho de supresión y derecho al olvido

El derecho de supresión sustituye al derecho de cancelación de la antigua Ley Orgánica de Protección de datos. Este derecho de supresión significa que cualquier persona afectada por un tratamiento de datos, puede dirigirse frente al responsable que trate sus datos y solicitar la supresión de estos datos por la retirada de su consentimiento para el fin para el que fue recabado, o si esos datos no fueron recabados directamente de esa persona, el responsable del tratamiento deberá suprimirlos si no tiene otra base legal que le permita tratarlos, por ejemplo, el interés legítimo o la existencia de un contrato entre las partes.

El RGPD establece unos nuevos derechos para los usuarios

Por su parte, el derecho al olvido se refiere a la posibilidad de que las personas se dirijan frente a buscadores de internet, para exigirles que “desindexen” su nombre de aquellos resultados de búsqueda que ya no resulten pertinentes o que estén descontextualizados o sean excesivos.

 Derecho de oposición a la elaboración de perfiles

Otra de las novedades del Reglamento Europeo (RGPD) es la regulación de las decisiones individuales automatizadas, como la elaboración de perfiles (“profiling”). La elaboración de perfiles consiste en la utilización de datos personales para evaluar determinados aspectos relativos a los hábitos de las personas como, por ejemplo, la elaboración de un perfil de consumidor según los pedidos realizados en una tienda online. En este sentido, se reconoce el derecho de cualquier persona a oponerse a las decisiones basadas únicamente en la elaboración de perfiles y que, además produzcan efectos jurídicos en él o le afecte significativamente. Excepto en algunas situaciones, por ejemplo:  que esa elaboración de perfiles sea necesaria para la ejecución de un contrato entre las partes, o que se base en el consentimiento de ese usuario.

 Derecho a la limitación del tratamiento

El derecho a la limitación del tratamiento supone que, si una persona ejerce este derecho frente al responsable del tratamiento, su dato no dejará de tratado completamente, es decir, no se producirá una supresión, pero el responsable tendrá un tratamiento muy limitado de esos datos y solamente para los siguientes supuestos:

  • cuando la persona afectada ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud
  • Cuando los datos ya no son necesarios para el tratamiento, que también determinaría su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones
  • Cuando el tratamiento es ilícito, lo que determinaría el borrado de los datos, pero la persona afectada se opone a ello.

 Derecho a la portabilidad de los datos

Este es otro de los nuevos derechos consagrados en el Reglamento Europeo (RGPD) es. La portabilidad de los datos significa que las personas que han cedido sus datos a un responsable del tratamiento tienen derecho a recibir los datos personales facilitados en un formato que sea estructurado e interoperable. Además, el derecho a la portabilidad permite la posibilidad de que la persona afectada por el tratamiento de datos solicite al responsable del tratamiento que transmita sus datos a otro responsable del tratamiento. El derecho a la portabilidad siempre se realizará sobre datos automatizados, por tanto, el ejercicio de este ejercicio no está contemplado sobre los datos en soporte papel. Por su parte, los datos objeto del derecho a la portabilidad de los datos pueden proceder de dos situaciones: datos obtenidos mediante el consentimiento o aquellos datos procedentes de un contrato de la persona afectada con el responsable del tratamiento.

 Derecho a la Indemnización al usuario

Esta es una de las novedades más destacadas del Reglamento Europeo de Protección de Datos (RGPD). Al contrario de lo que sucedía en la antigua Ley Orgánica de Protección de Datos (LOPD), que únicamente contemplaba sanciones administrativas, a través de la Agencia Española de Protección de Datos, a las empresas y entidades que infringieran las obligaciones relativas a la protección de datos, pero no se contemplaban resarcimientos o indemnizaciones a las personas afectadas por infracción de sus derechos. Sin embargo, en el Reglamento Europeo (RGPD) sí se contempla la posibilidad de que las personas que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrán derecho a recibir del responsable o el encargado del tratamiento, según proceda, una indemnización por los daños y perjuicios sufridos. Para el ejercicio de este derecho a indemnización la persona afectada debe presentar la correspondiente acción judicial ante los tribunales competentes.

No todo son novedades. La reformulación en el RGPD

No todo son novedades en el RGPD, también hay derechos reformulados

 Derechos de acceso y rectificación

Los derechos de acceso y rectificación se mantienen muy similares a los contenidos en la anterior normativa, es decir, cualquier persona o usuario puede dirigirse frente la entidad que trate sus datos, siguiendo el procedimiento que cada entidad tenga contemplado, para exigirle confirmación de si se están tratando o no datos personales que le conciernen. Y, además, solicitar información sobre la finalidad del tratamiento, el tipo de dato que se trata, el plazo de conservación, y si se están elaborando perfiles automatizados con ellos, entre otros.

En cuanto al derecho de rectificación, también se mantiene la normativa anterior, es decir, la persona afectada puede dirigirse a la entidad que trate sus datos para exigirle la rectificación de los datos personales inexactos que le conciernan.

José Nogueira

Abogado

Sistemius

La nueva LOPD intenta ampliar el Reglamento Europeo

Nueva LOPD (Ley Orgánica de Protección de Datos)

Al margen de la aplicación del nuevo Reglamento Europeo Nº 2016/676 de protección de Datos (RGPD), que será directamente aplicable a partir del 25 de mayo. Está prevista la aprobación de la Nueva LOPD que vendrá a aclarar y a ampliar determinados aspectos del Reglamento Europeo.

Esta nueva Ley Orgánica de Protección de Datos, se encuentra en fase de tramitación, sin embargo, ya ha sido publicado el proyecto de Ley, y podemos conocer las novedades que introducirá.

Aportaciones de la nueva LOPD

Delegado de Protección de Datos

El Reglamento Europeo de Protección de Datos contempla fundamentalmente tres situaciones en las que se precisa un Delegado de Protección de Datos:

  • Tratamientos de datos por Autoridad u Organismo Público
  • Tratamientos de datos a gran escala
  • Tratamientos de datos a gran escala de datos sensibles.
La nueva LOPD concreta las entidades que deben contar con un DPD (Delegado de Protección de Datos), entre otros:
  • Colegios profesionales
  • centros docentes que ofrezcan enseñanzas y Universidades públicas y privadas.
  • Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Entidades de crédito.
  • Entidades aseguradoras y reaseguradoras.
  • Empresas de servicios de inversión.
  • Centros sanitarios.
  • Operadores de apuestas en internet.
  • Compañías de marketing conductual (“behavioral marketing”).
  • Quienes ejerzan actividades de seguridad privada.

En todo caso, está previsto en la nueva LOPD que la Agencia Española de Protección de Datos mantenga accesible por medios electrónicos una lista actualizada de estos delegados.

Además, se prevé la posibilidad de que un afectado antes de interponer una reclamación ante la Agencia Española de Protección de Datos (AEPD), se dirija frente al Delegado de Protección de Datos (DPD) de la entidad.

Consentimiento expreso en la nueva LOPD

El consentimiento del usuario o afectado para el tratamiento de datos debe proceder de una clara acción afirmativa de éste, se excluye, por tanto, lo que se conocía como “consentimiento tácito”. Por otro lado, serán válidos los consentimientos recabados con anterioridad al 25 de mayo, si respetan las condiciones del Reglamento Europeo.

La nueva LOPD intenta ampliar el Reglamento Europeo

Consentimientos prestados por menores

Para el tratamiento de datos de menores (Por ejemplo: crearse una cuenta en una red social), el Reglamento Europeo prevé una edad mínima de 16 años, por debajo de la cual los menores deberán prestar el consentimiento a través de sus tutores legales. Sin embargo, este Reglamento prevé una excepción, es decir, permite que los Estados de la Unión Europea puedan establecer una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

En este caso, la nueva LOPD permite que los menores de más de 13 años puedan prestar un consentimiento válido para el tratamiento de sus datos.

Transparencia e información a los usuarios en la LOPD

La nueva Ley Orgánica de Protección de Datos contempla el deber de información al usuario en el caso de obtención de datos a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información. En todo caso, se debe indicar al usuario la identidad del responsable del tratamiento, la finalidad, y el modo en que puede ejercer los derechos de acceso, rectificación, supresión, limitación y portabilidad.

Derechos de los usuarios o interesados en la nueva Ley Orgánica de Protección de Datos

Anteriormente denominados “Derechos Arco”, la nueva normativa los contempla como derechos de acceso, rectificación, oposición, supresión (anteriormente, cancelación) y portabilidad.

Registro de actividades y bloqueo de datos en la LOPD

El registro de actividades es una exigencia del nuevo Reglamento Europeo de protección de datos, que viene a sustituir a la obligación de inscripción de ficheros en la Agencia Española de Protección de Datos (AEPD).

Sin embargo, la nueva Ley Orgánica de Protección de Datos contempla que las Autoridades y organismos públicos deberán hacer público un inventario de sus actividades de tratamiento y ésta deberá ser accesible por medios electrónicos para los terceros.

El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión, además, deberán quedar a disposición de las Autoridades competentes (Por ejemplo, la Agencia Española de Protección de Datos).

El bloqueo de datos viene recogido en la nueva LOPD

Tratamiento de datos en la nueva LOPD

Tratamiento de datos de contacto y de empresarios individuales

En la anterior Ley Orgánica de Protección de Datos de 1999, concretamente en su reglamento de desarrollo nº 1720/2017, se contemplaba una exclusión de los datos de contacto de personas jurídicas y empresarios individuales. En el Reglamento Europeo no se contempla tal exclusión, sin embargo, la nueva Ley Orgánica de Protección de Datos en su artículo 19.1 permite un tratamiento de estos datos, sin necesidad del consentimiento del interesado, en base al interés legítimo.

Tratamientos de datos con fines de videovigilancia

La nueva Ley Orgánica de Protección de Datos contempla que en los sistemas de videovigilancia sólo podrán almacenar las imágenes durante un plazo máximo de un mes, excepto sean necesarias para acreditar infracciones. Asimismo, se contempla que no se podrá grabar más allá de la vía pública imprescidible para garantizar la seguridad (Ej: grabación de las entradas) con la única excepción de que fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte.

 Lista Robinson

En la nueva Ley Orgánica de Protección de Datos se contempla que será lícito el tratamiento de datos de carácter personal que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas. (Ej: no recibir Spam).

Acceso a datos en Internet de personas fallecidas según la nueva LOPD

En esta nueva ley se contempla que los herederos o representantes legales puedan dirigirse a los prestadores de servicios de la sociedad de la información (Ej: una red social), para decidir sobre el destino o la supresión de dichos datos del fallecido.

 Por último, por motivos de tiempos parlamentarios, presumiblemente esta nueva Ley Orgánica de Protección de Datos será aprobada con posterioridad a la aplicación del Reglamento Europeo, es decir, con posterioridad al 25 de mayo de 2018, por lo que deberemos cumplir estrictamente lo dispuesto en el Reglamento, aunque esta nueva normativa nos puede servir actualmente para concretar los criterios que seguirá la Agencia Española de Protección de Datos.

José Nogueira

Abogado

Sistemius

 

 

evaluacion impacto privacidad

Evaluación de Impacto en la Privacidad

¿Qué es una evaluación de impacto en la privacidad?

Según las recientes Guías publicadas por la Agencia Española de Protección de Datos (AEPD), La Evaluación de Impacto en la Privacidad (“Privacy Impact Assessment”) es una herramienta  que debe realizar el responsable del tratamiento, de forma previa a dicho tratamiento, para poder identificar, evaluar y gestionar los riesgos a los que están sometidos sus actividades de tratamiento con la finalidad de garantizar los derechos y libertades de las personas físicas. Esta evaluación previa, permite establecer las medidas de control adecuadas.

 

¿Qué elementos debe incluir una Evaluación de impacto en la privacidad?

La evaluación de impacto en la privacidad debe incluir:

  • La descripción de la actividad de tratamiento prevista
  • La evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
  • Una correcta evaluación de los riesgos.
  • Las medidas de seguridad para afrontar los riesgos y mecanismos que garanticen la protección de datos personales.

 

Etapas o fases de una Evaluación de Impacto en la privacidad

 

  • Descripción del ciclo de vida de los datos: identificación de los datos tratados, intervinientes, terceros, sistemas implicados y elementos relevantes.
  • Análisis de la necesidad y proporcionalidad del tratamiento que se pretende llevar a cabo.
  • Identificación de amenazas y riesgos en los tratamientos de datos.
  • Evaluación y tratamiento de los riesgos y su probabilidad de que aparezcan.
  • Plan de acción y conclusiones, incluyendo donde se documente el resultado obtenido junto con las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas.

 

¿Quién debe realizarla?

Corresponde al responsable del tratamiento realizar una Evaluación de Impacto en la Privacidad cuando corresponda, ello no obsta a que sea el Delegado de Protección de Datos (DPO), quien le asesore en esta materia, lo que, en palabras de la propia Agencia Española de Protección de Datos (AEPD), supone “un valor añadido en el desarrollo de una Evaluación de Impacto en la Privacidad aportando garantías para los derechos y libertades de los interesados”.

 

Ejemplos de amenazas por la no realización de una adecuada evaluación de impacto en la privacidad:
    • Pérdidas económicas y daños reputacionales derivados del incumplimiento de la legislación sobre protección de datos personales.
    • Pérdida de competitividad del producto o servicio derivada de los daños reputacionales causados por una deficiente gestión de la privacidad.
    • Incorporación tardía de del Delegado de protección de datos (DPO) al proyecto o definición deficiente de sus funciones y competencias.

 

 

José Nogueira

Abogado

Sistemius

Chatbot

Chatbot: implicaciones legales

CHATBOT: Implicaciones legales

¿Qué es un chatbot?

Un chatbot es la Interacción en tiempo real entre un usuario bot o programa informático con usuarios personas, sobre la base de una serie de respuestas prefijadas de preguntas frecuentes, o bien una automatización en base a algoritmos.
Entre sus características se encuentran:

• la inmediatez de respuesta
• la capacidad de atención simultánea a los usuarios o clientes
24×7: la capacidad de estar permanentemente operativo
• el ahorro de tiempo empresarial para la respuesta a preguntas frecuentes de los usuarios

¿En qué áreas o departamentos se están aplicando?

Fundamentalmente:

• Atención al cliente
• Captación de oportunidades de negocio
• Soporte técnico y web
• Información al usuario e imagen de marca

¿Qué implicaciones legales tienen?

Protección de datos:

En cuanto a la privacidad, el nuevo Reglamento Europeo de Protección de Datos, obliga a obtener el consentimiento expreso del usuario para el tratamiento de sus datos, por tanto, es altamente recomendable que, antes de iniciar la conversación con el chatbot en la que el usuario seguramente suministre algunos datos personales, acepte y se le informe de la política de privacidad al mismo. En cuestiones como la posibilidad de ejercer sus derechos ARCO (acceso, cancelación, oposición y rectificación) o la portabilidad de sus datos, o sobre la titularidad del responsable del tratamiento, ya que, en muchas ocasiones, es frecuente que el servicio de chatbot sea prestado por una tercera compañía, por lo que se deberá determinar la relación existente entre el responsable del tratamiento y ésta tercera compañía, bien sea una cesión de datos o un contrato de encargado de tratamiento. Así como, la realización de la necesaria evaluación de impacto en la privacidad, ya que, con frecuencia, estos datos recabados por “chatbots” pueden servir para el establecimiento de perfiles de usuarios, el conocido como “profiling”.

Propiedad Intelectual:

El desarrollo de los chatbots, como programas informáticos o “software”, son susceptibles de ser protegidos mediante los derechos de propiedad intelectual. Tanto la protección a sus autores, por los derechos morales correspondientes (por ejemplo, el derecho de paternidad); como por quienes realicen el uso comercial de los mismos, mediante su protección por los derechos de explotación (reproducción, comunicación pública, distribución y transformación).

Por su parte, pueden utilizarse varias vías de protección de estos desarrollos de software, por ejemplo, mediante, entre otros:

• La inscripción el Registro de la Propiedad Intelectual,
• La formalización de un contrato de “escrow”, habitualmente, cuando éste desarrollo es encargado a terceras empresas; o
• Las licencias “copyleft” (Por ejemplo, las conocidas “Creative Commons”).

Otras implicaciones legales:
Por su parte, los chatbots pueden tener otras implicaciones legales como, por ejemplo, una eventual responsabilidad extracontractual por daños en el caso de proporcionar una información falsa que cause un perjuicio o daño en el usuario (Imaginemos un chatbot de una compañía aérea que informa de un retraso ficticio en un vuelo a un usuario). Asimismo, también es necesario identificar la titularidad del responsable de estos chatbots en el ámbito de internet, en cumplimiento de la Ley de Servicios de Sociedad de la Información (LSSI).

José Nogueira
Abogado
Sistemius

Delegado de protección de datos

Delegado de Protección de Datos (DPO)

Delegado de Protección de Datos (DPO)

El Delegado de Protección de Datos, o más conocido como DPO (Data Protection Officer), es una nueva figura introducida en el Reglamento Europeo General de Protección de Datos (RGPD) que será directamente aplicable en toda la Unión Europea y, por consiguiente, España, a partir del 25 de mayo de este 2018.

El Delegado de Protección de Datos (DPO), es una figura que puede ser tanto interna o externa en las empresas y Administraciones Públicas y que se encarga, entre otras cuestiones, de:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento. Es decir, todo lo relativo a la formación en protección de datos, así como el atendimiento a las consultas planteadas.
  • Supervisar el cumplimiento de la normativa de protección de datos en las empresas y Administraciones Públicas en las que preste sus servicios.
  • Supervisar la asignación de responsabilidades y realizar las auditorías correspondientes.
  • Asesorar sobre las Evaluaciones de Impacto en la privacidad (“PIAs” – “Privacy Impact Assessment”), así como asesorar en lo referente a la privacidad desde el diseño (“Privacy by Design”) y en la privacidad por defecto (“Privacy by Default”), en los productos y servicios.
  • Cooperar con la Agencia Española de Protección de Datos (AEPD) y servir como intermediario o punto de contacto entre la empresa o Administración para la cual preste sus servicios, y la propia Agencia (AEPD).

 

Por su parte, el Delegado de Protección de Datos es obligatorio en todos los siguientes casos:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los juzgados y tribunales. (Es decir, obligatorio para el sector público)
  • Cuando la actividad económica principal del responsable o del encargado consista en el tratamiento de datos a gran escala que, por su naturaleza, alcance y/o fines necesiten una vigilancia habitual y sistemática. (En este supuesto podríamos incorporar los tratamientos de “IoT- Internet de las Cosas”, “Big Data”, o aquellos tratamientos de que consistan en la creación de perfiles comportamentales de los usuarios o “profilling”, por ejemplo).
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales. (En este supuesto podríamos incorporar los tratamientos de carácter sensible relativos al sector salud, por ejemplo).

 

En estos casos, se debe notificar la existencia del Delegado de Protección de Datos (DPO) a la Agencia de Protección de datos (AEPD), y también se deben publicar sus datos de contacto, para su conocimiento por terceros.

Además, el Delegado de Protección de Datos (DPO) debe poseer una serie de competencias o cualidades cualidades profesionales y, en particular, conocimientos especializados del Derecho y la práctica en materia de protección de datos, como así lo indica el artículo 37.5 del Reglamento Europeo de Protección de Datos.

 

Desde Sistemius nos ponemos a vuestra disposición para facilitaros cualquier información o cuestión adicional al respecto, así como para asesoraros en esta materia.

 

José Nogueira

Abogado

Sistemius

UNE 19601

UNE 19601 – Compliance Officer

 

UNE 19601.

La norma UNE 19601 es el estándar en España en materia de Compliance Penal que define cómo se deben gestionar los distintos procedimientos y protocolos internos de las personas jurídicas para conformar un verdadero Sistema de Gestión de Compliance Penal, y así, llegado el caso, poder exonerar o atenuar la responsabilidad penal de la persona jurídica, por violación de dichos procedimientos y protolocos por personal propio o por terceros. Esta norma se publicó por AENOR (Asociación Española de Normalización y Certificación) en mayo de 2017.

La norma UNE 19601 tiene su origen en la norma ISO 19600, que es el estándar internacional. Sin embargo, la norma ISO 19600 no es certificable como tal, ya que se compone únicamente de recomendaciones; a diferencia de la norma UNE 19601 que sí es certificable.

La norma UNE 19601 es certificable por entidades que hayan sido acreditadas, con carácter previo, por ENAC (Entidad Nacional de Acreditación; que es el único organismo nacional de acreditación, según el Reglamento Europeo nº765/2008.

Por tanto, si una persona jurídica cumple con lo dispuesto en la norma UNE 19601 se presume “iuris tantum”, es decir, cabe prueba en contra; que la persona jurídica cuenta con los protocolos y procedimientos precisos para una eventual exoneración o atenuación de delitos cometidos en el seno de la misma. Asimismo, la circular 1/2016 de la Fiscalía General del Estado la considera estas certificaciones sobre la idoneidad del modelo como “un elemento adicional más de su observancia”.

El contenido mínimo que una persona jurídica ha de cumplir para poder gozar de la certificación de la UNE 19601 es el siguiente:

a) Alcance en la persona jurídica del sistema de gestión del Compliance Penal. (Es decir, si afecta a toda o a algunas de las áreas o departamentos).

b) Definición de la política de Compliance Penal. (Es decir, concreción de los principales rasgos de la política de Compliance).

c) Procedimientos para la delegación de facultades. (En aquellos casos en los que exista riesgo penal).

d) Identificación, análisis y evaluación de los riesgos penales o “mapa de riesgos penales” (Así como, la metodología y criterio utilizados).

e) Objetivos del Compliance Penal (Es decir, la tolerancia cero de la organización respecto de los riesgos penales).

f) Estándar común y publicado que la persona jurídica se compromete a cumplir (Es decir, lo que se conoce como “Código Ético”).

g) Nivel de competencia y conocimientos del Compliance Officer.

h) Procedimientos para la diligencia debida con los miembros de la organización. (Por ejemplo, obtención de referencias y opiniones acerca de las incorporaciones de personal).

i) Información sobre la formación y mejora del conocimiento en Compliance del personal de la persona jurídica.

j) Información necesaria para la eficacia del Compliance Penal.

k) Información externa de relevancia para el cumplimiento del sistema de gestión de compliance penal.

l) Información sobre las evidencias de los procedimientos y protocolos implantados.

m) Procedimientos para filiales y entidades bajo control.

n) Procedimientos para incumplimientos e irregularidades

o) Informes de prevención y resultados del seguimiento realizado a las políticas.

p) Resultados de las auditorías realizadas

q) Resultados de las correspondientes revisiones realizadas por el Compliance Officer, alta dirección y órgano de gobierno.

Desde Sistemius recomendamos a las empresas la obtención de la certificación en la norma UNE 19601, como complemento a la previa implantación de un sistema de gestión de Compliance Penal tutelado por un Compliance Officer.

José Nogueira
Abogado
Sistemius

Canon Digital

El nuevo Canon Digital

El Real Decreto-ley 12/2017, de 3 de julio, aprobado por el Gobierno, viene a modificar el texto refundido de la Ley de Propiedad Intelectual en lo referente al sistema de compensación equitativa por copia privada, también conocido como canon digital. Lo primero que debemos saber es:

¿Qué es el canon digital?

Se trata de una tasa que se aplica sobre el precio de cualquier soporte que sea susceptible de almacenar, reproducir o producir copias de vídeos, archivos de música o imágenes.

Este canon trata de compensar a los autores por las posibles copias privadas que se realicen de sus obras. Lo cierto es que la Ley de Propiedad Intelectual, reconoce a los autores el derecho a percibir una compensación económica  por las copias privadas, si bien es evidente imposibilidad de tener conocimiento de todas las copias privadas que realizan los usuarios de las obras sujetas al derecho de propiedad intelectual de su autor.

Es por ello que esta modificación busca que los fabricantes de los dispositivos que permitan almacenar, reproducir o producir copias de vídeos, archivos de música o imágenes, compensen a los autores por este lucro cesante derivado de la existencia de las copias privadas. No obstante, parece evidente, que el principal perjudicado es el consumidor, puesto que el canon tendrá como consecuencia la consecuente subida del precio del producto susceptible de ser gravado por el canon.

¿Qué había antes?

Lo primero que debemos saber es que este canon digital no es una invención reciente. El canon digital se implantó en España a partir de 1996, sobre soportes analógicos como casetes o cintas VHS. El tema volvió a ser polémico con el aumento de los soportes digitales, por lo que en 2006, se realiza una reforma con el fin de actualizar los dispositivos y soportes susceptibles de ser gravados con el canon.

Dicha reforma, que fijaba una tarifa que iba desde los 17 céntimos de euro hasta los 1,1€, y que incluía nuevos soportes (CD, DVD, dispositivos USB, reproductores MP3, móviles, discos duros externos, etc.) se mantuvo vigente hasta 2011, cuando fue declarada nula por la Audiencia Nacional.

En 2012, se sustituye el sistema del canon por un nuevo sistema de compensación con cargo a los Presupuestos Generales del Estado, que fue tumbado  por el Tribunal Supremo y el Tribunal de Justicia Europeo, motivo por el que se vuelve de nuevo a gravar los equipos o soportes susceptibles de copiar o albergar una copia de una obra protegida.

¿Cuáles son las principales diferencias?

Las principales diferencias entre la nueva regulación del canon digital y sus precedentes son:

  • Los acreedores del canon. Son considerados deudores del canon los distribuidores y “fabricantes en España de equipos, aparatos y soportes materiales de reproducción”. Si bien es cierto que finalmente desembolsarán el importe correspondiente los consumidores como consecuencia del aumento de los precios derivados del incremento de los gastos que se derivan del pago del canon. Por este motivo la norma establece que los fabricantes y distribuidores “deberán repercutir el importe de la compensación de forma separada en la factura que entreguen a su cliente” e indicar, en el caso en el que el cliente sea consumidor final, su derecho a obtener el reembolso si cumple los requisitos contemplados en las excepciones.
  • Gestión. Para gestionar la facturación del canon deberán constituir en el plazo de tres meses una persona jurídica, responsable de gestionar los pagos del canon (lista de los productos sujetos a pago, facturas, pagos, reembolsos a consumidores, etc.).
  • Excepciones. No estarán sujetas al pago del canon las copias realizadas por las Administraciones públicas y las empresas o profesionales (siempre que justifiquen el destino exclusivamente profesional de los equipos o soportes).
  • Listado de soportes y tarifas. El decreto-ley recoge un listado de equipos, soportes y materiales de reproducción, y las cuantías económicas con las que se deberán abonar a los autores. No obstante este listado no se trata de un numerus clausus, ya que el Real-Decreto hace mención a un posterior desarrollo reglamentario.

De cara al futuro

Esta nueva regulación algo menos concreta que la anterior, deja la puerta abierta a la regulación mediante reglamento de nuevos medios o soportes sujetos al pago del canon. Por ello cabe la posibilidad de que este nuevo reglamento incluya nuevos medios capaces de distribuir, almacenar y acceder a obras sujetas a derechos de autor tales como las televisiones o las plataformas de streaming.

Ana Cancio
Sistemius

medio digital

Valor probatorio del material digital

¿Es posible presentar material digital como prueba en juicio?

Sí, entre otros, el art. 382 de la LEC, reconoce el valor probatorio de los medios que permiten la reproducción de la palabra, el sonido y la imagen y de los instrumentos que permiten archivar y conocer datos relevantes para el juicio.

Por regla general, es recomendable la transcripción de las palabras contenidas en dicho tipo de instrumentos y a ser posible la aportación de dictámenes y medios de prueba instrumentales que puedan ser de utilidad. Cabe destacar, que según la LEC, se aceptan tanto originales como copias de los documentos o materiales aportados.

Impugnación

Si bien es cierto que la LEC, reconoce la plena validez probatoria de los documentos privados (art. 326), también es  cierto que estos son susceptibles de ser cuestionados por la parte contraria. Cualquier persona que se vea perjudicada por una prueba, puede impugnar su autenticidad.

Si se produjese dicha impugnación, la parte que haya presentado dicha prueba, podrá pedir el cotejo pericial de letras o proponer cualquier otro medio de prueba que resulte útil y pertinente al efecto. Si esto no fuera suficiente para asegurar la autenticidad de la prueba, el tribunal lo valorará conforme a las reglas de la sana crítica.

En cualquier caso, el art. 268.3 de la LEC, exige que cuando se quiera aportar un documento privado que se encuentre en un expediente, protocolo o archivo público, habrá de aportarse copia auténtica o en su caso, habrá de designarse el archivo, protocolo o registro correspondiente. Esto nos lleva, a que frente a comunicaciones electrónicas o material digital, que por su propia naturaleza no sean susceptibles de ser aportadas en su soporte original, el elemento o equipo donde se encuentra, es conveniente facilitar aquellos datos que permitan su identificación ante el eventual análisis derivado de una impugnación.

La aportación a un procedimiento de un correo electrónico o de cualquier otro tipo de material digital, puede dar lugar en muchos casos a la impugnación de su autenticidad. Pongamos por caso, la generación de una comunicación electrónica inexistente que se imprime y se presenta como prueba de una comunicación mantenida entre las partes.

Ilicitud de la prueba

Otro supuesto frecuente es el de la obtención de una comunicación electrónica o de material digital violando derechos fundamentales, lo que dará lugar a la ilicitud de la prueba, tal como expresa el art. 287 de la LEC:

“1. Cuando alguna de las partes entendiera que en la obtención u origen de alguna prueba admitida se han vulnerado derechos fundamentales habrá de alegarlo de inmediato, con traslado, en su caso, a las demás partes.

Sobre esta cuestión, que también podrá ser suscitada de oficio por el tribunal, se resolverá en el acto del juicio o, si se tratase de juicios verbales, al comienzo de la vista, antes de que dé comienzo la práctica de la prueba. A tal efecto, se oirá a las partes y, en su caso, se practicarán las pruebas pertinentes y útiles que se propongan en el acto sobre el concreto extremo de la referida ilicitud.”

Debemos preguntarnos en qué casos se considera que existe una vulneración de los derechos fundamentales. Para ello cabe acudir a la ley Orgánica 1/1982 de 5 de mayo, sobre protección del derecho al honor, a la intimida personal y familiar y a la propia imagen. Según dicha norma, podrán considerarse como intromisiones ilegítimas en el ámbito de protección de estos derechos, y en relación al material digital, las siguientes:

  • El emplazamiento en cualquier lugar de aparatos de escucha, de filmación, de dispositivos ópticos o de cualquier otro medio apto para grabar o reproducir la vida íntima de las personas.
  • La utilización de aparatos de escucha, dispositivos ópticos, o de cualquier otro medio para el conocimiento de la vida íntima de las personas o de manifestaciones o cartas privadas no destinadas a quien haga uso de tales medios, así como su grabación, registro o reproducción.
  • La divulgación de hechos relativos a la vida privada de una persona o familia que afecten a su reputación y buen nombre, así como la revelación o publicación del contenido de cartas, memorias u otros escritos personales de carácter íntimo.
  • La captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos. No obstante, según el art. Octavo de la ya mencionada Ley Orgánica 1/1982, el derecho a la propia imagen no impedirá:

  1. Su captación, reproducción o publicación por cualquier medio cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
  2. La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
  3. La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

Las excepciones contempladas en los párrafos a) y b) no serán de aplicación respecto de las autoridades o personas que desempeñen funciones que por su naturaleza necesiten el anonimato de la persona que las ejerza.

En el caso de la confidencialidad, la jurisprudencia entiende, que una vez que un documento ha sido enviado, ya no le pertenece al emisor en tanto que los transmite o dirige a un receptor y, por tanto, una vez finalizada la comunicación en sí misma, no hay secreto de comunicaciones. De lo anterior, no debe interpretarse que el receptor de una comunicación, cuyo contenido afecte a su derecho a la intimidad, al honor y a la buena imagen del emisor, pueda disponer como le plazca de dicho contenido.

Distinto es el caso de la intervención de las comunicaciones, en el que una persona accede al contenido de los correos electrónicos de un otra sin su consentimiento.

¿Cómo aportar a juicio el material digital?

El material digital debe aportarse preferiblemente en su formato original, que será el soporte digital, así como aquellos datos que sean necesarios para la efectiva identificación del dispositivo en el que se originó dicho material digital.

Cabe mencionar, que es posible obtener una certificación electrónica por medio de un prestador de servicios de certificación, del material digital, como por ejemplo de e-mails, whatsapp, SMS, etc. También resulta aconsejable acudir a la protocolización notarial y al dictamen pericial informático.

Para resumir, hay que aportar la prueba en soporte documental impreso si es posible, además del soporte digital correspondiente, y junto a ello, es conveniente acompañar también, tanto al soporte original del material digital, como al propio material digital de evidencias que garanticen una justa valoración de la prueba.

Ana Cancio

Sistemius

aviso legal

El aviso legal en las páginas web

¿Qué son el aviso legal y  las CGUC?

El Aviso Legal, es un documento que contiene aquellas cuestiones legales que deben ser tenidas en cuenta por el usuario o comprador, tales como el aviso de cookies (que suele estar en documento separado), la normativa de protección de datos o cualquier otra información legal que afecte o pueda interesar a cualquier usuario del sitio Web, independientemente de que vaya a usar el sitio Web con la finalidad de adquirir un producto o no.

En las Condiciones Generales de Uso y Contratación, se contienen también una serie de cuestiones legales, pero en esta ocasión, estas cuestiones contempladas servirán para establecer las reglas por las que se va a regir tanto el contrato que vincule al comprador y al vendedor como las características de la relación que existe entre el usuario y el responsable del sitio web. Las CGUC, vincularán de una parte a la empresa responsable del sitio Web y de otra parte al usuario o adquirente de los bienes o servicios ofertados a través del Sitio Web.

En muchas ocasiones el Aviso Legal no se encuentra de una manera independiente en la página web, si no que se integra dentro de las Condiciones Generales de Uso y Contratación

¿Qué debe contener el aviso legal?

La LSSI, dispone que los prestadores de servicios de la sociedad de la información deberán facilitar al usuario una serie de informaciones, que veremos a continuación. Por ello, debemos preguntarnos quiénes son considerados prestadores de servicios.

Serán considerados prestadores de servicios, aquellos que lleven a cabo una actividad económica organizada a través de Internet. Hay que señalar, que en muchos casos, se difunden y suministran contenidos a través de la red sin que exista ánimo de lucro y por tanto sin que puedan ser considerados como prestadores. En cualquier caso se entenderán como prestadores:

  • Quienes comercialicen bienes, servicios o contenidos web a través de su sitio web.
  • Quienes obtengan ingresos de la publicidad.
  • Quienes recaban datos de los usuarios con fines de obtener un rendimiento económico (Facebook).
  • Quienes dispongan de un sistema de afiliación del que obtengan un beneficio económico.

La LSSI establece en el art. 10 que el prestador de servicios de la sociedad de la información estará obligado a disponer de los medios que permitan, tanto a los destinatarios del servicio como a los órganos competentes, acceder por medios electrónicos, de forma permanente, fácil, directa y gratuita, a una información determinada, que es la siguiente:

  • Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.
  • Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
  • En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
  • Si ejerce una profesión regulada deberá indicar:
  1. Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
  2. El título académico oficial o profesional con el que cuente.
  • El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
  1. Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
  • El número de identificación fiscal que le corresponda.
  • Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío.
  • Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

Existen también determinadas obligaciones específicas, como puede ser la información referente a la seguridad, que deben administrar entre otros, los proveedores de servicios de intermediación establecidos en España o los proveedores de servicios de acceso a Internet y los prestadores de servicios de correo electrónico o de servicios similares.

¿Por qué es importante tenerlas?

Tanto la LSSI como la LDCU recogen la obligación de que el consumidor o usuario tenga acceso de manera permanente y gratuita a las condiciones generales de uso y contratación y a una serie de información acerca de la empresa, los productos, etc.

Además del imperativo legal de recoger una serie de informaciones que sirvan para orientar al usuario o comprador y para vincular a las partes cuando exista una relación mercantil entre ellos, la inclusión de un Aviso Legal y Condiciones Generales de Uso y Contratación aumenta el nivel de seguridad y de confianza de los usuarios, ya que se sienten más protegidos ante una posible vulneración de sus derechos.

Ana Cancio
Sistemius