Jornada sobre derecho informático y de las telecomunicaciones

El pasado 25 de Enero de 2013, en la Facultad de Derecho de la Universidad de Valencia, asistimos a una interesante jordana, organizada por la Agencia Española de Protección de Datos (AEPD), la Universidad de Valencia, el Ilustre Colegio de Abogados de Valencia y la Asociación Profesional Española de Privacidad, a la que asistimos numerosos abogados, catedráticos y profesionales de la privacidad y la protección de datos.

Aunque la jornada tenia forma de mesa redonda y participativa, D. Jesús Rubí Navarrete (Adjunto al Director de la AEPD), fue el encargado de informarnos sobre los diferentes aspectos que generara el cambio en el Reglamento Comunitario de Privacidad, entre los que podemos destacar:

Necesidad de realizar un consentimiento afirmativo, no siendo posible el consentimiento tácito, que se utiliza actualmente en muchos casos.

Una mejora de los protocolos de control de los menores, conforme al estado de la tecnología,.

La portabilidad de nuestros datos, similar a lo que sucede con los encargados de tratamiento, pero también para los encargados de fichero.

La "Acountability" o rendición de cuentas, lo que obligara a implantar medidas para verificar que se cumple con la legislación, de forma similar al Compliance Jurídico que ya realizan empresas en el nuevo ámbito penal de las personas jurídicas.

La "Privacy by Design", que obliga a diseñar y documentar los sistemas de protección de datos, antes de su inicio, siendo necesario en algunos casos, el análisis de impacto y riesgos posibles, con una autorización especifica.

Los procedimientos de comunicación de brechas de seguridad, tanto al regulador, como a los usuarios, cuestión ya establecida en la nueva normativa de la Ley General de Telecomunicaciones, que se introdujo mediante el Real Decreto 13/2012.

O la obligación de disponer de un Delegado de Protección de Datos, en ciertas empresas o administraciones públicas, con más de 250 ó 500 trabajadores (se esta debatiendo el numero de trabajadores.

Uno de los puntos más controvertidos, sigue siendo la obligación de las empresas multinacionales a rendir cuentas a la Agencia de Protección de Datos del país donde operan o donde tengan su sede principal.

www.bono-che.es

Derecho de Oposición a publicación en el BOE

Los apartados 4 y 5 del artículo 59 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo, LRJPAC), dispone:

“4. Cuando el interesado o su representante rechace la notificación de una actuación administrativa, se hará constar en el expediente, especificándose las circunstancias del intento de notificación, y se tendrá por efectuado el trámite siguiéndose el procedimiento.

5. Cuando los interesados en un procedimiento sean desconocidos, se ignore el lugar de la notificación o el medio a que se refiere el punto 1 de este artículo, o bien, intentada la notificación, no se hubiese podido practicar, la notificación se hará por medio de anuncios en el tablón de edictos del Ayuntamiento en su último domicilio, en el «Boletín Oficial del Estado», de la Comunidad Autónoma o de la Provincia, según cuál sea la Administración de la que proceda el acto a notificar, y el ámbito territorial del órgano que lo dictó.
En el caso de que el último domicilio conocido radicara en un país extranjero, la notificación se efectuará mediante su publicación en el tablón de anuncios del Consulado o Sección Consular de la Embajada correspondiente.
Las Administraciones públicas podrán establecer otras formas de notificación complementarias a través de los restantes medios de difusión, que no excluirán la obligación de notificar conforme a los dos párrafos anteriores.”

Por lo tanto, es muy habitual que determinadas sanciones, como las multas de tráfico o incluso algunas sentencias o resoluciones, sean publicadas en el Boletín Oficial del Estado (BOE) o el Boletín Oficial de la Provincia (BOP).

Recientemente, un ciudadano ha solicitado el ejercicio de su derecho de Oposición, que ha sido rechazado por el BOE, lo que le ha llevado a presentar un procedimiento de tutela de derechos ante la Agencia Española de Protección de Datos (AEPD), que también ha sido desestimado.

Hay que recordar que el BOE y demás Boletines Oficiales, tienen la consideración de Sitio Publico a los efectos de la LOPD.

www.bono-che.es

 

Bono-Che y Abogados Edo les desean....

Facebook pide perdón

En las últimas semanas, la red social Facebook, ha tenido que pedir perdón en dos ocasiones.

La primera fue al introducir su servicio de correo electrónico, @facebook.com, que pretende competir con otros gigantes mundiales, pero realizo un cambio automático en los usuarios de su red social, sin solicitar autorización para ello.

El segundo, algo anterior, cuando producto de una actualización se dejaron como públicos gran número de mensajes privados de sus usuarios. La empresa ha indicado que se corresponden con mensajes privados muy antiguos, que anteriormente eran visibles en los perfiles de estos usuarios.

Esta gran empresa, que cotiza en la bolsa, parece que no tiene en cuenta la privacidad y la protección de datos de sus usuarios de la forma correcta. Aunque si han realizado avances en este sentido, no parecen los suficientes o al menos, no parece que sea una de sus prioridades.

Recomendamos que antes de solicitar el alta en cualquier servicio gratuito, se lea atentamente las políticas de privacidad, el aviso legal y las condiciones de uso del servicio, que no siempre cumplen con la normativa de protección de datos, sobre todo en el caso de que lo utilicemos para nuestra actividad económica. Si el servicio es gratuito, normalmente, se basa en la utilización de nuestros datos personales para la venta de publicidad.

www.bono-che.es

Phishing o suplantación

Cada día es más frecuente recibir correos electrónicos, en los que nuestra entidad financiera, nuestra empresa de seguros o cualquier proveedor, nos solicita verificar nuestros datos.

Muchos de estos correos, son "Phishing", es decir, suplantaciones con la apariencia de los correos o web utilizados por nuestros proveedores, pero con el objetivo malicioso de captar nuestros datos, bien sean nuestros números de cuenta, nuestras claves de acceso, etc. Incluso mediante mensajes a nuestros teléfonos o dispositivos móviles, donde solemos recibir los mensajes habituales del banco, por ejemplo al realizar un pago con nuestra tarjeta, lo que da una apariencia de legalidad.

Estos mensajes o correos, siempre tienen una apariencia similar a los auténticos correos enviados por muchas empresas, incluso, si intentamos entrar, se nos redirige a una página, que parece ser la habitual de la empresa.

Si podemos llegar a detectarlos, por la dirección URL de la pagina o del correo y principalmente, por no usar direcciones seguras en la mayoría de los casos, es decir empiezan por http:\\ y no por https:\\

Pero en cualquier caso y como se está avisando en muchas páginas de entidades financieras, ellos nunca solicitan datos de los que ya disponen y menos las claves de acceso mediante correos electrónicos o mensajes.

En caso de duda, le recomendamos que hable personalmente con su entidad o empresa proveedora que le haya hecho llegar el correo o mensaje, antes de facilitar ningún dato.

www.bono-che.es

Memoria del año 2011 de la AEPD

El pasado 25 de septiembre, la Agencia Española de Protección de Datos (AEPD), de la mano de su Director D. José Luis Rodríguez Álvarez, presento la memoria del año 2011, encontrándose a disposición de los interesados en su web.

Nos gustaría empezar por analizar el importe de sanciones impuestas en este año, que suman 19.597.905,97 €, para un presupuesto de la Agencia de 14.437.970,00 €, con lo que se cubre, sobradamente el presupuesto, gracias a las sanaciones impuestas.

También reseñar el aumento de denuncias presentadas por los ciudadanos, que crecen un 51.6% respecto del año anterior. Así como el número de consultas (134.635) que crece un 28.4%. De las cuales el 50,35% son sobre Cancelación y el 27,85% sobre Oposición. Lo que demuestra el interés de los ciudadanos sobre el uso de sus datos personales y principalmente como cancelar sus datos u oponerse a su tratamiento. En este aspecto, señalar que la lista Robinson de Adigital cuenta con 1.208.974 usuarios inscritos, que no quieren recibir información comercial, lista que hay que verificar previo al envío de cualquier comunicación.

Las provincias con más denuncias, según la provincia del denunciante son Madrid, Barcelona, Valencia, Alicante y A Coruña.

Se hace referencia a numerosas sentencias, resoluciones, problemas presentes e incluso futuros, pero nos gustaría destacar los problemas con las medidas de seguridad, que pueden llegar a terminar en sanciones, como disponer de un código de usuario pero no de una clave, errores en los módulos de identificación y autenticación que permiten acceso sin usuario y clave, utilización de usuarios y claves por defecto, accesos a datos mediante modificación de parámetros de una URL o errores en la configuración de los servidores web. Esto debería hacer reflexionar a los programadores web o de aplicaciones, que en ocasiones no toman en cuenta la seguridad en la medida necesaria, causando prejuicios importantes a sus clientes. Recordar que la normativa europea, habla de la protección de datos desde el diseño y estas empresas deberían contar con especialistas en la materia.

Esta memoria enumera la participación de la Agencia en la numerosa legislación que ha sido tramitada o está en tramitación, siendo numerosas las leyes o reglamentos que hacen ya referencia a la Protección de Datos, marcando incluso obligaciones especificas, como en el caso de la legislación de Prevención del Blanqueo de Capitales y Financiación del Terrorismo.

www.bono-che.es

Informe Jurídico de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD), en su informe jurídico 2012-0119, sobre publicación en Internet de datos de los contratistas relativos a deudas de los Ayuntamientos, ha determinado que  la publicación en Internet de los datos contenidos en el denominado por la consultante “fichero de facturas” referidos a quienes no tengan la condición de personas jurídica o se refieran a comerciantes, industriales o navieros el ámbito exclusivo de su actividad empresarial, de forma que la información sea libremente accesible por cualquier persona implica una cesión de datos que no encuentra amparo, sin el consentimiento del interesado, ni en el artículo 11 de la Ley Orgánica 15/1999 ni en el artículo 7 f) de la Directiva 95/46/CE. De este modo, la inclusión de estos datos en Internet únicamente sería posible si el acceso quedase limitado al propio interesado mediante la inclusión previa de varios datos que sólo él pudiera, en principio, conocer.

El informe completo, se puede consultar en la web de la AEPD, pero a modo de resumen, vuelve a establecer la diferencia marcada por la diferente legislación, tanto nacional como europea, en cuanto a las personas jurídicas (a las que no es aplicable la legislación de Protección de Datos en su totalidad) y los datos de los administradores o de los profesionales, que no sean comerciantes, industriales o navieros (según la consideración del Código de Comercio), a quienes si es aplicable esta legislación.

Para evitar sorpresas, siempre es mejor establecer procedimientos de seguridad únicos, sin diferenciar las personas jurídicas, los empresarios o los profesionales, y tratando todos los datos, como si fueran datos personales sujetos a la legislación de Protección de Datos Personales.

www.bono-che.es