por Vicente | Ene 21, 2014 | PROTECCION DATOS
Hace muy poco me comentaba un cliente que le había visitado un comercial de una empresa de formación y le había hecho la siguiente oferta:
Si nos contrata un curso de nuestro catálogo, además de estar bonificado y salirle gratis, le REGALAMOS la LOPD.
Así que tuve que darle mi opinión:
– ¿Y no te regalaban una tablet? ¿ o una sombrilla de playa?. Te lo digo porque a otro cliente le regalaron una tablet como «medio didáctico», y a los quince días, la tablet no cargaba, y le duraba la batería menos de cinco minutos.
¿Era un Ipad o un Samsung? pues no. Era la tablet más barata del catálogo del chino más chungo. ¿De verdad piensas que el servicio de Protección de Datos que te van a prestar será mejor que esa tablet? Yo me jugaría algo a que no.
La diferencia es que una tablet chunga no perjudicará demasiado a tu empresa, pero una implantación de LOPD mal hecha te puede salir carísima.
Así que un consejo de amigo: Si buscas un curso de formación, vete a una academia seria, de esas que no necesitan regalar nada, porque imparten formación de calidad. Y si buscas la tranquilidad de tener una implantación de LOPD bien hecha, acude a un especialista en LOPD.
por Vicente | Nov 10, 2013 | AGPD, cookies
Las cookies son pequeños ficheros de texto que crea un sitio web en el terminal (PC, tablet, Smartphone…) y que sirven para distintas finalidades. Su uso está legislado y regulado dentro del artículo 22.2 de la LSSI (Ley de Servicios de la Sociedad de la Información) que establece claramente que
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Es decir, que la norma general es que el sitio web sólo puede grabar cookies en la terminal del usuario tras haber obtenido su consentimiento después de haberles facilitado información.
La Agencia Española de Protección de Datos ha elaborado una detallada guía de uso de cookies accesible desde este enlace: Guía Cookies AGPD
En dicha guía, recoge, además del contenido de la ley, el dictamen 4/2012 del Grupo de Trabajo del Artículo 29 de la Dirección General de Justicia de la Comisión Europea.
La conclusión es que es admisible que el sitio web cree ciertas cookies sin solicitar permiso del usuario. Pero sólo las denominadas cookies exentas, que son las siguientes:
– Cookies de entrada del usuario (por ejemplo las que conservan el carrito de la compra en una tienda online)
– Cookies de sesión de autenticación o identificación de usuario (Las que permiten identificar que el usuario está registrado y ha introducido correctamente la contraseña, para poder mostrarle los contenidos de su zona privada)
– Cookies de seguridad (por ejemplo las utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web).
– Cookies de personalización de la interfaz de usuario (Ej: las que permiten recordar la elección de idioma del usuario)
– Cookies de sesión de reproductor multimedia o para equilibrar la carga.
– Cookies de complemento (plug-in) para intercambiar contenidos sociales.
Para cualquier otra cookies, con cualquier otra finalidad ES NECESARIO QUE EL SITIO WEB SOLICITE PREVIAMENTE EL PERMISO DEL USUARIO.
Unas de las cookies más utilizadas en España (y en muchos otros países) son las cookies analíticas de Google. Pero estas cookies analíticas NO están dentro del grupo de cookies exentas y por tanto, es necesario obtener el permiso del usuario ANTES de grabarlas en su terminal.
Estas cookies analíticas de Google cubren una doble función:
– A través de la zona privada del propietario de la web, permiten obtener información del número de visitantes, del origen de los mismos, del navegador que utilizan, del tiempo que permanecen en cada página, ect. Por lo que resultan muy útiles para los propietarios de los sitios web.
– Para Google le dan información del comportamiento de los usuarios, lo que les permite afinar sus algoritmos publicitarios y obtener un mayor rendimiento económico de los anuncios que gestionan.
Pero el hecho de que Google, que controla información personal de muchísimos usuarios, tenga además información de sus hábitos de navegación, preferencias, etc , ha hecho saltar las alertas en materia de protección de datos.
De hecho, en la configuración por defecto del panel de Google Analytics, el propietario del sitio web comparte toda la información con Google, y salvo que se moleste en desactivar esta característica, puede estar incurriendo en una cesión ilegal de datos (Ver artículo previo en este blog: http://www.adelopd.com/cookies-y-proteccion-de-datos/ )
Tanto es así que el gobierno alemán decidió en su día prohibir Google Analytics en las empresas alemanas, so pena de fuertes sanciones. http://www.adelopd.com/nuevo-tropiezo-de-google-en-alemania-por-la-privacidad/
¿Cómo saber si un sitio web está utilizando correctamente las cookies analíticas?
Veamos un ejemplo: Visitando el presente blog http://www.adelopd.com
Utilizando el navegador Mozilla Firefox, entramos en Opciones-> Opciones
1) Pinchamos en la opción “Privacidad”
2) Pinchamos en el enlace “eliminar cookies de forma individual”
3) Escribimos en el buscador la url del sitio. En este caso blog.adelopd.com y comprobamos que no encuentra ninguna cookie en el equipo porque no le hemos dado permiso -> CORRECTO
4) Le damos permiso (Aceptamos el uso de cookies)
5) Accedemos de nuevo a Opciones -> Opciones -> Privacidad y comprobamos que ahora sí nos ha grabado varias cookies
En concreto las analíticas de google que son _utma, _utmb, _utmc y _utmz, (Además de otra cookie de personalización, denominada cookie_compliance, que permite recordar que el usuario ya ha dado su consentimiento para no volver a pedírselo la próxima vez que navegue por el sitio.
¿Si quiero utilizar estas cookies analíticas, basta con utilizar un pop-up o un div flotante que informe del uso de cookies?
La respuesta es sencilla: Rotundamente NO.
No basta con “informar” de que le has grabado al usuario las cookies analíticas. La ley es muy clara y obliga a obtener el consentimiento ANTES de hacerlo.
El pop-up o div flotante no puede utilizarse para INFORMAR, sino para PEDIR PERMISO. El matiz es importante, y las sanciones por incumplimiento leve de la LSSI pueden llegar a 30.000 euros. (Art. 39.1.c de la LSSI)
por Vicente | Oct 28, 2013 | PROTECCION DATOS, SANCIONES
La comisión de Libertades Civiles de la Eurocámara ha aprobado –por una amplia mayoría de 49 votos a favor, 3 en contra y 1 abstención– reforzar las normas de la UE sobre protección de datos personales.
Las compañías que incumplan sus obligaciones de protección de datos se enfrentan a multas de hasta el 5% de su volumen de negocios o 100 millones de euros, la cantidad que resulte mayor. El Parlamento endurece así la propuesta original de Bruselas, que limitaba las sanciones a 1 millón de euros o el 2% del volumen de negocios.
«Esta votación es un momento muy importante para la democracia europea», ha dicho la vicepresidenta de la Comisión y responsable de Justicia, Viviane Reding, principal promotora de la reforma. «Envía una señal clara: a partir de hoy, la protección de datos está hecha en Europa», ha resaltado.
Fuente: Europa Press
por Vicente | Jul 19, 2013 | PROTECCION DATOS
Un colegio de Abogados catalán preguntó a la Autoridad Catalana de Protecció de Dades (www.apd.cat) si resultaba adecuado el uso de ciertas aplicaciones de mensajería instantánea y comunicación como Whatsapp y Spotbros como una herramienta válida para comunicarse un abogado con sus clientes.
La Agencia, apoyándose en varios dictámenes de autoridades europeas de protección de datos, concluyó lo siguiente:
Tanto Whatsapp como Spotbros explicitan en la información de las respectivas páginas web que no pueden garantizar la seguridad de la información transmitida utilizando las respectivas apps.
Teniendo en cuenta esto, junto con varias vulnerabilidades detectadas, y dado que en el contexto de la relación entre abogado y clientes puede ser habitual la comunicación y tratamiento de datos sensibles (artículo 7 LOPD), la utilización de las aplicaciones de Whatsapp y de Spotbros no resulta recomendable, en relación con la seguridad exigida por la LOPD y el RLOPD.
Por ello recomienda a todos los abogados y profesionales que manejen información sensible que NO utilicen estas aplicaciones de comunicación para ello.
Enlace al texto completo de la consulta. (En catalán)
por Vicente | Jul 5, 2013 | PROTECCION DATOS, SANCIONES
Una empresa especializada en venta directa (Yves Rocher), tiene encargada a un proveedor el servicio de atención al cliente.
Un cliente solicita la baja en la recepción de correos y el proveedor (Iberphone, SAU) no realiza correctamente el procedimiento de baja, por lo que el cliente sigue recibiendo correos no deseados.
¿De quién es la responsabilidad?
El error claramente lo ha cometido el proveedor encargado del tratamiento, pero la AGPD considera que Yves Rocher (Responsable del Fichero) no adoptó las precauciones para asegurarse de que su proveedor estaba trabajando correctamente.
Por ello, decidió sancionar a Yves Rocher con la cuantía mínima posible esa infracción: 33.000 €
Tienen la resolución aquí: PS-00498-2012, resuelta el 18/1/2013
por Vicente Ribes | Abr 28, 2013 | AGPD, cookies
El pasado viernes 26 de abril se celebró en el Teatro Real de Madrid la quinta jornada de puertas abiertas de la Agencia Española de Protección de Datos. El Director de la AGPD expuso que sin una adecuada protección de los datos personales, no hay confianza en las nuevas tecnologías, y sin confianza, no puede haber progreso.
El cuerpo central de la sesión versó sobre dos temas novedosos: El Cloud Computing, al que dedicaremos la próxima publicación y las Cookies, en la que nos vamos a centrar.
Las cookies son pequeños ficheros creados por un servidor web, y que se almacenan en el ordenador del usuario que accede al sitio. Algunas de estas cookies pueden representar un cierto riesgo para la privacidad de los usuarios, por lo que el propietario del sitio web está obligado a solicitar el consentimiento expreso del usuario antes de utilizarlas. El Grupo europeo de trabajo del artículo 29 elaboró un documento sobre los tipos de cookies y en cuáles de ellas se podía obviar el consentimiento. (Enlace al documento original)
Vamos a explicar varios casos:
COOKIES que no requieren solicitar previamente el consentimiento.
– Algunas cookies son necesarias para la navegación. Por ejemplo, cuando conectamos a la zona privada de un banco, para revisar nuestras cuentas, es necesaria una cookie de sesión, porque de no utilizarla, el sistema nos pediría nuestro usuario y contraseña cada vez que cambiásemos de página. Otro ejemplo de este tipo serían las que permiten que el sistema recuerde los artículos que hemos añadido al «carrito de la compra» en una tienda virtual.
– Otras que nos hacen la vida más cómoda, son las cookies de preferencias de interfaz, que recuerdan nuestro idioma al visitar un sitio web multilingue.
COOKIES que sí requieren el consentimiento informado del usuario
– Las cookies analíticas (propias o de tercero), que se utilizan para que el propietario de la web pueda realizar una serie de mediciones sobre la navegación en su sitio (tiempo de permanencia en cada página, tiempo de permanencia en el sitio, páginas más vistas, etc.)
– Las cookies de terceros utilizadas para la publicidad. Este tipo de cookies permite que las empresas de publicidad puedan elaborar un perfil sobre las preferencias, búsquedas y webs en las que navega un usuario, con la finalidad de ofrecerle la publicidad que mejor se adapte a sus gustos.
Esta nueva regulación de las cookies supone un problema para los portales web que obtienen ingresos publicitarios, pero también para las empresas que utilizan el servicio de analíticas de Google (Google Analytics) para estudiar el tráfico de su web. Si tu empresa utiliza este servicio es imprescindible que lo adviertas a los usuarios y además, QUE TE ASEGURES DE NO CEDER LOS DATOS A GOOGLE.
PRECAUCIONES CONVENIENTES SI UTILIZÁIS EL SERVICIO GOOGLE ANALYTICS.
La configuración por defecto de analytics hace que «compartas» con Google los datos de navegación. Sin ánimo de asustar, ten en cuenta que si no configuramos correctamente nuestra cuenta de analytics estaremos realizando una cesión de datos a un tercero (Google) sin el consentimiento del usuario, lo que puede suponer una infracción grave del reglamento, con sanciones de 40.001 a 300.000 €.
Para evitarlo debemos acceder al servicio de Google Analytics y seguir los siguientes pasos:
1) Pinchar en el botón «Administrador»
2) Pinchar en la cuenta que queremos cambiar o comprobar
3) Pinchar en la pestaña «Configuración de la cuenta»
4) DESMARCAR TODAS LAS OPCIONES DE COMPARTIR DATOS.
5) Pinchar en el botón azul «Aplicar»
por Vicente Ribes | Feb 20, 2013 | COMUNIDAD DE PROPIETARIOS, PROTECCION DATOS, SANCIONES, SPAM
Una comunidad de propietarios cliente nos pregunta si es posible publicar en el tablón de anuncios datos de propietarios morosos.
La norma general es que no se pueden divulgar datos personales sin el consentimiento del interesado, salvo que una norma con rango de ley lo ampare. De hecho, la publicación de datos de morosos en el tablón de anuncios de una comunidad de propietarios es fuente habitual de denuncias y sanciones por parte de la AGPD.
Se podrá (y deberá) publicarse de forma accesible a terceros unicamente en el supuesto recogido en el artículo 9 de la Ley de Propiedad Horizontal, apartado h) párrafo segundo,
Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior (domicilio indicado por el propietario), se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto, con diligencia expresiva de la fecha y motivos por los que se procede a esta forma de notificación, firmada por quien ejerza las funciones de secretario de la comunidad, con el visto bueno del presidente. La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales.
Por tanto, la comunidad sólo podrá publicar en el tablón la notificación a un propietario moroso cuando haya intentado la notificación en el domicilio y haya resultado infructuosa.
Eso sí, la comunidad no podrá tener expuesta esa notificación por tiempo indefinido, puesto que sería un uso excesivo. Deberá tenerla publicada sólo durante tres días naturales, el tiempo estrictamente necesario para que produzca efectos jurídicos, y se considere la comunicación realizada.
por Vicente Ribes | Ene 25, 2013 | PROTECCION DATOS
Recibimos de una asociación cliente nuestra la siguiente cuestión:
El sábado tenemos la asamblea general ordinaria, puede surgir el tema de los socios que deben la cuota, la pregunta es;
Si algún socio pregunta o quiere saber qué socios tienen deudas ¿estamos obligados a dar esa información? , ¿Podemos facilitar el listado sin que nos lo pidan a modo de presión para que paguen? No sabemos que tratamiento darle a esta información…
RESPUESTA DE ADELOPD: La comunicación de datos está regulada en el artículo 11 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, y se prevé dentro de su apartado primero que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, salvo que una Ley prevea otra cosa.
En el ámbito de una asociación, las causas de cesión / divulgación de datos personales no están amparadas por ninguna ley (como sí ocurre en el caso de una comunidad de propietarios, que se ha de regular dentro de lo que establece la ley de propiedad horizontal)
A la vista de dicho precepto y en relación con su consulta se le indica que el hecho de formar parte de la Asociación indicada implica el consentimiento de aceptación de su Estatuto y si en el mismo se prevé la posibilidad de que cualquier vecino que lo solicite pueda disponer de un listado de los mismos, el hecho de que se le facilite será legitimo.
Por tanto, una asociación sólo podrá divulgar / ceder datos para los usos legítimos que estén amparados dentro de sus estatutos. Por ejemplo: Si en los estatutos menciona que los socios que no estén al corriente de pagos tendrán voz pero no voto, para poder cumplir los propios estatutos es necesario facilitar a la Asamblea la información sobre qué socios no están al corriente de pagos. Pero si no consta una salvaguarda así en el estatuto de la asociación, no podrá divulgarse esta información.
En el caso de que el estatuto lo permita, sólo podrá citarse el nombre y apellidos del deudor, puesto que facilitar más datos como el importe que adeuda, teléfono de contacto, etc del deudor se podría considerar uso excesivo de la información.
Mucho cuidado también con publicar cualquier tipo de dato personal en un tablón de anuncios al que pueda tener acceso personas ajenas a la asociación (por ejemplo si pueden acceder personas que no sean socios). Muchas sanciones de la AGPD se producen por este motivo.
RESUMIENDO: Cualquier cesión de información ha de estar amparada por una ley, o autorizada por el propio interesado, bien de forma expresa firmando una autorización, o bien de forma tácita, puesto que para formar parte de la asociación ha de aceptar el contenido de su estatuto.
por Vicente Ribes | Jul 25, 2012 | AGPD, PROTECCION DATOS
Analizamos una resolución de la AGPD relativa a una denuncia realizada por Presidente del Consejo General de Colegios Oficiales de Médicos y otros 33 médicos más, que denunciaron a un portal web (masquemedicos.com) por haber tratado datos de médicos sin su consentimiento.
Los denunciantes argumentan que, pese a ser profesionales, el nombre, apellidos, dirección y teléfono de los médicos, en ocasiones coincidían con sus datos particulares y por tanto el portal los había tratado sin su permiso y debía ser sancionado por ello.
El portal argumenta que se trata de datos profesionales obtenidos de fuentes de acceso público, y que dado que se trata de datos profesionales, no están dentro del alcance de la LOPD.
La AGPD adopta una resolución «salomónica», y les da la razón en parte a cada uno. Dice que efectivamente se trata de datos que pueden estar dentro del alcance de la LOPD, pero no sanciona al portal por haberlos tratado. No obstante, deja la puerta abierta para que los médicos interesados ejerzan sus derechos de cancelación / oposición para solicitar el borrado de sus datos dentro del portal.
Enlace a Resolución original.
por Vicente Ribes | Abr 19, 2012 | PROTECCION DATOS
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, también conocida como LSSI ha sido modificada por el Real Decreto-Ley 13/2012 de 30 de marzo
Una modificación importante para las empresas que realizan campañas de email marketing es que el párrafo final del artículo 21 queda redactado así:
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
O sea, que los envíos desde direcciones no-reply@midominio.com han pasado a ser ILEGALES.
Tengan cuidado con sus herramientas de email marketing, puesto que si no tienen en cuenta esta consideración pueden recibir importantes sanciones.
Visto en: http://www.apoyoempresarial.com/noticias/olviden-el-no-reply-en-sus-campanas-de-email-marketing/
