NUEVAS TECNOLOGIAS

DEROGACIÓN DE LA LOPD 15/1999

O más bien, la entrada en vigor de la nueva “Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales”. Publicada en el día de ayer en el BOE, entra en vigor hoy, lo que ha supuesto la derogación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (salvo algunos preceptos como por ejemplo de los artículos 22, 23 y 24). Por tanto, se va dando un poco más de luz al ya, desde mayo, nuevo escenario en esta materia.

Esta ley, cubre la necesidad de complementar al RGPD, aunque como viene siendo habitual, su publicación llega con cierto retraso.

Vamos a recordar algunos contenidos recogidos en esta nueva Ley:

  1. Consentimiento en el tratamiento de datos:  será necesario una manifestación de voluntad libre, específica, informada e inequívoca por la que el titular acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Cuando el objetivo sea recabar el consentimiento  para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas y no habrá consentimiento para finalidades que no guarden relación con la relación contractual.
  2. Datos de personas fallecidas: a pesar de que su tratamiento está excluido del ámbito de aplicación de la ley, podrá ser llevada a cabo por los herederos , el ejerciendo los derechos de acceso, rectificación o supresión, salvo que la persona fallecida lo hubiera prohibido.
  3. Menor de edad: Se mantiene que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. Se estable también, que en plazo de un año, se elabore un proyecto de ley dirigido a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminación y la violencia que sobre los mismos es ejercida mediante las nuevas tecnologías
  4. Delegado de Protección de Datos: Se estable un listado de supuestos en los que será necesario designación de un DPO, completando lo indicado en el artículo 37.1 del Reglamento (UE) 2016/679. También se menciona la posibilidad de demostrarse la cualificación de esta figura, entre otros, a través de mecanismos voluntarios de certificación.
  5. Garantía de los derechos digitales: Bajo el titulo X, encontramos derechos como el derecho a la Derecho a la neutralidad de Internet. (servicios sin discriminación por motivos técnicos o económicos), Derecho de acceso universal a Internet, el Derecho a la intimidad y uso de dispositivos digitales y a la desconexión digital en el ámbito laboral, el Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, así como ante la utilización de sistemas de geolocalización. Otros derechos mencionados también son el conocido Derecho al olvido en búsquedas de Internet, o  en servicios de redes sociales y servicios equivalentes, así como el de Derecho a portabilidad de los datos. También se indica que el Gobierno pretende elaborar un plan de acceso a internet que garantice el acceso a colectivos vulnerables, así como impulsar espacio de conexión de acceso público.
  6. Practicas agresiva: las prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales o actuar, sin designación expresa del responsable o el encargado, como DPO, se considerarán prácticas agresivas.
  7. Contratos: En cuanto a los contratos de encargado del tratamiento, firmados con anterioridad al 25 de mayo de 2018 se mantendrán vigentes hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el Reglamento.
  8. Régimen Electoral: Se añade un nuevo artículo a la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General que permitirá a los partidos políticos, coaliciones y agrupaciones electorales, utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral y el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes, no tendrán la consideración de actividad o comunicación comercial. Eso sí, se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»
  9. Empresarios individuales: Existirá intereses legítimos y por tanto licitud de tratamiento, en el tratamiento de datos de contacto de empresarios individuales y de profesionales liberales cumpliendo las premisas oportunas.
  10. Tratamiento especiales de datos: Un último punto a destacar y que creo que dará que hablar, es que la Ley indica que a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado NO bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

PROTECCIÓN DE DATOS, VULNERACIÓN DE DERECHOS

A falta de pan buena son tortas, esto es lo que se debe pensar al ver publicado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Y es que no habiéndose publicado aún la nueva Ley de Protección de Datos, el legislador ha trabajado este Real Decreto-Ley ante la aplicación del Reglamento Europeo de Protección de Datos, desde el 25 de mayo de 2018.

En él, podemos encontrarnos tres capítulos, el primero de ellos versa sobre la identificación del personal competente para el ejercicio de los poderes de investigación que el Reglamento General de Protección de Datos otorga en su artículo 58.1 a las autoridades de control. El segundo de ellos regula el régimen sancionador establecido en el Reglamento General de Protección de Datos, reemplazando los tipos infractores actualmente contenidos en la Ley Orgánica 15/1999 por la remisión a los que están establecidos en los apartados 4, 5 y 6 del artículo 83 de dicho reglamento, lo que resulta de todo punto necesario

Por último y en el que me detendré, el capítulo III regula el procedimiento en caso de que exista una posible vulneración del Reglamento General de Protección de Datos.

En concrero, a través de este procedimiento, el afectado podrá reclamar cuando no haya sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (Derecho de acceso, rectificación, supresión («el derecho al olvido»), Derecho a la limitación del tratamiento, Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento, Derecho a la portabilidad de los datos y Derecho de oposición).

El procedimiento se iniciará con la admisión a trámite, previa presentación de reclamación oportuna. Se advierte que la petición puede ser inadmitida y entre sus causas puede considerarse, la advertencia formulada por la Agencia al responsable o encargado de tratamiento siempre que concurra alguna de las siguientes circunstancias:

  • Que no se haya causado perjuicio al afectado.
  • Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.

La Agencia puede de igual modo, remitir la reclamación al propio responsable o encargado de tratamiento o, en caso de que existiera, al Delegado de Protección de Datos a fin de que dé respuesta a la reclamación en el plazo de un mes. La decisión sobre la admisión o inadmisión a trámite, deberá notificarse al reclamante en el plazo de tres meses.

El plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.

De todos modos, con carácter previo, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación, la Agencia examinará su competencia y determinará el carácter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir.

Admitida a trámite la reclamación, la Agencia podrá poner en marcha una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 11 de este Real Decreto-Ley. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones. También se establece la posibilidad de suspender los trámites.

Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos

Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos indicados más arriba, la Agencia  también podrá acordar en cualquier momento, incluso antes del iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación

Para concluir, se recoge en la Disposición transitoria segunda, un aspecto interesante en relación a los Contratos de encargado del tratamiento. Indica al respecto que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018, mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Si bien, las partes podrán exigirse a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento Europeo.

LOS AVISOS DE COOKIES EN PELIGRO DE EXTINCIÓN

¿ Qué podemos decir de las cookies que ya no hayamos dicho?

Pues su último pase aún no se ha escrito y es que en el día de hoy, la Comisión Europea ha lanzado una nueva propuesta en forma de Reglamento sobre la privacidad y las comunicaciones electrónicas. La iniciativa propuesta según se indica, pretende aumentar la protección de la vida privada de los ciudadanos y brindará nuevas oportunidades a las empresas.

Pero,  ¿qué propone exactamente?.  Una de las noticias que más ha llamado la atención, ha sido la iniciativa de eliminar en algunos supuestos concretos, la necesidad de ofrecer al usuario las solicitudes de autorización en relación a la descarga de cookies.  La propuesta pretende que no se solicite el consentimiento para las «cookies» invasivas ajenas a la privacidad que mejoran la experiencia de internet (se indica a modo de ejemplo, recordar el historial del carrito de la compra). Un sitio web visitado que efectúen el recuento del número de visitantes a dicho sitio, no tendrá que preocuparse de ofrecer el mencionado consentimiento. Y es que desde la implantación de la obligación de solicitar la pertinente autorización, el usuario de Internet se ha acostumbrado a aceptar sistemáticamente la política de cookies sin entrar a valorar el contenido de lo que se está aceptando.  De tal manera, el efecto pretendido que era que el usuario estuviera en todo momento informado, se ha diluido.  Por ello, la Comisión se ha animado a lanzar la indicada propuesta, que libere de la obligación de obtención de consentimiento para aquellas cookies que no pongan en peligro  la privacidad del usuario. A este respecto los navegadores de Internet adquirirán una mayor importancia.  Esa importancia que ya se avanzaba en la normativa vigente.Recordemos que el artículo 22 de la LSSICE   ya indicaba los siguiente:

«Cuando sea técnicamente posible y eficaz,  el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarme mediante el uso de los parámetro adecuados del navegador o de otras aplicaciones»

Pero la propuesta trae consigo otras medidas que también son de interés.  Entre otras medidas se indican puntos como la propuestas que exijan una mayor garantía de la confidencialidad a los nuevos proveedores de servicios de comunicaciones electrónicas, como WhatsApp, Facebook Messenger, Skype, Gmail, iMessage o Viber.

La lucha contra el correo basura es objeto también de esta nueva propuesta que pretende la prohibición de las comunicaciones electrónicas no solicitadas por cualquier medio, por ejemplo, mediante correos electrónicos, mensajes de texto y, en principio, también mediante llamadas telefónicas, si los usuarios no han dado su consentimiento.

Otros aspectos que de igual modo son objeto de análisis son el contenido y metadatos  de las comunicaciones y las nuevas oportunidades comerciales que se pueden generar una vez que se haya otorgado el consentimiento para que se proceson los datos de las comunicaciones.

La Comisión espera que el Parlamento Europeo y el

Sigue leyendo

MIS DATOS PERSONALES

En nuestro día a día, facilitamos datos personales constantemente. Rellenamos formularios on line, formularios en papel, contestamos a llamadas telefónicas de alta de servicios, comerciales etc. ¿Pero como debería ser la solicitud, conservación y cancelación de nuestro datos?

Estamos hablando del «Principio de Calidad». Este principio engloba distintos conceptos o principios, que se deberían respetar a la hora tratar los datos personales de terceros.

El primer principio que debemos tratar, es el principio de finalidad. Con ello, se pretende determinar que los datos recogidos deben atender a una finalidad determinada, explicita y legítima. Es decir, los datos que se solicitan deberían ser simplemente, los imprescindibles para cumplir tal finalidad, no solicitando más datos de los necesarios. Pero además, esta finalidad debe ser conocida por quien acepta dar sus datos y por supuesto ser adecuadas al ordenamiento jurídico.

El objetivo en todo caso es que los datos sean adecuados a la finalidad que se persigue por lo que no se debería exceder en la petición de datos que no cumplen con el objetivo que se buscó en el momento de creación del fichero. El consentimiento del usuario debe estar totalmente relacionado con los fines precisos descritos a la hora de la petición de los datos. Ni que decir tiene que los datos no pueden ser obtenidos bajo engaño o fraude.

Los datos recabados también deben encontrarse en todo momento actualizados,  respetando el principio de veracidad, exactitud e integridad. Para ello, los datos tendrán que estar por tanto almacenados y ordenados, rectificados cuando sea necesario por los posibles cambios que se hayan producido o finalmente cancelados. El mantener los datos actualizados, es cosa de ambas partes, tanto del responsable del fichero como del propio usuario que facilitó los datos (que deberá comunicar en su caso, las posibles modificaciones).

Otro aspecto a tener en cuenta, es  la conservación de los mismos. La conservación de estos datos, debe llevarse a cabo de tal forma, que permita la identificación de los usuarios hasta que la finalidad del fichero decaiga, momento en el que deberán ser cancelados.

En cuanto a la cancelación de datos, esta debe producirse, como hemos indicado, cuando los datos solicitados ya no responden a la finalidad para la cual se solicitaron. Hay que aclarar que la cancelación de los datos, no supone la eliminación de los mismos sino que se deberán conservar bloqueados durante un periodo de tiempo, hasta finalmente sean eliminados.

Finalmente, es necesario recordar las sanciones que impone la AGPD en caso de incumplimiento normativa vigente en protección de datos.

  • Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  • Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
  • Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

LOS INFLUENCERS Y EL DERECHO DE LA PUBLICIDAD

Los influencers están cotizados en el mercado debido a que son personas con un alto número de seguidores, interacciones etc, en las redes sociales como twitter, facebook, instagram… Y gracias a ellos, las marcas consiguen que sus campañas se hagan más virales en estas redes sociales. Las marcas consideran en muchas ocasiones, que resulta más sencillo llegar a sus potenciales clientes a través de un influencer que mediante campañas publicitarias tradicionales.

personaSin embargo, este «apoyo» llevado a cabo por los influencers, no deja de ser en muchos casos una campaña de publicidad encubierta.

Conocidos son ya los casos de Nuria Roca y Carolina Cerezuela entre otros, con la campaña de publicidad de Danone #porfincalor. En esta campaña algunos de los famosos simplemente se limitaron a mostrarse en la fotografía con el producto en cuestión, como si se tratara de una foto más de su día a día,  mientra que alguno de ellos indicaban en el texto que se trataba de publicidad.

A este respecto hay que mencionar la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico que indica lo siguiente:

«En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.»

De igual modo, como comenté en el post de comunicaciones comerciales, es necesario que cuando se lleva a cabo estás comunicaciones publicitarias, sean claramente identificables.

Por otro lado, la Ley de Compentencia desleal, nos define lo que se considera practicas comerciales encubiertas:

«Se considera desleal por engañoso incluir como información en los medios de comunicación, comunicaciones para promocionar un bien o servicio, pagando el empresario o profesional por dicha promoción, sin que quede claramente especificado en el contenido o mediante imágenes y sonidos claramente identificables para el consumidor o usuario que se trata de un contenido publicitario

Por tanto, los influencers, están en su derecho de mostrar sus preferencias en redes sociales, en cuanto a que productos o servicios prefieren de entre las marcas existentes en el mercado. Otra situación distinta es colaborar en campañas publicarías encubiertas, para las que han podido ser contratados, pagando el empresario o profesional por dicha promoción. En tal caso, tal actitud, podría llegar  a ser objeto de acciones legales para uno y otro.