Categorías

Entradas recientes

Archivos

Siguenos en:
LETSBLOG

Diez claves del nuevo Reglamento Europeo de Protección de Datos

El pasado 4 de mayo fue publicado en el Diario Oficial de la Unión Europea el texto definitivo del nuevo Reglamento Europeo de Protección de Datos (REPD), aprobado por el pleno del Parlamento Europeo el 13 de abril de este mismo año.

Esta nueva normativa sustituye a la Directiva de protección de 1995, que ha tenido su desarrollo legislativo en España a través de la Ley Orgánica de Protección de Datos (LOPD) del año 1999.

El REPD resultará directamente aplicable a partir del próximo 25 de mayo de 2018. A continuación se resumen las principales novedades que resultarán de aplicación:

1.- ¿Qué empresas se verán afectadas?

Esta nueva normativa resultará de aplicación a todas aquellas empresas que realicen un tratamiento de datos de ciudadanos europeos, independientemente de si dichas empresas tienen su sede dentro o fuera de la Unión Europea.

2.- Se elimina la obligación de declarar ficheros, pero se mantiene la obligación de disponer de un documento de seguridad.

Con la entrada en vigor del nuevo REPD ya no será necesario que las empresas declaren ficheros ante la Agencia de Protección de datos.

No obstante, para aquellas empresas de más de 250 empleados o que habitualmente realicen un tratamiento de datos de riesgo o traten datos sensibles, resultará de obligación elaborar un documento en el cual se especifiquen, entre otros aspectos, los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.

3.- ¿Sobre qué nuevos aspectos se deberá informar a los usuarios?

El REPD especifica que se deberá informar sobre el plazo de conservación de los datos, el interés legítimo que tiene la empresa para realizar su tratamiento, el derecho por parte del usuario a presentar una reclamación ante la Agencia de Protección de Datos, y si los datos van a ser utilizados para la realización de técnicas de profiling con fines publicitarios.

4.- ¿Cuáles son los derechos que el REPD reconoce a los usuarios?

El REPD establece como derechos de los usuarios el derecho a la información, acceso, supresión, rectificación, limitación, transparencia, portabilidad y oposición, los cuales deberán ser atendidos por parte de las empresas en un plazo máximo de un mes desde la recepción de solicitud correspondiente.

Destaca en este sentido el derecho de portabilidad, consistente en la obligación de proporcionar a los usuarios los datos que estos hayan proporcionado a la empresa para que dichos datos puedan ser transmitidos a otras empresas.

5.- Nueva regulación sobre el profiling

El REPD establece que las empresas podrán realizar un tratamiento de datos de los usuarios para elaborar perfiles y adoptar decisiones basadas únicamente en procesos automatizados cuando se haya obtenido el consentimiento expreso de los usuarios para esa finalidad.

6.- El derecho al olvido

Se reconoce la obligación de las empresas a eliminar los datos de los usuarios que se hubiesen difundido públicamente cuando los afectados lo soliciten. No obstante, el REPD reconoce igualmente la posibilidad de que las empresas rechacen las solicitudes de supresión en base al derecho a la libertad de expresión e información entre otros motivos.

7.- La nueva figura del DPO

El REPD establece la obligación por parte de las empresas a nombrar un Delegado de Protección de Datos interno o externo, cuyas principales funciones consistirán en asesorar a la empresa y sus trabajadores sobre el cumplimiento de la normativa, así como servir de punto de contacto con la Agencia de Protección de Datos para el planteamiento de consultas y evaluaciones de impacto.

8.- Las evaluaciones de impacto

Un aspecto muy novedoso que establece el nuevo REPD es la obligación para las empresas que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en particular si se utilizan nuevas tecnologías, de realizar una evaluación de impacto, en la que se evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

De acuerdo al REPD, si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la Agencia de Protección de Datos antes de proceder al tratamiento.

9.- Notificaciones de seguridad

A partir de la aplicación del nuevo REPD, las empresas tendrán la obligación de notificar a la Agencia de Protección de Datos las brechas de seguridad que se produzcan dentro un plazo de 72 horas.

El reglamento también exige a las empresas la notificación de las brechas de seguridad que se produzcan a los usuarios afectados cuando exista un riesgo para sus derechos, excepto cuando la empresa haya adoptado medidas ulteriores que garanticen a los afectados que ya no exista la probabilidad que se concretice el riesgo para sus derechos.

10.- Sanciones

En el caso de incumplimiento de las obligaciones que se establecen en el REPD, esta nueva normativa contempla la posibilidad de imponer sanciones económicas de hasta 20 millones de Euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior.

Letslaw es un despacho de abogados especializado en derecho de Internet y privacidad.

Conoce las 6 claves para adaptar tu e-commerce a la LOPD

Adaptar tu e-commerce a la Ley Orgánica de Protección de Datos (LOPD) y a su reglamento de desarrollo es fundamental para cumplir con la legalidad vigente y para generar confianza entre los usuarios y consumidores, por ello desde Letslaw te indicamos las principales claves que debes tener en cuenta para que tu e-commerce esté correctamente adaptado a la normativa en materia de protección de datos:

1.- Informar a los usuarios sobre el tratamiento de sus datos personales

Todo e-commerce trata datos personales de los usuarios (nombre, apellidos, e-mail, teléfono…) y por ello deben contar con una Política de Privacidad en la que se incluyan todos los requisitos exigidos por la LOPD.

Una correcta Política de Privacidad debe informar acerca de quién es el titular del sitio web, el tratamiento y la finalidad con la que se utilizarán esos datos personales (que habitualmente suele ser el envío de comunicaciones comerciales relacionadas con los productSecure-E-Commerceos que comercializa el e-commerce)

Asimismo en este texto legal se deberá indicar si los datos personales serán cedidos a terceras empresas o si serán utilizados para la remisión de comunicaciones comerciales  por cuenta de terceros.

2.- Consentimiento expreso por parte del usuario

Una vez hayamos informado al usuario acerca de las cuestiones que hemos indicado, la LOPD obliga a los e-commerce a que obtengan el consentimiento expreso por parte del usuario para el tratamiento de sus datos personales.

El consentimiento expreso sería válido, por ejemplo, si se implementa un sistema opt-in (casilla no marcada por defecto) y se incluye un texto de aceptación de la Política de Privacidad con un link que redirija a la misma.

De esta manera el usuario estaría expresamente consistiendo la utilización de sus datos personales para las finalidades indicadas en la Política de Privacidad.

3.- Derechos ARCO
Leer más… »

Letslaw participará en Futurizz 2016 con un “Meet & Greet Lounge”

descargaLos días 20 y 21 de abril, Letslaw participará en el evento Futurizz Madrid 2016 (anteriormente conocido como OMExpo) que tendrá lugar en el pabellón nº 5 de IFEMA Feria de Madrid. El evento Futurizz reunirá a las empresas más destacadas de la industria del marketing y de la publicidad digital, albergando más de 180 marcas y atrayendo alrededor de  10.000 visitantes.

En este evento, Letslaw organizará un “Meet & Greet Lounge” a lo largo del miércoles día 20 y  del jueves día 21 de abril, junto con la colaboración de reconocidos profesionales,  en el que se tratarán cuestiones legales relacionadas con el marketing digital, la economía colaborativa, la reputación online de la empresa, entre otras.

A continuación te detallamos las ponencias que componen el programa de “Meet & Greet Lounge”:


Leer más… »

El Tribunal Constitucional permite la grabación de imágenes de trabajadores sin obtener su consentimiento previo

En su Sentencia de fecha 3 de marzo de 2016, el Tribunal Constitucional confirma la posibilidad de grabar a los trabajadores de una empresa sin necesidad de contar con su consentimiento previo y expreso siempre que este tratamiento resulte necesario para el cumplimiento del contrato firmado por las partes, si bien es necesario cumplir con el deber de información del tratamiento de datos.

Los hechos de este caso se remontan al año 2012, cuando una empleada de Bershka fue objeto de un despedido disciplinario tras haberse demostrado mediante una serie de grabaciones realizadas por la empresa que esta empleada se había apropiado de dinero en efectivo, en diferentes fechas y de forma habitual, y que para ocultar estas apropiaciones, había realizado operaciones falsas de devoluciones de prendas.


Leer más… »

El Tribunal Supremo dicta la primera sentencia sobre la responsabilidad penal de las personas jurídicas

El pasado 29 de febrero de 2016, el Tribunal Supremo (en adelante, el “TS”) dictó la sentencia nº 154/2016 mediante la cual se determina por primera vez la responsabilidad penal de las personas jurídicas.

A través de esta sentencia, el TS confirma las condenas que impuso la Audiencia Nacional a tres empresas por su participación como instrumentos jurídicos en delitos contra la salud pública, y en concreto, por la participación en delitos de tráfico de sustancias estupefacientes.

La sentencia dictada por el TS analiza, conforme lo dispuesto en el artículo 31 bis de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (en adelante, “Código Penal”) los requisitos que el Alto Tribunal ha tenido en cuenta a la hora de dictaminar la responsabilidad penal de las personas jurídicas.

En primer lugar el complianceTS señala que, como presupuesto inicial, debe acreditarse la comisión del delito por parte de la persona física integrante de compañía (en el caso que nos ocupa, el TS pudo demostrar que fueron los administradores de hecho y de derecho de las empresas los que cometieron el delito en cuestión).

En segundo lugar, el TS establece como presupuesto de responsabilidad penal el incumplimiento por parte de las empresas de su obligación de implementar las medidas de vigilancia y control para evitar la comisión de delitos.

En relación con dichas medidas, el TS hace referencia a la  Circular 1/2016 publicada por la Fiscalía General del Estado (la cual ya hemos explicado en nuestro artículo) y la utiliza como apoyo para valorar la eficacia de los conocidos “planes de compliance”, los cuales recomienda adoptar para evitar que las empresas sean responsables penales de la comisión de delitos por parte de una persona física integrante de la misma.


Leer más… »

Letslaw impartió, en colaboración con la Cámara de Comercio Hispano Sueca, un Workshop legal sobre las “Novedades legales en el entorno digital que debes tener en cuenta para tu negocio”

El pasado jueves 25 de febrero de 2016 tuvo lugar en la Sede Ericsson un Workshop legal que Letslaw impartió, en colaboración con la Cámara de Comercio Hispano Sueca, sobre las “Novedades legales en el entorno digital que debes tener en cuenta para tu negocio”.

En este Workshop, José María Baños, socio fundador de Letslaw, llevo a cabo un análisis sobre las novedades legales que están actualmente definiendo el entorno digital en materia de protección de datos de carácter personal y en la normativa relacionada con los derechos de consumidores y usuarios.

En materia de protección de datos de carácter personal, José María expuso los diferentes aspectos legales que se debe tener en cuenta a la hora de realizar campañas para el envío de comunicaciones comerciales por vía electrónica ya sea por email, SMS, WhatsApp, Twitter o por cualquier otro medio electrónico equivalente.

letslaw-eventbanner

 

 

 

Asimismo, explicó las diferentes modalidades para la captación de nuevos usuarios, entre las que destacó el co-resigtro, el List broking, el e-mail retargeting, las modalidades de Facebook Custom Audience, y las técnicas del Member Get Member.


Leer más… »

Conoce las cuestiones clave sobre la responsabilidad penal de las empresas y los planes de “compliance” en el ámbito de Internet

A propósito de la Circular 1/2016 publicada por la Fiscalía General del Estado el pasado 22 de enero de 2016 sobre la responsabilidad penal de las personas jurídicas, en Letslaw queremos destacar la importancia del “compliance” para las empresas, incluidas aquellas relacionadas con el ámbito de Internet.

En concreto, la Circular publicada por la Fiscalía analiza la responsabilidad penal de las personas jurídicas conforme a la reforma del código penal de julio de 2015, y facilita unas directrices para valorar la eficacia de los planes de compliance o cumplimiento normativo que deben seguir las empresas, principalmente en el ámbito fiscal.

De esta Circular se extrae la relevancia de los planes de compliance, que son planes o sistemas tendentes a evitar que se cometan delitos en el seno de la empresa. La importancia de estos planes de compliance radica en que están consagrados en el Código Penal como una eximente de la responsabilidad penal de las personas jurídicas. Es decir, el incumplimiento de estos planes puede conllevar la responsabilidad penal de una persona jurídica.

compliance-300x224Por tanto, los planes de compliance deben tenerse muy en cuenta por parte de cualquier empresa, pero no solo en el ámbito fiscal sino también en el de las nuevas tecnologías.

En este sentido, la reforma del Código Penal de julio de 2015 contempla numerosos delitos en relación con el mundo digital de los que puede ser responsable penalmente cualquier persona jurídica (que ya explicamos con detalle en nuestro artículo): Estafas, intrusiones y daños informáticos, delitos contra la propiedad intelectual e industrial, “black hacking”, falsificación de tarjetas de crédito, así como otras vulneraciones de derechos relacionados con la privacidad y la protección de los datos de carácter personal.

Cualquier empresa puede ser considerada responsable penalmente por este tipo de delitos que se hubieran cometido en el seno de la misma, lo que podría dar lugar tanto a la imposición de cuantiosas sanciones penales como incluso a la disolución de la empresa o la suspensión de sus actividades.

No obstante, conforme al artículo 31 bis del Código Penal, se podrá excluir la responsabilidad penal de la empresa siempre y cuando se hubieran establecido determinados modelos de organización y gestión en la empresa, que incluyan medidas de vigilancia y control para prevenir la comisión de estos delitos. Estos modelos es lo que conocemos como “planes de compliance”.

Desde Letslaw detallamos las principales medidas de compliance que son recomendables para todas las empresas, y sobre todo aquellas que desarrollan su actividad online, para evitar incurrir en una responsabilidad penal:

1. Tomar medidas de protección de datos de carácter personal. Teniendo en cuenta que la mayoría de los delitos contemplados en el mundo online guardan una estrecha relación con la privacidad y la protección de los datos de carácter personal, deberá cumplirse rigurosamente con la Ley Orgánica de Protección de Datos y su reglamento de desarrollo y establecer un sistema de gestión de la seguridad de la información.
Leer más… »

Privacidad en el ámbito laboral: ¿puede controlar el empresario conversaciones de un trabajador llevadas a cabo mediante chats profesionales?

Hace poco más de dos semanas, el Tribunal Europeo de los Derechos Humanos de Estrasburgo (en adelante “TEDH”) dictaba sentencia en el asunto 61496/08 “Caso de Barbulescu vs. Romania”, mediante la cual, el TEDH reconocía por primera vez la posibilidad de que una empresa controlase los mensajes de sus trabajadores en un servicio de mensajería instantánea profesional a través de Internet.

El caso en cuestión llegó al TEDH después de que el ingeniero rumano Bogdan Mihai Barbulescu fuese despedido de la empresa en la que trabajaba, tras descubrirse que Barbulescu no sólo utilizaba Yahoo Mesenger para hablar con sus contactos profesionales, sino también con sus familiares.

En julio de 2007, Barbulescu fue advertido por parte de la empresa que ésta había intervenido las conversaciones de Yahoo Mesenger. Las transcripciones de dichas conversaciones evidenciaban que Barbulescu había mantenido conversaciones con su hermano y su pareja en relación con temas relativos a su salud y otras conversaciones de índole sexual.

Es preciso puntualizar que la política de la empresa en la que trabajaba Barbulescu prohibía expresamente el uso de los medios de comunicación para fines personales.

Es entonces cuando surge la problemática jurídica de equilibrar el derecho a la privacidad del trabajador, y la facultad de control empresarial de la actividad laboral.


Leer más… »

Letslaw y Madrid Internet Startups llegan a un acuerdo de colaboración

Letslaw ha cerrado un acuerdo de colaboración con Madrid Internet Startups, una comunidad que facilita a los empresarios emprendedores encontrar oportunidades para desarrollar nuevos negocios, lanzar nuevos productos, promover sus marcas y ampliar su margen de mercado mediante la organización de eventos en los cuales reúne a empresarios, inversores, asesores, entre otros.

A través de esta iniciativa ambas empresas pretenden principalmente facilitar a los emprendedores el desarrollo y la protección de sus ideas y negocios, mediante la organización de meetups donde podrán contar con el asesoramiento legal de Letslaw.

madridCon el fin de orientar a los emprendedores en sus primeros pasos para la constitución de una Startup, Letslaw participará en el meetup “Retos legales para Startups” que tendrá lugar el martes 23 de febrero de 2016 a las 19:30 horas en las Oficinas de Google Campus Madrid (C/ Moreno Nieto 2, 28005 – Madrid).

En concreto, Letslaw participará en el meetup impartiendo un seminario en el que  abordará los principales aspectos legales que los emprendedores deben tener en cuenta a la hora de constituir una Startup, tales como la negociación del pacto de socios, la entrada de inversión, la retribución de socios, la entrada de aceleradoras en el proyecto, los pactos de incentivos con trabajadores, entre otros.

En este sentido, Letslaw propondrá en el seminario diferentes consejos legales que serán de utilidad para aquellos emprendedores que estén definiendo su negocio.

Si estás interesado en acudir al meetup “Retos legales para Startups” puedes registrarte gratuitamente en el siguiente enlace: https://goo.gl/xYG0VX

 

Letslaw es un despacho especializado en prestar un asesoramiento legal a Startups.  

La Comisión Europea pone fin al Roaming

La Comisión Europea ha adoptado nuevas medidas legislativas con el fin de eliminar por completo el roaming, es decir, el cargo extra que las compañías telefónicas cobran a los consumidores cuando éstos utilizan su móvil fuera de su país.

Mediante la adopción de estas medidas legislativas, la Comisión Europea obliga a las compañías telefónicas a que, partir de junio de 2017, no realicen cargos extras sobre las tarifas ordinarias contratadas por sus consumidores al recibir o realizar llamadas telefónicas, enviar mensajes de textos o SMS y/o utilizar datos móviles en cualquier Estado Miembro de la Unión Europea.

Las mencionadas medidas se aplicarán de manera gradual, por lo que las compañías telefónicas podrán aplicar a partir de abril de 2016 y hasta junio de 2017 las tarifas máximas impuestas por la Comisión Europea. Estas tarifas reducen considerablemte los cargos extras que las compañías telefónicas podrán aplicar a los consumidores cuando hagan uso de su teléfono móvil fuera de su país de residencia.

Teniendo en cuenta lo anterior, las compañías telefónicas podrán cobrar adicionalmente a la tarifa contratada por los consumidores: 5céntimos/minuto por las llamadas realizadas (previamente a la adopción de las medidas legislativas, podían cobrar hasta 19 céntimos/minuto), 2 céntimos por SMS enviado (anteriormente el cargo eran de 6 céntimos por SMS) y 5 céntimos por cada megabyte consumido (el cargo que las compañías telefónicas realizaban antes por cada megabyte consumido era de 20 céntimos).

Recientemente, la Comisión Europea ha publicado a través de un comunicado en la agenda digital de la Unión Europea el cargo extra que se le podrá aplicar a partir de abril de 2016 a un consumidor que recibe una llamada telefónica en un Estado Miembro de la Unión Europea. La tarifa máxima que ha determinado por la utilización de este servicio es de 1,14 €/minuto.

Con este último comunicado, quedan determinadas las tarifas máximas que las compañías de telefonía móvil podrán aplicar a sus consumidores por la utilización de los servicios móviles en los países de la Unión Europea: 
Leer más… »