Categorías

Entradas recientes

Archivos

Siguenos en:
LETSBLOG

Guía sobre los procedimientos de anonimización de los datos personales

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía que contiene una serie de orientaciones y garantías para llevar a cabo los procedimientos de anonimización de datos personales.

La Guía de la AEPD define los procesos y fases de anonimización que se deben adoptar para eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados, de manera que se garantice que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no consiga identificar a las personas titulares de los datos anonimizados.

Para llevar a cabo el proceso de anonimización, la AEPD aconseja definir un protocolo de actuación en base a las siguientes fases:

1.- Definición de equipo de trabajo

En el proceso de anonimización, se aconseja crear un equipo de trabajo y asignarle a cada componente determinadas funciones atendiendo a los perfiles que cada persona puede desarrollar en este proceso.

tecnologia_137998792_9113210_1706x960La AEPD considera que el equipo podría estar formado de la siguiente manera: (i) Responsable del fichero: decide sobre la finalidad a los que debe responder los datos personales, (ii) Responsable de protección de datos (en su caso, DPO): promover la realización de evoluciones de impacto previo en los procesos de anonimización y verificar la ejecución en dichos procesos, (iii) Destinatario de la información anonimizada y responsable del tratamiento de datos anonimizados: deciden sobre los requisitos de la información atendiendo a los objetivos finales a los que se destina la misma, (iv) Equipo de evaluación de riesgos: encargado de realizar la evaluación de riesgos inicial, evaluar el resultado del proceso, auditar el procedimiento de anonimización, (v) Equipo de preanonimización y anonimización: propone técnicas para una anonimización efectiva y elimina aquellas variables cuya anonimización no se ajuste a la finalidad, (vi) Equipo de seguridad de la información y del proceso: vela por las medidas de seguridad durante el proceso de anonimización.

2.-Independencia de funciones


Leer más… »

La agencia española de protección de datos inicia una investigación por la comunicación de datos entre whatsapp y facebook

El pasado mes de agosto WhatsApp actualizó los términos de su servicio y la política de privacidad, introduciendo cambios sobre la forma en la que maneja la información personal de sus usuarios. Podéis encontrar toda la información acerca de este tema en nuestra entrada: http://letslaw.es/blog/nueva-y-controvertida-politica-de-privacidad-de-whatsapp/

Tras esto, la AEPD inició de oficio una investigación cuyo objeto se centra en examinar si las comunicaciones de datos personales realizadas entre WhatsApp y Facebook, y los tratamientos que dicha comunicación genera, respetan la legislación española de protección de datos.

whatsapp-facebook-750x422

Más concretamente, los puntos clave de esta investigación son los siguientes:

 

  • qué información de los usuarios de WhatsApp se recoge y envía a Facebook,
  • fines para los que se utiliza,
  • plazos de conservación y,
  • opciones que se ofrecen a los usuarios para oponerse a los tratamientos de su información personal.

Esta actuación de investigación está en línea con iniciativas similares puestas en marcha por parte de Autoridades de Protección de Datos como Alemania, Italia o Reino Unido.


Leer más… »

Principales claves sobre las Evaluaciones de Impacto en la protección de datos

Actualmente en España no existe la obligación legal de realizar Evaluaciones de Impacto en la Protección de Datos en ningún sector o ámbito específico. Sin embargo, el nuevo Reglamento Europeo de Protección de Datos (REPD), aplicable a partir del próximo 25 de mayo de 2018, establece la obligación de realizar evaluaciones de impacto en determinados casos.

Cualquier ecommerce o empresa que trate datos de carácter personal deberá familiarizarse con este nuevo concepto y sus implicaciones legales.

¿Qué es una Evaluación de Impacto?

Una Evaluación de Impacto en la Protección de los Datos Personales (en adelante, “Evaluación de Impacto”) o Privacy Impact Assessment (PIA) es una obligación legal contemplada en el REPD que afecta a las empresas según el tipo de tratamiento de datos personales que realicen.

La Evaluación de Impacto deberá realizarse antes de llevar a cabo el tratamiento de datos, y consistirá en un riskoanálisis de los riesgos de un sistema de información, producto o servicio de una empresa que puedan causar un perjuicio para los afectados cuyos datos son tratados (pérdida de control sobre sus datos, usurpaciones de identidad, daños reputacionales o económicos…).

A raíz del análisis realizado, se deberá planificar una adecuada gestión de los riesgos identificados, adoptando las medidas necesarias para neutralizarlos o reducirlos en la medida de lo posible.

¿Cuándo es obligatorio realizar una Evaluación de Impacto?

El REPD establece en su artículo 35 la obligación de realizar una Evaluación de Impacto siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas” y, especialmente, cuando se utilicen las nuevas tecnologías.


Leer más… »

José María Baños, socio fundador de Letslaw, participó en la jornada de FinTech organizada por la Cámara de Comercio Hispano Sueca sobre los nuevos servicios de pago

El pasado 19 de octubre de 2016 tuvo lugar en la Cámara de Comercio Hispano Sueca una jornada FinTech cuya temática fue El nuevo ecosistema FinTech – retos y oportunidades de los nuevos servicios de pago” y que reunió a profesionales del sector financiero y tecnológico.

En este seminario se han tratado cuestiones relacionadas con las novedades que han surgido sobre el negocio FinTech (fusión de servicios financieros y de tecnología) en cuanto respecta a los nuevos métodos y servicios de pago online, haciendo especial hincapié a los retos que deben conseguir las empresas tecnológicas para ofrecer un servicio financiero adecuado y eficaz para los usuarios.

cchs-jose-fotoJosé María Baños, socio fundador de Letslaw, tomó parte de esta jornada de FinTech en la mesa redonda “Retos y oportunidades de los nuevos servicios de pago” de la mano de grandes profesionales de este sector: Alejandro Fernández (Sales Executive de Trustly), Victor Martín González de Haro (Subdirector de Desarrollo Corporativo de Correos), (Rolf Cederström, CEO de Digital Origin), Jordi Pascual (Director eCommerce de Banco Sabadell) y José María Martín Díez (CEO de Mobile Global Payments).

En concreto, José María abordó la temática relacionada con la nueva Directiva europea sobre servicios de pago en el mercado interior, destacando principalmente las obligaciones legales que deben cumplir las empresas dedicadas a la prestación de este tipo de servicios, entre las que se encuentra, a modo de ejemplo, la exigencia de implementar procedimientos de seguridad y autenticación reforzada. Asimismo, facilitó una serie de recomendaciones legales para que las empresas de servicios de pago se ajusten al nuevo marco regulatorio establecido por la Directiva.

Agradecer a la Cámara de Comercio Hispano Sueca por la organización de esta jornada FinTech y al embajador de Suecia en España Lars-Hjalmar Wide por el trato recibido.

Letslaw es un despacho de abogados especializado en el derecho de nuevas tecnologías, protección de datos y comercio electrónico.

Nuevas entidades adheridas al Acuerdo de Privacy Shield

El 12 de Julio de 2016, la Comisión Europea aprobó el  Acuerdo de Privacy Shield que permite realizar transferencias internacionales de datos ciudadanos europeos a los Estados Unidos.

Recientemente se han adherido al Acuerdo de Privacy Shield las siguientes empresas:

  • GOOGLE, INC.
  • FACEBOOK, INC.
  • DROPBOX, INC.
  • SHOPIFY DATA PROCESSING (USA), INC.


Leer más… »

¿Es posible enlazar en sitios web obras protegidas?

El pasado 8 de septiembre de 2016 se publicó una sentencia relevante en lo relativo al tratamiento de los enlaces o hipervínculos incluidos en páginas web que dirigen a contenidos protegidos por derechos de propiedad intelectual.

Tras los casos Svensson y Bestwater, el Tribunal de Justicia de la Unión Europea ha dictado una resolución sobre el caso GS Media, que da un paso más sobre si el hecho de poner un hipervínculo a una obra es o no un acto de comunicación pública.

hipervinculos

En esta sentencia el Tribunal establece que para determinar si enlazar en un sitio web una obra protegida es un acto ilegal, hay que aclarar en qué circunstancias existe Comunicación pública y en cuáles no.

Para ello hay que tener en cuenta si el Titular de los derechos de autor ha publicado sus obras sin restricción o han sido publicadas en internet con su consentimiento.

  • Cuándo no se considera que existe Comunicación Pública

El hecho de que una persona distinta del titular de los derechos coloque en un sitio de Internet un hipervínculo que remite a obras disponibles libremente en otro sitio de Internet, no constituye una comunicación al público, ya que es considerado como una “transclusión” y no se considera que este acto de comunicación se dirija a un público nuevo.

La explicación a esto es que como el hipervínculo y el sitio de Internet al que remite dan acceso a la obra protegida con la misma técnica, Internet, el público podría sin necesidad de dicho enlace localizar las mismas obras.


Leer más… »

¿Cómo afecta la nueva Directiva europea 2015/2366, sobre servicios de pago en el mercado interior a los consumidores y a los bancos?

El pasado 12 de enero de 2016 entró en vigor la Directiva europea 2015/2366, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE.

base_imageLa nueva Directiva, conocida como PSD2 por sus siglas en inglés (Payment Services Directive) concede a los Estados miembros un periodo de dos años, es decir, hasta el 13 de enero de 2018, para transponer la directiva en sus ordenamientos jurídicos internos.

La PSD2 busca alcanzar un objetivo triple:

  • Creación de un mercado único integrado de pagos electrónicos para aprovechar las oportunidades de la economía digital.
  • Cubrir las lagunas jurídicas surgidas como consecuencia de la aparición de los nuevos intervinientes en el negocio y nuevos tipos de pagos propiciados por la innovación tecnológica.
  • Promocionar la seguridad y fiabilidad de los servicios de pago, fortaleciendo la protección del consumidor ya que, en los últimos años, los riesgos relacionados con la seguridad han aumentado debido a la mayor complejidad técnica y el continuo incremento en el volumen de este tipo de operaciones.

En orden a alcanzar estos objetivos, la PSD2 introduce una serie de cambios significativos.

Inclusión de los proveedores de servicios de pago terceros: SIP y SIC.

Como novedad principal, la PSD2 incluye dentro de su ámbito de aplicación a los llamados proveedores de servicios de pago terceros (Third Party Payment Service Providers o TPP), que ofrecen servicios de información de cuentas (SIC) y servicios de iniciación de pagos (SIP). 
Leer más… »

La Inspección de Trabajo realiza una importante campaña de control del tiempo de trabajo

La Inspección de trabajo viene desarrollando una intensa campaña de control del cumplimiento de la jornada laboral de los trabajadores en la empresa. Durante la misma se está haciendo especial hincapié en la situación de los trabajadores a tiempo parcial, así como en la existencia de instrumentos empresariales con los que poder controlar el desarrollo de la jornada laboral.

La citada campaña viene tras la publicación de varias Sentencias Judiciales entre las que puede destacarse el pronunciamiento de la Audiencia Nacional en relación a BANKIA y su sistema de control de la jornada laboral respecto a sus empleados.

control-del-tiempo-de-trabajo-150x150

Los puntos que los Inspectores de Trabajo están chequeando con especial énfasis son:

  • Clausulado de distribución horaria de los contratos a tiempo parcial. Exigiendo un redactado que dote al trabajador de cierta estabilidad o presumiendo caso contrario el carácter a tiempo completo del contrato.
  • Existencia de instrumentos diarios de control de la jornada laboral a los que los Inspectores puedan tener acceso.
  • Entrega a final de mes a los trabajadores de desglose de las horas realizadas e identificación de excesos de jornada.


Leer más… »

Nueva y controvertida política de privacidad de WhatsApp

WhatsApp anunció el pasado jueves 25 de agosto de 2016 que modificaba sus términos y condiciones después de 4 años sin actualizarlos a pesar de los constantes cambios de la mayor aplicación de mensajería instantánea que existe. Muchos de estos cambios conllevan importantes efectos sobre los derechos de privacidad del usuario ( el doble check azul, las llamadas, la adquisición por parte de Facebook o el cifrado de las conversaciones).

whatsapp-facebook

 

A continuación os explicamos los puntos más relevantes de estos cambios:

 

Puntos clave de la modificación de sus términos y condiciones de uso.

  • WhatsApp comparte su información con el resto de empresas de la familia Facebook (es decir, otras ocho), para personalizar el servicio, mejorarlo, aumentar su seguridad o mostrar anuncios relevantes. Y esto mismo ocurre al revés, la familia Facebook dará información a WhatsApp para los mismos propósitos.
  • WhatsApp no tendrá banners publicitarios; aunque si podrás recibir ofertas comerciales de los futuros perfiles comerciales, como pueden ser servicios de paquetería, mensajes comerciales de agencias de viajes, etc.
  • Cualquier servicio de WhatsApp, Facebook o empresas del grupo podrá promocionarse en WhatsApp.
  • La agenda de tus contactos se comparte por completo con WhatsApp, concretamente los números de teléfono que ya tienen contratado el servicio como aquellos que no lo tienen.
  • Las fotos y videos populares podrán conservarse en los servidores de WhatsApp durante 30 días.
  • Existe la opción de pedirle a WhatsApp que elimine una foto, estado, mensaje… por infracción de copyright.
  • La información personal se sigue tratando y procesando en Estados Unidos. Pero ahora también se habla de “otros países”. Y no se hace ninguna mención al Privacy Shield como mecanismo para este tipo de transferencias.

Una vez comentados los puntos clave o que más nos pueden perjudicar nos queda plantearnos lo siguiente:


Leer más… »

Branded Content: La Comisión Federal del Comercio de EE.UU sitúa a en el punto de mira a los “Influencers”

“El principio clave es bastante simple: Los consumidores tienen derecho a saber si se trata de una opinión o si están dando un discurso por el que se les paga”.

Jessica Rich, Directora de la Comisión Federal de Comercio de EE.UU. (FTC, por sus siglas en inglés), explicaba con estas palabras la máxima que deben seguir todos aquellos “influencers” que protagonicen anuncios o publiquen mensajes en redes sociales a favor de determinadas marcas, tras los que subyacen acuerdos publicitarios entre las marcas y los propios “influencers”.

En este sentido, la Warner Bross Entertainment acaba de aceptar una resolución sancionadora de la FTC por conducta engañosa: la productora pagó en 2014 a “youtubers” como PewDiePie “para que crearan, publicaran y promocionaran videos con comentarios favorables sobre el nuevo videojuego –La Tierra Media: sombras de Mordor-, sin exigirles que revelaran claramente que habían recibido un pago para promocionarlo”.

Influencer

El procedimiento sancionador de la FTC se basó en comentarios engañosos para el consumidor, y ello puesto que según recuerdan fuentes de la FTC, “la ley dice que si alguien recibe un pago a cambio de publicar un comentario u opinión sobre un producto debe revelar esta relación”.


Leer más… »