Author: LetsLaw

Desde Letslaw queremos explicar quién es el Delegado Protección de Datos (DPO), figura que está regulada en el nuevo Reglamento General de Protección de Datos (RGPD), normativa que será aplicable a partir del 25 de mayo de 2018.

Para ello, nos basamos en el contenido del nuevo Reglamento y en la guía elaborada por el Grupo de Trabajo del Artículo 29 y que ha sido publicada con intención de marcar unas directrices prácticas para ayudar a las empresas (responsables y encargados del tratamiento), para adaptarse al nuevo marco normativo europeo en protección de datos.

¿En qué casos es necesario nombrar a un DPO?

Según el RGPD, será obligatorio que las empresas que traten datos personales nombren un DPO siempre que se de alguna de las siguientes circunstancias:

Cuando el tratamiento lo lleva a cabo una autoridad u organismo público
En caso de que se tratasen a gran escala categorías especiales de datos. Entre estos datos se encuentran: datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
La actividad principal de la empresa consista en el tratamiento de datos que, por su naturaleza, alcance y/o fines, el seguimiento regular y sistemático de los interesados a gran escala (por ejemplo, empresas de Marketing Digital, big data, etc.).
En caso de que se tratasen datos relativos a condenas e infracciones penales a gran escala.

¿Qué es un tratamiento requiere una observación habitual y sistemática a gran escala?

Entre los supuestos citados en los que es obligatoria la figura del DPO, se incluyen conceptos ciertamente ambiguos como “observación habitual y sistemática” o “tratamientos a gran escala”, que el Grupo de Trabajo del Artículo 29 ha intentado aclarar en la guía que ha elaborado.

En concreto, respecto de la expresión “seguimiento regular y sistemático de los interesados”, el Grupo de Trabajo propone, varios ejemplos de actividades que pueden conllevar un seguimiento del comportamiento de los interesados, como son: la elaboración y clasificación de perfiles para realizar evaluaciones de riesgos, los programas de fidelización, la publicidad comportamental, seguimiento de ubicación a través de aplicaciones móviles, seguimiento de datos relacionados con el bienestar, como el estado físico y salud recabados mediante dispositivos portátiles (por ejemplo los que se llevan adheridos al cuerpo), el uso de circuitos cerrados de televisión o de dispositivos conectados a Internet (como electrodomésticos o coches inteligentes).

En relación con la expresión “a gran escala”, según el Grupo de Trabajo es un concepto que puede definirse teniendo en cuenta una serie de criterios, como son: el número de sujetos afectados, el volumen de datos tratados y/o el rango de diferentes elementos de datos que se están procesando, la duración o permanencia de la actividad de procesamiento de datos y, la extensión geográfica.

Así, constituirían tratamientos a gran escala:

Tratamientos datos de pacientes realizados por un hospital en su actividad ordinaria.
Tratamientos de datos de clientes por una compañía de seguros o un banco
Tratamientos de datos de tráfico, localización por prestadores de servicios de acceso a Internet o telefonía;
Tratamiento de datos para llevar a cabo actividades de publicidad comportamental o behavioural advertising mediante motores de búsqueda, entre otros.

¿Con qué cualidades debe contar el DPO?

Contáctanos

Jul 07 2017

REFORMA DEL SISTEMA DE COMPENSACIÓN POR COPIA PRIVADA. VUELVE EL CANON DIGITAL

El Gobierno aprobó el pasado 3 de julio el Real Decreto Ley 12/2017, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de...

Jul 06 2017

SE HA PUBLICADO EL ANTEPROYECTO DE LEY DE PROTECCIÓN DE DATOS

El pasado 23 de junio el Ministerio de Justicia ha publicado el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Pese a que el texto del Anteproyecto será aún objeto de modificaciones y...

Jun 20 2017

La Unión Europea bloquea la Plataforma “The Pirate Bay” por infringir los derechos de autor

El pasado 14 de junio de 2017 el Tribunal de Justicia de la Unión Europea resolvía una cuestión prejudicial planteada por el Tribunal Supremo de los Países Bajos (“Hoge Raad der Nederlanden”) sobre la interpretación...

Jun 08 2017

¿ES COMPATIBLE LA TECNOLOGÍA BLOCKCHAIN CON EL NUEVO RGPD?

¿QUÉ ES BLOCKCHAIN? Blockchain, o la cadena de bloques, es la revolución tecnológica sobre la que se establece la base de la criptomoneda Bitcoin. Se compone de una cadena digital de registros con enlaces encadenados para...

May 17 2017

El servicio ofrecido por UBER debe calificarse de “Servicio en el ámbito del transporte”

El pasado 10 de mayo, el abogado general del Tribunal de Justicia de la Unión Europea (TJUE) dictaminó en sus conclusiones que el servicio UberPop que conecta a conductores particulares no profesionales con usuarios para el transporte de pasajeros en sus propios vehículos es un servicio de transporte sometido a las condiciones exigidas a los transportistas (en el caso del litigio, las licencias y autorizaciones previstas por el Reglamento Metropolitano del Taxi de Barcelona).

Entre las razones que argumenta Maciej Szpunar para llegar a esta conclusión, el abogado indica que el servicio controvertido es un servicio mixto, una parte del cual se presta por vía electrónica, y, por definición, la otra no.

En este sentido, y según el abogado, a través del servicio UberPop, “Uber controla los factores económicamente relevantes del servicio de transporte urbano ofrecido en el marco de esta plataforma”, imponiendo a los conductores requisitos para su actividad, ejerciendo un control sobre la calidad de las prestaciones y determinando de hecho el precio del servicio.

Contáctanos

May 12 2017

https 2F2Fcdn.evbuc .com2Fimages2F284025392F2027057013752F12Foriginal

Apúntate al seminario de Letslaw “ Retos legales para Startups ” en Google Campus Madrid

El próximo 18 de mayo os esperamos en Google Campus Madrid para explorar todo lo que cualquier emprendedor y/o Startups necesitan saber a nivel legal para iniciar su negocio. Son muchos los retos que afrontan los...

May 04 2017

UN AÑO MÁS, ¡LETSLAW PARTICIPA COMO EXPOSITOR EN OMEXPO 2017!

Los días 26 y 27 de abril de 2017 tuvo lugar el evento OMExpo by Futurizz 2017, una feria de referencia en el sector del Marketing Digital, e-commerce y del digital business que supone un...

Abr 24 2017

¿HACES BIG DATA? PLANTÉATE REALIZAR UNA EVALUACIÓN DE IMPACTO

Una de las novedades establecidas por el Reglamento General de Protección de Datos (RGPD), aplicable a partir del próximo 25 de mayo de 2018, es la obligación de una evaluación de impacto en la protección de Datos Personales (EIPD) en determinados casos.

Cualquier ecommerce o empresa que trate datos de carácter personal deberá familiarizarse con este nuevo concepto y sus implicaciones legales. Desde LETSLAW ya nos interesamos por las EIPD en un post anterior donde se destacaban las principales claves a tener en cuenta: https://letslaw.es/principales-claves-sobre-las-evaluaciones-de-impacto-en-la-proteccion-de-datos/.

En concreto, este primer análisis respondía a las cuestiones sobre qué es una EIPD, cuándo es obligatorio realizarla y cómo debe realizarse.

Si bien esta información viene dada por el nuevo RGPD, el Grupo de trabajo del Artículo 29 ha publicado recientemente unas Directrices sobre la Evaluación de Impacto relativa a la Protección de Datos y para determinar si el tratamiento “puede entrañar un alto riesgo” a efectos del Reglamento 2016/679, que interpretan la nueva normativa y ofrecen una serie de recomendaciones.

Las directrices dadas por el Grupo de Trabajo del Artículo 29 facilitan información importante sobre dos cuestiones principales (I) cuándo se entiende que tratamiento “puede entrañar un alto riesgo” y (II) qué puntos concretos debe contener una EIPD, que resumimos a continuación:

I. TRATAMIENTO DE DATOS QUE “PUEDE ENTRAÑAR UN ALTO RIESGO”.

El RGPD establece una obligación general de realizar una EIPD en su artículo 35, siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas”.

Asimismo, el REGD establece tres casos particulares en los que siempre será necesario realizar una EIPD: (i) tratamientos a gran escala de datos sensibles, (ii) observación sistemática a gran escala de una zona de acceso público y (iii) tratamientos que impliquen la “evaluación sistemática y exhaustiva de aspectos personales” con base tecnológica, como puede ser la elaboración de perfiles para tomar decisiones que afecten jurídicamente al interesado.

Como indica el propio RGPD al referirse a estos tres casos “en particular”, se trata de una lista no exhaustiva. Puede haber operaciones de tratamiento de «alto riesgo» que no se contemplan en la citada lista, pero que presentan riesgos igualmente altos. Estas operaciones de procesamiento también estarán sujetas a la realización de una EIPD.

Con el fin de proporcionar un conjunto más concreto de operaciones de tratamiento que requieran un EIPD, el Grupo de Trabajo del Artículo 29 establece los siguientes criterios que las empresas deberán identificar en los tratamientos de datos realizados:

Contáctanos

Abr 17 2017

Captura de pantalla 2017 04 17 a las 10.46.35

Letslaw y el Observatorio eCommerce & Transformación Digital presentan la -Guía Legal para eCommerce- dentro de su Colección de Libros Blancos

El Libro Blanco “Guía Legal para eCommerce” realizado por el Observatorio eCommerce y Transformación Digital en colaboración con Letslaw analiza las diferentes normativas que regulan el negocio digital para tener una visión global de las implicaciones.

A lo largo del Libro Blanco se señalan los pasos que deben seguir todos los eCommerce para cumplir con leyes como la Ley de Servicios y Sociedad de la Información y Comercio Electrónico, la Ley de Protección de Datos, y la Ley de Consumidores y Usuarios.

Contáctanos

Abr 17 2017

CONOCE LA NUEVA LEY DE PATENTES

Dominios y Marcas

La Ley de patentes tiene como objetivo principal la equiparación del derecho español al sistema de legislación europeo. Uno de los cambios en la modificación del pasado 2017 de la ley de patentes que más novedades...

Abr 07 2017

LA AEPD SANCIONA A LA EMPRESA TITULAR DEL SITE LOLABITS.ES POR INFRACCIÓN DE LA “LEY DE COOKIES”

La entidad ABELHAS.PT LIMITED ha sido sancionada por la Agencia Española de Protección de Datos por una infracción del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (en adelante, LSSI)...

Mar 31 2017

Con los datos de menores no se juega: conoce cómo protegerlos

Muchas empresas tratan en su día a día, datos personales de menores, por ejemplo para permitirles participar en un concurso o una promoción organizada por la empresa, para utilizar sus fotografías en alguna publicidad (sí, las fotografías de personas también se consideran datos de carácter personal), o directamente porque sus servicios están dirigidos a niños.

Cuando se tratan datos de menores, la normativa de protección de datos es especialmente protectora, puesto que se les considera individuos especialmente vulnerables y crédulos, sobre todo en ámbito de Internet.

Así, si tu empresa capta datos de carácter personal de menores, no te pierdas las principales claves para recabar y tratar correctamente estos datos que te facilitamos desde Letslaw:

¿Qué es un menor en materia de protección de datos?

Lo primero que debemos tener claro es qué se considera como menor de edad en el ámbito de la protección de datos.

La normativa de Protección de Datos considera menor a aquella persona cuya edad es inferior a 14 años y considera que éstos no tienen capacidad para otorgar su consentimiento.

Es decir, según la normativa, los niños de entre 0 y 13 años no tienen capacidad para otorgar su consentimiento, por lo que se deben tomar medidas adicionales de protección para poder tratar sus datos.

¿Qué medidas debemos tomar para tratar datos de menores?

La normativa de protección de datos establece que los mayores de 14 años tienen capacidad para otorgar por sí mismos el consentimiento para el tratamiento de sus datos.

Podríamos decir que la captación y tratamiento de los datos de menores entre 14 y 18 años será equiparable a la de un adulto. Es decir, ellos mismos podrán otorgar el consentimiento para la utilización de sus datos (sin necesidad de autorización paterna), por ejemplo, aceptando directamente la política de privacidad de la empresa, siempre y cuando ésta cumpla el deber de información del artículo 5 de la LOPD.

Sin embargo, esto cambia cuando los datos que pretendemos recabar son de menores de 14 años. En estos casos se deberán tomar medidas adicionales para recabar correctamente su consentimiento, que os detallamos a continuación:

1º.- Utiliza un lenguaje sencillo

Cuando recabamos datos de carácter personal, la normativa exige a las empresas que informen a los titulares de esos datos sobre: (i) la identidad de la empresa que será la responsable de esos datos, (ii) la finalidad para la que se van a utilizar los datos, (iii) si se van a ceder a terceras empresas, o (iv) la posibilidad de que los titulares ejerciten sus derechos de acceso, rectificación, cancelación u oposición.

Si estamos dirigiéndonos a menores con intención de recabar sus datos personales, la normativa exige que la información que se facilite a éstos se exprese en un lenguaje que sea fácilmente comprensible por los menores, adaptada a la capacidad de entendimiento de éstos, y por tanto con un lenguaje claro y sencillo.

2º.- Obtén el consentimiento o la autorización paterna

Tal y como establece el Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de Desarrollo de la LOPD (en adelante, “RLOPD”) en su artículo 13, los niños menores de 14 años no tienen capacidad para otorgar el consentimiento por si mismos, y por tanto siempre será necesario obtener el consentimiento de sus padres o tutores para el tratamiento de sus datos.

Así para que las empresas puedan cumplir con la normativa de protección de datos, será necesario que en el momento de recabar los datos personales de menores, exijan que se aporte una autorización debidamente firmada por los padres o tutores.

Contáctanos

Mar 23 2017

¿Qué es el Cybersquatting? ¿Qué medidas legales hay para afrontarlo?

El nombre de dominio se ha convertido en uno de los signos distintivos principales para las empresas a la hora de dar a conocer su marca en el entorno digital, por lo que ha adquirido...

Mar 21 2017

ADELÁNTATE Y ADAPTA TU EMPRESA ANTES DE QUE EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS SEA APLICABLE

Hoy en día todas las empresas son responsables de datos personales, ya sea de sus trabajadores, clientes, usuarios, etc., por lo que resulta imprescindible conocer las novedades normativas del Reglamento General de Protección de Datos (RGPD). Aunque...

Mar 09 2017

Libertad humana Vs. Robots. La regulación de los robots ya está aquí

La evolución de la tecnología en todos los campos ha llevado a que la legislación tenga que prestar atención a ella y adaptarse a dicha evolución. Esta situación ha llevado al Parlamento Europeo a aprobar una...

Mar 02 2017

Consecuencias legales de la modificación fraudulenta del contenido de Wikipedia

El suplemento Jurídico del diario Expansión de hoy publica un artículo, firmado por Almudena Vigil, sobre las consecuencias legales derivadas de la modificación fraudulenta, en contra de un tercero, del contenido de Wikipedia. Por su interés, reproducimos los...

Mar 02 2017

LA PUJA EN ADWORDS POR LA MARCA DE UN COMPETIDOR NO IMPLICA SIEMPRE UNA INFRACCIÓN MARCARIA NI COMPETENCIA DESLEAL

Dominios y Marcas

El pasado 15 de febrero de 2017, el Tribunal Supremo ha dictado Sentencia en el procedimiento judicial seguido por Orona S. Coop (en adelante Orona) contra la Citylift, S.A. (en adelante Citylift). La cuestión principal del...

Mar 02 2017

Delitos informáticos: difusión de datos personales y /o familiares.

¿Sabes qué delito conlleva publicar datos personales sin permiso? Descargar un simple archivo o conectar tu bluetooth a otro terminal puede significar la exposición total de un teléfono móvil y todo su contenido (agenda, emails,...

Feb 09 2017

NOVEDADES RGPD: RECOMENDACIONES PARA LOS RESPONSABLES DE TRATAMIENTO

La AEPD ha publicado recientemente la Guía para Responsables de Tratamiento , un documento importante y que aclara muchas de los interrogantes que se nos plantean con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el pasado mes de mayo.

¿CUÁNDO EMPEZAR LA ADAPTACIÓN LOS RESPONSABLES DE TRATAMIENTO?

Aunque el RGPD será aplicable a partir de mayo de 2018, en el periodo de transición es imprescindible preparar y adoptar las medidas necesarias para asegurar el cumplimiento de las previsiones de la nueva normativa en el momento en que sea de aplicación.

En este sentido, muchas de las recomendaciones o interpretaciones que ofrece la AEPD pueden ponerse en práctica de inmediato porque tienen que ver con actuaciones que debieran iniciarse ya durante el periodo de transición entre la entrada en vigor y el inicio de la aplicación del RGPD.

El RGPD incorpora dos claves que sirven de base de las principales novedades de esta nueva normativa:

Principio de responsabilidad proactiva

Se exige una actitud consciente, diligente y proactiva por parte de las empresas, que deberán analizar todos los tratamientos de datos personales que llevan a cabo para determinar la forma en que aplicarán las medidas que el RGPD prevé. Será importante asegurarse de que son las medidas adecuadas y que así puede demostrarse ante los interesados y autoridades de supervisión.

El enfoque de riesgo

Será imprescindible realizar un análisis de los riesgos particulares de cada empresa. La aplicación del RGPD dependerá de las características de cada empresa, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

BASE DE LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS

Es imprescindible documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos, para lo cual será necesario:

Contáctanos

Ene 31 2017

Conoce el procedimiento extrajudicial para la devolución de las cláusulas suelo

El pasado 21 de enero de 2017 se publicó el Real Decreto Ley 1/2017 de medidas urgentes de protección de consumidores en materia de cláusulas suelo para facilitar la solución de controversias entre los consumidores...

Ene 23 2017

GUÍA LEGAL PARA EL USO DE DRONES EN ESPAÑA

Las aplicaciones prácticas de los drones para empresas y particulares es muy diversa: pueden ser utilizados como método de transporte en empresas de mensajería, instrumento de vigilancia, herramienta para la grabación de contenidos audiovisuales, actividades...

Ene 18 2017

Es posible reclamar la devolución de los gastos de formalización de las hipotecas a los bancos

¿Has pagado gastos por la constitución y formalización de tu hipoteca? Ahora puedes reclamárselos a tu banco:

Multitud de juzgados y tribunales están dictando sentencias obligando a los bancos a devolver a sus clientes los gastos de formalización de las hipotecas. Estas sentencias siguen el criterio que estableció el Tribunal Supremo en su sentencia de 23 de diciembre de 2015, en la que declaró abusivas las cláusulas que imponen al cliente todos los gastos de formalización de hipotecas, como, por ejemplo:

Los gastos de Notaría y Registro de la Propiedad;
Las cantidades pagadas en concepto de Impuesto de Actos Jurídicos Documentados;
Los gastos de gestoría y de tasación del inmueble; entre otros.

En concreto, la Sala Primera de lo Civil del Tribunal Supremo, en su sentencia 705/2015, declaró que son nulas las cláusulas que «imponen al consumidor todos los costes derivados de la concertación del contrato como consecuencia de la intervención notarial y registral y el pago de los tributos en los que el sujeto pasivo es el banco, como sucede en determinados hechos imponibles del Impuesto de Actos Jurídicos Documentados”.La Sentencia establece que este tipo de cláusulas generan un desequilibrio y, por tanto, se consideran abusivas de acuerdo con el artículo 89 de la Ley 1/2007, de 16 de noviembre, General para la Defensa de los Consumidores y Usuarios.

Según el criterio del Alto Tribunal, estos gastos deberían ser asumidos por los bancos en su totalidad o, al menos, la mitad, porque son estas entidades las interesadas en registrar la escritura hipotecaria.

La cantidad de esos gastos es variable, pues depende del importe de la hipoteca, si bien normalmente suelen representar entre el 2% y el 3% del importe del préstamo. A modo de ejemplo, según la Organización de Consumidores y Usuarios (OCU) en una hipoteca media de 150.000 Euros, estos gastos de notario, registro e Impuesto de Actos Jurídicos Documentados pueden ascender a más de 3.000 Euros.

¿Quién puede reclamar la devolución de los gastos?

Contáctanos

Ene 16 2017

E-Commerce: Privacidad y Comunicaciones Electrónicas

La mayoría de los E-Commerce utilizan las comunicaciones electrónicas para ponerse en contacto con sus clientes, mejorar la relación, enviarles ofertas comerciales y en general promocionar sus productos y/o servicios.

Podemos decir que a día de hoy las comunicaciones electrónicas resultan indispensables para cualquier empresa de comercio electrónico, siendo una práctica cada vez más extendida a nivel mundial, tanto vía email, como a través de llamadas telefónicas, SMS o incluso Whatsapp.

Por ello, la Comisión Europea ha elaborado una Propuesta de Reglamento de la Privacidad y las Comunicaciones Electrónicas que aumentará la protección de la vida privada de los ciudadanos y brindará nuevas oportunidades a las empresas.

La idea de la que parte esta Propuesta es la de crear nuevas posibilidades para tratar datos de comunicación y reforzar la confianza y seguridad en el mercado único digital. Esto beneficiará sin duda a los negocios online, puesto que permitirá mejorar las relaciones a través de medios electrónicos entre E-Commerce y consumidores.

Además, esta Propuesta incluye normas aplicables a las comunicaciones electrónicas que siguen ya los principios del nuevo Reglamento Europeo de Protección de Datos que resultará directamente aplicable a todos los estados miembros a partir del próximo 25 de mayo de 2018.

I. Novedades de la Propuesta:

La nueva propuesta contiene una serie de aspectos interesantes para los E-Commerce que deben tenerse en cuenta para llevar a cabo buenas prácticas en las comunicaciones comerciales con consumidores y usuarios. Desde Letslaw te contamos las claves de la Propuesta:

1. Nuevos participantes:

La nueva propuesta amplia el ámbito de aplicación de las normas sobre privacidad, que hasta ahora solo se aplicaban a los medios de telecomunicación tradicionales, a los nuevos proveedores de servicios de comunicaciones electrónicas, como WhatsApp, Facebook Messenger, Skype, Gmail, iMessage o Viber.

Contáctanos

Ene 09 2017

Nuevas Guías del Grupo de Trabajo del art.29: El Delegado de Protección de Datos, las Autoridades de Control y el Derecho de Portabilidad

El grupo de trabajo del art. 29 publicó el pasado mes de diciembre nuevas directrices para la adecuación al nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor a partir del 25 de mayo de 2018. Estas guías interpretativas tratan de tres cuestiones:

La figura del Data Protection Officer o Delegado de Protección de Datos
La identificación de la Autoridad de Control Principal
El Derecho a la Portabilidad de los Datos

DELEGADO DE PROTECCIÓN DE DATOS

En los art. 37, 38 y 39 del Reglamento se recoge la figura del Delegado de Protección de Datos (DPO). Es recomendable el nombramiento de un DPO para todos aquellos que traten datos personales, y obligatorio en determinadas situaciones como:

Entidades cuya actividad principal consista en el tratamiento de datos que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática a gran escala (por ejemplo, empresas de Marketing Digital, big data, etc.)
Entidades que realicen tratamiento de categorías especiales de datos especiales, a las cuales se refiere el art. 9 del Reglamento:
- Datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, con las excepciones del apartado segundo del mismo artículo.
- Datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
- Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.
Entidades que realicen tratamiento de datos relativos a condenas e infracciones penales (recogidas en el art.10) a gran escala.
Autoridades y organismos públicos, excepto tribunales.

Contáctanos

Nov 21 2016

Guía sobre los procedimientos de anonimización de los datos personales

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía que contiene una serie de orientaciones y garantías para llevar a cabo los procedimientos de anonimización de datos personales.

La Guía de la AEPD define los procesos y fases de anonimización que se deben adoptar para eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados, de manera que se garantice que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no consiga identificar a las personas titulares de los datos anonimizados.

Para llevar a cabo el proceso de anonimización, la AEPD aconseja definir un protocolo de actuación en base a las siguientes fases:

1.- Definición de equipo de trabajo

En el proceso de anonimización, se aconseja crear un equipo de trabajo y asignarle a cada componente determinadas funciones atendiendo a los perfiles que cada persona puede desarrollar en este proceso.
La AEPD considera que el equipo podría estar formado de la siguiente manera: (i) Responsable del fichero: decide sobre la finalidad a los que debe responder los datos personales, (ii) Responsable de protección de datos (en su caso, DPO): promover la realización de evoluciones de impacto previo en los procesos de anonimización y verificar la ejecución en dichos procesos, (iii) Destinatario de la información anonimizada y responsable del tratamiento de datos anonimizados: deciden sobre los requisitos de la información atendiendo a los objetivos finales a los que se destina la misma, (iv) Equipo de evaluación de riesgos: encargado de realizar la evaluación de riesgos inicial, evaluar el resultado del proceso, auditar el procedimiento de anonimización, (v) Equipo de preanonimización y anonimización: propone técnicas para una anonimización efectiva y elimina aquellas variables cuya anonimización no se ajuste a la finalidad, (vi) Equipo de seguridad de la información y del proceso: vela por las medidas de seguridad durante el proceso de anonimización.

2.-Independencia de funciones

Contáctanos

Nov 02 2016

La agencia española de protección de datos inicia una investigación por la comunicación de datos entre whatsapp y facebook

El pasado mes de agosto WhatsApp actualizó los términos de su servicio y la política de privacidad, introduciendo cambios sobre la forma en la que maneja la información personal de sus usuarios. Podéis encontrar toda...

Oct 27 2016

Principales claves sobre las Evaluaciones de Impacto en la protección de datos

Actualmente en España no existe la obligación legal de realizar Evaluaciones de Impacto en la Protección de Datos en ningún sector o ámbito específico. Sin embargo, el nuevo Reglamento Europeo de Protección de Datos (REPD), aplicable a partir del próximo 25 de mayo de 2018, establece la obligación de realizar evaluaciones de impacto en determinados casos.

Cualquier ecommerce o empresa que trate datos de carácter personal deberá familiarizarse con este nuevo concepto y sus implicaciones legales.

¿Qué es una Evaluación de Impacto?

Una Evaluación de Impacto en la Protección de los Datos Personales (en adelante, “Evaluación de Impacto”) o Privacy Impact Assessment (PIA) es una obligación legal contemplada en el REPD que afecta a las empresas según el tipo de tratamiento de datos personales que realicen.

La Evaluación de Impacto deberá realizarse antes de llevar a cabo el tratamiento de datos, y consistirá en un
análisis de los riesgos de un sistema de información, producto o servicio de una empresa que puedan causar un perjuicio para los afectados cuyos datos son tratados (pérdida de control sobre sus datos, usurpaciones de identidad, daños reputacionales o económicos…).

A raíz del análisis realizado, se deberá planificar una adecuada gestión de los riesgos identificados, adoptando las medidas necesarias para neutralizarlos o reducirlos en la medida de lo posible.

¿Cuándo es obligatorio realizar una Evaluación de Impacto?

El REPD establece en su artículo 35 la obligación de realizar una Evaluación de Impacto siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas” y, especialmente, cuando se utilicen las nuevas tecnologías.

Contáctanos

José María Baños, socio fundador de Letslaw, participó en la jornada de FinTech organizada por la Cámara de Comercio Hispano Sueca sobre los nuevos servicios de pago

Letslaw

José María abordó la temática relacionada con la nueva Directiva europea sobre servicios de pago en el mercado interior, destacando principalmente las obligaciones legales que deben cumplir las empresas dedicadas a la prestación de este...

Oct 07 2016

Nuevas entidades adheridas al Acuerdo de Privacy Shield

Recientemente se han adherido al Acuerdo de Privacy Shield las siguientes empresas: GOOGLE, INC. FACEBOOK, INC. DROPBOX, INC. SHOPIFY DATA PROCESSING (USA), INC....

Sep 21 2016

¿Es posible enlazar en sitios web obras protegidas?

El pasado 8 de septiembre de 2016 se publicó una sentencia relevante en lo relativo al tratamiento de los enlaces o hipervínculos incluidos en páginas web que dirigen a contenidos protegidos por derechos de propiedad intelectual.

Tras los casos Svensson y Bestwater, el Tribunal de Justicia de la Unión Europea ha dictado una resolución sobre el caso GS Media, que da un paso más sobre si el hecho de poner un hipervínculo a una obra es o no un acto de comunicación pública.

En esta sentencia el Tribunal establece que para determinar si enlazar en un sitio web una obra protegida es un acto ilegal, hay que aclarar en qué circunstancias existe Comunicación pública y en cuáles no.

Para ello hay que tener en cuenta si el Titular de los derechos de autor ha publicado sus obras sin restricción o han sido publicadas en internet con su consentimiento.

Cuándo no se considera que existe Comunicación Pública

El hecho de que una persona distinta del titular de los derechos coloque en un sitio de Internet un hipervínculo que remite a obras disponibles libremente en otro sitio de Internet, no constituye una comunicación al público, ya que es considerado como una “transclusión” y no se considera que este acto de comunicación se dirija a un público nuevo.

La explicación a esto es que como el hipervínculo y el sitio de Internet al que remite dan acceso a la obra protegida con la misma técnica, Internet, el público podría sin necesidad de dicho enlace localizar las mismas obras.

Contáctanos

Sep 21 2016

¿Cómo afecta la nueva Directiva europea 2015/2366, sobre servicios de pago en el mercado interior a los consumidores y a los bancos?

El pasado 12 de enero de 2016 entró en vigor la Directiva europea 2015/2366, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE.

La nueva Directiva, conocida como PSD2 por sus siglas en inglés (Payment Services Directive) concede a los Estados miembros un periodo de dos años, es decir, hasta el 13 de enero de 2018, para transponer la directiva en sus ordenamientos jurídicos internos.

La PSD2 busca alcanzar un objetivo triple:

Creación de un mercado único integrado de pagos electrónicos para aprovechar las oportunidades de la economía digital.
Cubrir las lagunas jurídicas surgidas como consecuencia de la aparición de los nuevos intervinientes en el negocio y nuevos tipos de pagos propiciados por la innovación tecnológica.
Promocionar la seguridad y fiabilidad de los servicios de pago, fortaleciendo la protección del consumidor ya que, en los últimos años, los riesgos relacionados con la seguridad han aumentado debido a la mayor complejidad técnica y el continuo incremento en el volumen de este tipo de operaciones.

En orden a alcanzar estos objetivos, la PSD2 introduce una serie de cambios significativos.

Inclusión de los proveedores de servicios de pago terceros: SIP y SIC.

Como novedad principal, la PSD2 incluye dentro de su ámbito de aplicación a los llamados proveedores de servicios de pago terceros (Third Party Payment Service Providers o TPP), que ofrecen servicios de información de cuentas (SIC) y servicios de iniciación de pagos (SIP).

Contáctanos

Sep 12 2016

La Inspección de Trabajo realiza una importante campaña de control del tiempo de trabajo

La Inspección de trabajo viene desarrollando una intensa campaña de control del cumplimiento de la jornada laboral de los trabajadores en la empresa. Durante la misma se está haciendo especial hincapié en la situación de...

Sep 07 2016

Nueva y controvertida política de privacidad de WhatsApp

WhatsApp anunció el pasado jueves 25 de agosto de 2016 que modificaba sus términos y condiciones después de 4 años sin actualizarlos a pesar de los constantes cambios de la mayor aplicación de mensajería instantánea...

Ago 25 2016

El Tribunal Constitucional anula las tasas judiciales para las personas jurídicas

El pasado 29 de julio se hizo pública la sentencia del Pleno del Tribunal Constitucional (Sentencia 140/2016, de 21 de julio) que declara la inconstitucionalidad y nulidad de las tasas judiciales para las personas jurídicas previstas en la Ley 10/2012, de 20 de noviembre, por la que se regulan determinadas tasas en el ámbito de la Administración de Justicia y del Instituto Nacional de Toxicología y Ciencias Forenses.

La sentencia resuelve el recurso interpuesto por el Grupo Parlamentario Socialista del Congreso de los Diputados contra determinados preceptos de la citada ley.

El Constitucional aclara en su sentencia que, aunque la doctrina emanada posee validez general, el pronunciamiento afecta exclusivamente a las personas jurídicas (es decir, cualquier empresa), dado que las personas físicas estaban ya exentas de pago desde la entrada en vigor del Real Decreto Ley 1/2015, de 27 de febrero.

El motivo de la inconstitucionalidad de las tasas hace referencia a su excesiva cuantía, entendiéndose que resultan desproporcionadas y pueden producir un efecto disuasorio a la hora de acudir a los Tribunales de Justicia en el ejercicio de su derecho fundamental a la tutela judicial efectiva.

– ¿Esta Sentencia afecta a todas las tasas judiciales de las personas jurídicas?

La Sentencia no declara nulas todas las tasas judiciales que afectan a las personas jurídicas, sino determinadas tasas previstas en los apartados 1 y 2 del artículo 7 de la Ley 10/2012.

En concreto declara inconstitucionales y nulas las tasa referidas en el orden jurisdiccional civil a los: recursos de apelación, casación y extraordinario por infracción procesal; en el orden jurisdiccional contencioso-administrativo: procedimiento abreviado y ordinario, así como los recursos de apelación y casación; y en el orden social: recursos de suplicación y casación; además de las cuotas variables.

No obstante, se mantienen las tasas de cuantía fija previstas para las personas jurídicas en el orden jurisdiccional civil en los supuestos de juicio verbal y cambiario, juicio ordinario, juicio monitorio, monitorio europeo y demanda incidental en el proceso concursal, ejecución extrajudicial y oposición a la ejecución de títulos judiciales, y en el caso del concurso necesario, sin perjuicio de las exenciones objetivas establecidas en el artículo 4 de la misma ley.

– ¿Es posible solicitar la devolución de las tasas ya pagadas?

Contáctanos

Jul 14 2016

La Comisión aprueba el Acuerdo Privacy Shield que permite realizar transferencias de datos a Estados Unidos

El 12 de Julio de 2016, la Comisión Europea aprobó el Nuevo Acuerdo (Privacy Shield) que permite realizar transferencias internacionales de datos ciudadanos europeos a los Estados Unidos.

El Privacy Shield es necesario desde que, en octubre del año pasado, el Tribunal de Justicia de la Unión Europea invalidase el Acuerdo anterior (el Acuerdo de Safe Harbour) por no considerarse adecuado para proteger los derechos fundamentales de los europeos.

Contenido del Acuerdo

Contáctanos

Jul 13 2016

Las entidades públicas no tienen derecho al honor según el Supremo

Una Sentencia del Tribunal Supremo ha establecido como doctrina jurisprudencial que “las personas jurídicas de Derecho Público no son titulares del derecho al honor que garantiza el artículo 18.1 de la Constitución Española”. Así lo ha declarado...

Jul 12 2016

Se aprueba la Directiva NIS para mejorar la Ciberseguridad la UE

El Parlamento Europeo aprobó el pasado 17 de mayo de 2016 la Directiva sobre la seguridad de las redes y sistemas de información, la llamada Directiva de NIS. El objetivo de la Directiva es lograr un...

Jul 08 2016

PRIMERAS IMPLICACIONES PRÁCTICAS DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD). Aunque no comenzará a aplicarse hasta el 25 de mayo de 2018, es importante que las empresas vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

La Agencia Española de Protección de Datos (AEPD) ha realizado un análisis de las implicaciones prácticas que conviene que las entidades conozcan para afrontar el momento en el que el RGPD sea aplicable.

1. El consentimiento tácito ya no será válido

El Reglamento requiere el consentimiento expreso para al tratamiento de datos personales. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española.

Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.Por tanto, la Agencia aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para los tratamientos comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al Reglamento como a utilizar mecanismos acordes con la nueva legislación.

Contáctanos

Jul 07 2016

Nueva regulación en España sobre las obras huérfanas

El pasado 16 de Junio de 2016 entró en vigor el Real Decreto 224/2016 por el que desarrolla el régimen jurídico de las obras huérfanas.

El objetivo de esta nueva normativa es el establecimiento de un marco jurídico que facilite la digitalización y divulgación de las denominadas obras huérfanas.

Las obras huérfanas son obras de propiedad intelectual susceptibles de protección por derechos de autor y/o derechos afines, cuyos titulares de derechos no han podido ser identificados o, si lo han sido, no están localizados.

La nueva normativa extiende su aplicación a obras cinematográficas o audiovisuales, fonogramas y obras publicadas en forma de libros periódicos, revistas, u otro material impreso que figuren en las colecciones de centros educativos, museos, bibliotecas, así como en hemerotecas y filmotecas accesibles al público.

Desde Letslaw os ofrecemos a continuación un breve resumen sobre el contenido de la nueva regulación:

Contáctanos

May 17 2016

Diez claves del nuevo Reglamento Europeo de Protección de Datos

El pasado 4 de mayo fue publicado en el Diario Oficial de la Unión Europea el texto definitivo del Nuevo Reglamento Europeo de Protección de Datos (REPD), aprobado por el pleno del Parlamento Europeo el...

Abr 12 2016

Conoce las 6 claves para adaptar tu e-commerce a la LOPD

Adaptar tu e-commerce a la Ley Orgánica de Protección de Datos (LOPD) y a su reglamento de desarrollo es fundamental para cumplir con la legalidad vigente y para generar confianza entre los usuarios y consumidores, por ello desde Letslaw te indicamos las principales claves que debes tener en cuenta para que tu e-commerce esté correctamente adaptado a la normativa en materia de protección de datos:

1.- Informar a los usuarios sobre el tratamiento de sus datos personales

Todo e-commerce trata datos personales de los usuarios (nombre, apellidos, e-mail, teléfono…) y por ello deben contar con una Política de Privacidad en la que se incluyan todos los requisitos exigidos por la LOPD.

Una correcta Política de Privacidad debe informar acerca de quién es el titular del sitio web, el tratamiento y la finalidad con la que se utilizarán esos datos personales (que habitualmente suele ser el envío de comunicaciones comerciales relacionadas con los product
os que comercializa el e-commerce)

Asimismo en este texto legal se deberá indicar si los datos personales serán cedidos a terceras empresas o si serán utilizados para la remisión de comunicaciones comerciales por cuenta de terceros.

2.- Consentimiento expreso por parte del usuario

Una vez hayamos informado al usuario acerca de las cuestiones que hemos indicado, la LOPD obliga a los e-commerce a que obtengan el consentimiento expreso por parte del usuario para el tratamiento de sus datos personales.

El consentimiento expreso sería válido, por ejemplo, si se implementa un sistema opt-in (casilla no marcada por defecto) y se incluye un texto de aceptación de la Política de Privacidad con un link que redirija a la misma.

De esta manera el usuario estaría expresamente consistiendo la utilización de sus datos personales para las finalidades indicadas en la Política de Privacidad.

3.- Derechos ARCO
Ver artículo

Contáctanos

Abr 04 2016

Letslaw participará en Futurizz 2016 con un “Meet & Greet Lounge”

Letslaw

Los días 20 y 21 de abril, Letslaw participará en el evento Futurizz Madrid 2016 (anteriormente conocido como OMExpo) que tendrá lugar en el pabellón nº 5 de IFEMA Feria de Madrid. Letslaw organizará un...

Mar 21 2016

El Tribunal Constitucional permite la grabación de imágenes de trabajadores sin obtener su consentimiento previo

En su Sentencia de fecha 3 de marzo de 2016, el Tribunal Constitucional confirma la posibilidad de grabar a los trabajadores de una empresa sin necesidad de contar con su consentimiento previo y expreso siempre que este tratamiento resulte necesario para el cumplimiento del contrato firmado por las partes, si bien es necesario cumplir con el deber de información del tratamiento de datos.

Los hechos de este caso se remontan al año 2012, cuando una empleada de Bershka fue objeto de un despedido disciplinario tras haberse demostrado mediante una serie de grabaciones realizadas por la empresa que esta empleada se había apropiado de dinero en efectivo, en diferentes fechas y de forma habitual, y que para ocultar estas apropiaciones, había realizado operaciones falsas de devoluciones de prendas.

Contáctanos

Mar 07 2016

El Tribunal Supremo dicta la primera sentencia sobre la responsabilidad penal de las personas jurídicas

La sentencia dictada por el TS analiza, conforme lo dispuesto en el artículo 31 bis del Código Penal , los requisitos que el Alto Tribunal ha tenido en cuenta a la hora de dictaminar la...

Mar 01 2016

Letslaw impartió, en colaboración con la Cámara de Comercio Hispano Sueca, un Workshop legal sobre las “Novedades legales en el entorno digital que debes tener en cuenta para tu negocio”

Letslaw

El pasado jueves 25 de febrero de 2016 tuvo lugar en la Sede Ericsson un Workshop legal que Letslaw impartió, en colaboración con la Cámara de Comercio Hispano Sueca, sobre las “Novedades legales en el entorno digital que debes tener en cuenta para tu negocio”.

En este Workshop, José María Baños, socio fundador de Letslaw, llevo a cabo un análisis sobre las novedades legales que están actualmente definiendo el entorno digital en materia de protección de datos de carácter personal y en la normativa relacionada con los derechos de consumidores y usuarios.

En materia de protección de datos de carácter personal, José María expuso los diferentes aspectos legales que se debe tener en cuenta a la hora de realizar campañas para el envío de comunicaciones comerciales por vía electrónica ya sea por email, SMS, WhatsApp, Twitter o por cualquier otro medio electrónico equivalente.

Asimismo, explicó las diferentes modalidades para la captación de nuevos usuarios, entre las que destacó el co-resigtro, el List broking, el e-mail retargeting, las modalidades de Facebook Custom Audience, y las técnicas del Member Get Member.

Contáctanos

Feb 22 2016

Conoce las cuestiones clave sobre la responsabilidad penal de las empresas y los planes de “compliance” en el ámbito de Internet

A propósito de la Circular 1/2016 publicada por la Fiscalía General del Estado el pasado 22 de enero de 2016 sobre la responsabilidad penal de las personas jurídicas, en Letslaw queremos destacar la importancia del “compliance” para las empresas, incluidas aquellas relacionadas con el ámbito de Internet.

En concreto, la Circular publicada por la Fiscalía analiza la responsabilidad penal de las personas jurídicas conforme a la reforma del código penal de julio de 2015, y facilita unas directrices para valorar la eficacia de los planes de compliance o cumplimiento normativo que deben seguir las empresas, principalmente en el ámbito fiscal.

De esta Circular se extrae la relevancia de los planes de compliance, que son planes o sistemas tendentes a evitar que se cometan delitos en el seno de la empresa. La importancia de estos planes de compliance radica en que están consagrados en el Código Penal como una eximente de la responsabilidad penal de las personas jurídicas. Es decir, el incumplimiento de estos planes puede conllevar la responsabilidad penal de una persona jurídica.

Por tanto, los planes de compliance deben tenerse muy en cuenta por parte de cualquier empresa, pero no solo en el ámbito fiscal sino también en el de las nuevas tecnologías.

En este sentido, la reforma del Código Penal de julio de 2015 contempla numerosos delitos en relación con el mundo digital de los que puede ser responsable penalmente cualquier persona jurídica (que ya explicamos con detalle en nuestro artículo): Estafas, intrusiones y daños informáticos, delitos contra la propiedad intelectual e industrial, “black hacking”, falsificación de tarjetas de crédito, así como otras vulneraciones de derechos relacionados con la privacidad y la protección de los datos de carácter personal.

Cualquier empresa puede ser considerada responsable penalmente por este tipo de delitos que se hubieran cometido en el seno de la misma, lo que podría dar lugar tanto a la imposición de cuantiosas sanciones penales como incluso a la disolución de la empresa o la suspensión de sus actividades.

No obstante, conforme al artículo 31 bis del Código Penal, se podrá excluir la responsabilidad penal de la empresa siempre y cuando se hubieran establecido determinados modelos de organización y gestión en la empresa, que incluyan medidas de vigilancia y control para prevenir la comisión de estos delitos. Estos modelos es lo que conocemos como “planes de compliance”.

Desde Letslaw detallamos las principales medidas de compliance que son recomendables para todas las empresas, y sobre todo aquellas que desarrollan su actividad online, para evitar incurrir en una responsabilidad penal:

1. Tomar medidas de protección de datos de carácter personal. Teniendo en cuenta que la mayoría de los delitos contemplados en el mundo online guardan una estrecha relación con la privacidad y la protección de los datos de carácter personal, deberá cumplirse rigurosamente con la Ley Orgánica de Protección de Datos y su reglamento de desarrollo y establecer un sistema de gestión de la seguridad de la información.

Contáctanos

Feb 01 2016

Los derechos de la privacidad en el ámbito laboral

Hace poco más de dos semanas, el Tribunal Europeo de los Derechos Humanos de Estrasburgo (en adelante “TEDH”) dictaba sentencia en el asunto 61496/08 “Caso de Barbulescu vs. Romania”, mediante la cual, el TEDH reconocía...

Letslaw y Madrid Internet Startups llegan a un acuerdo de colaboración

Letslaw ha cerrado un acuerdo de colaboración con Madrid Internet Startups, una comunidad que facilita a los empresarios emprendedores encontrar oportunidades para desarrollar nuevos negocios, lanzar nuevos productos, promover sus marcas y ampliar su margen...

Ene 07 2016

La Comisión Europea pone fin al Roaming

La Comisión Europea ha adoptado nuevas medidas legislativas con el fin de eliminar por completo el roaming, es decir, el cargo extra que las compañías telefónicas cobran a los consumidores cuando éstos utilizan su móvil...

Dic 16 2015

La nueva LECrim permite intervenir Whatsapps e introducir troyanos en dispositivos para investigar delitos

La reforma de la Ley de Enjuiciamiento Criminal ha entrado en vigor el pasado lunes 7 de diciembre de 2015, dos meses después de su publicación en el BOE. La nueva norma introduce cambios como las medidas contra la ‘pena de telediario’ o el cambio del término ‘imputado’ por el de ‘investigado’, pero también incorpora otras medidas que pueden comprometer el derecho a la intimidad y el secreto de las comunicaciones.

Desde Letslaw os detallamos cuáles son las diez principales medidas que incorpora la reforma:

1. Intervención de e-mails y Whatsapps. Además de la intervención y registro de las comunicaciones telefónicas, la Ley regula la interceptación de las comunicaciones que se realicen a través de cualquier otro medio o sistema de comunicación telemática, lógica o virtual, como correos electrónicos, SMS o Whatsapp, sin que el propietario del dispositivo tenga conocimiento alguno, para la investigación de supuestos delitos.

Se establece un plazo de tres meses como duración máxima inicial de la intervención, plazo que es susceptible de ampliación y prórroga previa petición razonada por períodos sucesivos de igual duración, hasta un máximo temporal de dos años, siempre que subsistan las causas que motivaron aquélla.

En todo caso, para llevar a cabo estas intervenciones en las comunicaciones privadas, se deberá contar con una autorización judicial, y será el propio juez quien pondere hasta qué punto el investigador podrá intervenir en dichas comunicaciones, en función de la gravedad del delito investigado y la proporcionalidad de la medida.

Asimismo, con esta reforma, los operadores telefónicos, compañías de hosting y, básicamente, cualquier empresa tecnológica que contribuya a facilitar las comunicaciones telefónicas o telemáticas, estarán obligados a colaborar con el juez o policía judicial para facilitar estas intervenciones.

2. Instalación de troyanos.Con la nueva reforma, los jueces podrán autorizar que se lleven a cabo técnicas de los “hackers” como por ejemplo, la utilización de claves, códigos y softwares de vigilancia (también conocidos como “troyanos buenos”) en un ordenador, teléfono móvil o cualquier dispositivo electrónico sin que el titular tenga conocimiento de que está siendo examinado.

Estos programas podrán usarse en el caso de crimen organizado, delitos contra menores o de personas tuteladas, o contra la Constitución o la seguridad nacional, pero también en cualquier delito informático, es decir, cometido a través de la tecnología de la información y las comunicaciones.

3. “Ciberpolicías” encubiertos. La reforma regula la figura del agente encubierto en Internet que podrá investigar en la red mediante el uso de una identidad falsa. Es decir, los agentes de policía podrán hacerse pasar por otras personas en conversaciones por redes sociales, foros, mensajería, etc., para investigar supuestos delitos.

Contáctanos

Dic 09 2015

Nueva comunicación por parte de la AEPD sobre la aplicación de la sentencia de Puerto Seguro (Safe Harbour)

Tras la sentencia dictada por el Tribunal de Justicia de la Unión Europea en fecha 6 de octubre de 2015 mediante la cual se declaraba inválidos el acuerdo de Safe Harbour (Puerto Seguro), por considerar el Tribunal de Justicia de la Unión Europea que los EEUU no garantizaban una correcta protección de los datos personales de los usuarios europeos, han surgido diversas especulaciones sobre cómo procederá a actuar la Agencia Española de Protección de Datos en relación con aquellas empresas que tratan los datos personales de los usuarios a través de servidores y plataformas alojados en EEUU.

Entre estas especulaciones, encontramos una noticia muy polémica que ha publicado el periódico “El Confidencial” el 8 de diciembre (http://goo.gl/jRVh7x), en relación con el “ultimátum” que ha impuesto AEPD a empresas españolas por la utilización de servidores como Dropbox, Google Drive o MailChimp, alojados actualmente en EEUU.

En este sentido, “El Confidencial” informa a través de su noticia que “todas aquellas que utilicen plataformas tecnológicas que realicen transferencias de datos de ciudadanos europeos a terceros países (incluido EEUU), como por ejemplo Dropbox, Google Drive o MailChimp, tienen hasta el 29 de enero para cumplir con la nueva normativa o ser multadas”.

No obstante lo anterior, os informamos que la Agencia Española de Protección de Datos (AEPD) acaba de emitir un comunicado sobre la aplicación de la sentencia de Puerto Seguro (https://goo.gl/gu9LSF) que puntualiza lo publicado por “El Confidencial”.

Contáctanos

Oct 15 2015

La reforma de la Ley de Enjuiciamiento Civil elimina el papel en los Juzgados

El pasado 7 de octubre entró en vigor la reforma de la Ley de Enjuiciamiento Civil, que introduce diversas novedades como la supresión del uso del papel en los Juzgados, implantando el uso de las tecnologías de la información y la comunicación en los diferentes trámites y procesos judiciales.

Desde Letslaw, os resumimos las modificaciones más relevantes que trae esta reforma:

Tecnologías de la información y de la comunicación

La reforma pretende que la comunicación electrónica sea la forma habitual de actuar en la Administración de Justicia.

Por ello, a partir del 1 de enero de 2016 entrarán en vigor las disposiciones que obligarán a todos los profesionales de la justicia y órganos y oficinas judiciales y fiscales, a utilizar exclusivamente sistemas telemáticos para la presentación de escritos y documentos y para la realización de actos de comunicación procesal, en todos los órdenes jurisdiccionales.

La presentación de escritos y documentos por medios telemáticos se podrá hacer todos los días del año, durante las veinticuatro horas, aplicándose el mismo régimen para los escritos perentorios, con independencia del sistema utilizado de presentación.

En cuanto a los ciudadanos interesados que no sean profesionales de la justicia, también se verán obligados al uso de dichos sistemas telemáticos, pero a partir del 1 de enero de 2017. Se establece expresamente que los actos de comunicación se podrán realizar en la dirección electrónica habilitada por el destinatario o por medio de otro sistema telemático, a partir del 2017.

Así, los jueces podrán emplear datos de correo electrónico y de número de teléfono para localizar a los demandados. De esta forma, se hará habitual en la Administración de Justicia la recepción electrónica de las notificaciones que hasta ahora se recibían en papel y también se podrá informar mediante aviso por SMS al teléfono móvil de la persona interesada de que se le ha de practicar una notificación.

En materia de representación, se incluyen nuevos medios para el otorgamiento del apoderamiento apud acta mediante comparecencia electrónica, mediante su inscripción en el archivo electrónico de apoderamientos apud acta que se creará al efecto y que entrará en vigor en 2017.

Protección del consumidor frente a cláusulas abusivas en el proceso monitorio

En relación al proceso monitorio, y con el objetivo de garantizar al consumidor una protección efectiva de sus intereses, el juez verificará la existencia de cláusulas abusivas en los contratos celebrados con consumidores o usuarios. Podrá, por este motivo, declarar de oficio el carácter abusivo de la cláusula en cuestión.

Contáctanos

Oct 07 2015

El TJCU declara invalidados los acuerdos de Safe Harbor

Ayer 6 de octubre de 2015 el Tribunal de Justicia de la Unión Europea (TJCE) dictó sentencia en el asunto C-362/14, declarando inválida la Decisión de la Comisión Europea de 26 de julio de 2000 conocida como “Safe Harbor” o de Puerto Seguro.

La sentencia fue dictada a raíz de la Cuestión Prejudicial planteada por la High Court de Irlanda (Tribunal Supremo Irlandés) tras la denuncia presentada por el Sr. Maximillian Schrems (ciudadano austriaco y usuario de Facebook), en la que dicho ciudadano de la Unión Europea cuestionaba el nivel de seguridad y protección de los datos personales transferidos a EEUU por empresas como Facebook, tras las revelaciones realizadas en 2013 por Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos, y más concretamente de la National Security Agency o “NSA”.

Tal y como sucede con el resto de ciudadanos residentes en la UE, los datos proporcionados por el Sr. Schrems a Facebook fueron transferidos por parte de la filial irlandesa de Facebook a servidores ubicados en los EEUU, donde estos datos personales son objeto de tratamiento.

Contáctanos

Sep 25 2015

El Supremo considera abusiva la cláusula que obliga al trabajador a dar a la empresa su número de móvil o su correo electrónico

Una sentencia del Tribunal Supremo, de fecha 21 de septiembre de 2015, ha determinado que las cláusulas de los contratos de trabajo que obligan al trabajador a comunicar a la empresa el teléfono móvil y...

Sep 08 2015

Consecuencias jurídicas que se pueden derivar al acceder a una red de telecomunicación ajena.

El pasado 3 de septiembre, el periódico EL MUNDO contaba con la opinión jurídica de José María Baños en relación con las consecuencias legales que supone el acceso de un usuario a una red de telecomunicación ajena sin contar con el consentimiento de su titular.

José María comentaba que el acceso a las conexiones del Wifi de un tercero es una conducta que aparece tipificada en el artículo 255 del Código Penal como un delito de “las defraudaciones de fluidos eléctricos y análogas”. No obstante, explicaba, la sanción correspondiente a la comisión de este delito depende principalmente de la cuantía de lo defraudado, ya que si el perjuicio no excede los 400 euros la pena será la imposición de una multa de uno a tres meses, pero si el daño causado fuera mayor que 400 euros la multa será de tres a 12 meses.

No obstante
lo dispuesto en el Código Penal, surge el problema de calcular la cuantía del perjuicio causado al titular de la red, ya que aunque existan mecanismos que nos permitan conocer qué dispositivos han podido estar conectados a una red hackeada, dichos mecanismos no nos facilitan información acerca del tiempo en que estos dispositivos han estado conectados fraudulentamente a esta red. Por ende resulta muy complejo imponer una sanción por la comisión de este delito cuando esta sanción se aplica en función de un daño que es muy difícil probar.

Contáctanos

Jul 07 2015

Las Autoridades europeas de protección de datos aprueban el primer Dictamen conjunto sobre drones

Las Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29, del que forma parte la AEPD) han aprobado el primer Dictamen conjunto sobre drones, que analiza la incidencia y los riesgos que la utilización de estos vehículos no tripulados plantean para la privacidad y la protección de datos. El Dictamen evidencia los desafíos que supone el despliegue a gran escala de estas aeronaves equipadas con equipos de sensores, al tiempo que ofrece directrices para interpretar las normas de protección de datos en el contexto de los drones.

El marco jurídico aplicable en relación con las implicaciones de protección de datos derivadas del uso de drones en los Estados miembros es la Directiva 95/46, en conexión con la Directiva 2002/58 de Privacidad y Comunicaciones Electrónicas. Asimismo, existen aspectos en las disposiciones legales nacionales aplicables a los sistemas de circuito cerrado de televisión (CCTV, por sus siglas en inglés) que también son de aplicación al uso de drones, en particular en el caso de que estos se utilicen con fines de videovigilancia.

Las Autoridades ponen de manifiesto que hay actividades de los drones que estarían excluidas
de la Directiva y, por tanto, de los criterios contenidos en este Dictamen. Entre ellas, el uso de drones en un entorno estrictamente personal y doméstico, teniendo en cuenta que, en todo caso, este no incluiría situaciones de monitorización constante que afecte, aunque sea parcialmente, a espacios públicos.

El Dictamen recoge las obligaciones que deben cumplirse antes de utilizar un dron, como verificar si es necesaria una autorización específica de las autoridades de aviación civil; encontrar el criterio más adecuado para que el tratamiento sea legítimo, o cumplir con los principios de transparencia, proporcionalidad, minimización en la captura de datos o limitación del propósito para el cuál se procesan, entre otras.

Contáctanos

Jul 02 2015

Principales modificaciones de la “Ley Mordaza” y la reforma del Código Penal en el ámbito de Internet

Ayer, 1 de enero de 2015, entró en vigor la polémica Ley Orgánica de Seguridad Ciudadana (más conocida como «Ley Mordaza») y la reforma del Código Penal.

Ambas incorporan considerables cambios normativos, penalizando diversas actividades de los ciudadanos hasta ahora no punibles, y sobre todo en el ámbito de Internet.

A continuación podrás conocer cómo afectan estas normativas a los usuarios en la red y las actividades que se prohíben en éste ámbito:

Convocar manifestaciones por redes sociales

Entre las novedades que incluye la Ley Mordaza se encuentra la posibilidad de considerar responsable de una manifestación a quien haga una publicación o declaración de convocatoria de la misma a través de la red, y por tanto será una actividad sancionable. Aquí se incluye, además de la vía escrita u oral fuera de la red, cualquier red social o los foros de Internet.

Asimismo, a la hora de celebrar manifestaciones, según los casos, las sanciones podrán ascender hasta los 600.000 Euros. Por ejemplo, a esta cantidad podrá llegar una sanción por “celebrar manifestaciones no comunicadas o prohibidas en infraestructuras críticas” o “celebrar espectáculos públicos prohibidos por razones de seguridad.”

Publicar imágenes de policías

Otra de las conductas que ya es susceptible de ser sancionada es la de publicar en las redes sociales datos personales, imágenes o fotografías de los miembros de las Fuerzas y Cuerpos de Seguridad del Estado “que puedan poner en peligro la seguridad personal o familiar de los agentes, de las instalaciones protegidas o en riesgo el éxito de una operación, con respeto al derecho fundamental a la información».

“Poner en riesgo la seguridad personal o familiar de los agentes» es un concepto jurídico indeterminado que genera dudas en cuanto a su interpretación, por lo que deberemos analizar las sanciones que se apliquen en este sentido y la jurisprudencia que se vaya creando en relación con este asunto para saber en qué casos concretos se podrá publicar o no una fotografía de un policía.

Además, esta actividad se considera como una infracción grave por lo que la multa podría oscilar entre los 601 y los 30.000 Euros.

Aumentan las penas para los delitos contra la propiedad intelectual

Contáctanos

Jul 02 2015

La AEPD simplifica y amplía sus servicios online de inscripción y notificación de ficheros

La Agencia Española de Protección de Datos (AEPD) ha puesto en marcha hoy dos nuevas líneas de servicios orientadas a facilitar a los sujetos obligados el cumplimiento de la normativa de protección de datos. El objetivo es a
mpliar las herramientas y posibilidades online que los responsables tienen a su disposición para cumplir con sus obligaciones a la vez que se simplifican los procedimientos existentes, agilizando procesos y simplificando trámites.

En primer lugar, la Agencia ha incorporado a su Sede electrónica una nueva versión web más funcional y versátil del formulario NOTA para la inscripción de ficheros, orientada a facilitar a los responsables sus obligaciones registrales. Esta nueva versión, que convivirá durante un tiempo con el anterior formulario NOTA, permite entre otras posibilidades notificar varios ficheros del mismo responsable en un solo acto, anexar documentación o notificar las transferencias internacionales amparadas en una resolución marco o de encargado a subencargado.

Las novedades más destacadas que presenta el nuevo Servicio electrónico NOTAson las siguientes: