Los bancos no podrán exigir a los clientes sus datos biométricos
Los datos biométricos se utilizan con fines de seguridad e identificación. Son utilizables pero, sin embargo, no exigibles, así lo indica la AEPD...
Los datos biométricos se utilizan con fines de seguridad e identificación. Son utilizables pero, sin embargo, no exigibles, así lo indica la AEPD...
Analizamos las nuevas cláusulas contractuales tipo de la UE para transferencias internacionales de datos: Standard Contractual Clauses (SCCs)...
El control de los empleados es como el conjunto de herramientas o mecanismos de control y supervisión. Explicamos sus peculiaridades legales...
Analizamos las necesidades del RGPD y cómo ha evolucionado este reglamento de acuerdo a las últimas tecnologías...
Repasamos qué es el Reglamento ePrivacy, sus interferencias con el reglamento RGPD y las principales críticas a este reglamento...
Analizamos todos los aspectos legales a tener en cuenta en la preparación de las plataformas universitarias en relación a la protección de datos....
Analizamos la propuesta para la regulación de la Inteligencia Artificial en el marco de la UE: ámbitos de aplicación, niveles de riesgos y sanciones...
Vodafone, sancionada por protección de datos. La empresa de telecomunicaciones se enfrenta a una sanción histórica que analizamos en este post junto con otros casos....
Respondemos a la duda de si es legal ceder datos a empresas de morosidad explicando todos los aspectos legales a tener en cuenta...
El Consejo de Ministros aprobó el pasado mes de febrero un Proyecto de Ley Orgánica que regula la protección de los datos personales utilizados en labores de prevención, detección, investigación...
¿Te preguntas cómo te afectarán las nuevas condiciones de WhatsApp? El pasado mes de enero, el servicio de mensajería instantánea más usado en España anunció la actualización de sus Condiciones...
Dada la situación que estamos viviendo, consecuencia de la pandemia sanitaria del COVD 19, la educación a distancia está más que nunca al orden del día. Es por ello, que...
Las brechas de seguridad también denominadas violaciones de seguridad de datos personales pueden provocar el acceso a información de carácter personal por parte de terceros. Es por ello que la normativa...
A la hora de estudiar el tratamiento de datos relativos a la salud, hay que tener en cuenta la Ley General de Sanidad de 25 de abril de 1986 y...
Analizamos la relación del último proyecto Amazon y privacidad. En los últimos años han surgido diversos métodos de pago y el dinero físico va perdiendo cada vez más protagonismo ya...
El plazo para adaptar tu política de cookies está a punto de vencer. El pasado mes de julio de 2020, la Agencia Española de Protección de Datos (AEPD) publicó una...
En los últimos compases vividos de la actual Pandemia por la COVID19 se ha demostrado que la detección temprana de casos sospechosos de COVID19 y la trazabilidad epidemiológica del paciente...
Suiza se suma a la declaración de invalidez del escudo de privacidad con EEUU. El pasado 8 de septiembre de 2020 el Comisionado Federal de Protección de Datos e Información (en...
Radar COVID es una aplicación diseñada y dirigida por la Secretaría de Estado de Digitalización e Inteligencia Artificial del Gobierno español. El objetivo de esta aplicación está siendo frenar la...
¿Qué es la cartilla COVID? ¿Cómo afectaría este sistema a nuestra privacidad? En el contexto de la actual pandemia mundial provocada con motivo del COVID19, son múltiples las medidas se...
El Tribunal de Justicia de la Unión Europea (TJUE) emitió el 16 de julio de 2020 un importante fallo sobre el régimen de transferencia de datos entre la Unión Europea (UE) y...
Según diversas sentencias del Tribunal Constitucional, los sistemas de videovigilancia son sistemas invasivos a la intimidad, derecho al honor y a la imagen de las personas ya que resultan perfectamente...
Analizamos este polémico caso relacionado con la protección de datos y Mercadona y qué se sabe sobre el sistema de reconocimiento facial implantado en Mercadona. El pasado 1 de julio, la...
Analizamos todos los aspectos a tener en cuenta sobre el uso ilegítimo de imagen en redes sociales. En este artículo veremos cuándo se considera ilegítimo el uso de una imagen,...
El elemento clave del marketing de afiliación es que se basa en la obtención de resultados. En esta rama del marketing en línea, el afiliado promociona productos de un emprendedor...
El Reglamento General de Protección de Datos (RGPD) introduce novedades en materia de protección de datos. Una de estas es la obligación de nombrar una nueva figura, un Delegado de...
En este artículo exponemos los aspectos más importantes a tener en cuenta si tu empresa trata datos de salud. Actualmente, debido al a situación creada por la COVID-19, muchas empresas llevan...
El pasado 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea dictó sentencia en el Asunto C311/18. Mediante la cuál se declaraba inválido el Acuerdo de...
El pasado 28 de julio de 2020, la Agencia Española de Protección de Datos (AEPD) se ha visto en la tesitura de actualizar su Guía sobre el uso de las...
En este artículo vamos a tratar sobre uno de los aspectos más debatidos en los últimos tiempos a propósito de la navegación online de los usuarios en entornos digitales, el...
En fechas recientes estamos asistiendo a un nuevo reto en materia de protección de datos suscitado al hilo de la crisis sanitaria provocada por el virus denominado COVID19. Tanto empresas como...
La figura de Compliance Officer es de vital importancia en la dirección de empresas ya que es la persona que se encarga y asume la responsabilidad de asegurar el cumplimiento...
La nueva sanción de Glovo no tiene nada que ver con sus riders. La empresa tecnológica ha sido sancionada por la Agencia Española de Protección de Datos (“AEPD”) con una...
¿Cómo se relaciona el teletrabajo y protección de datos? Uno de los aspectos más relevantes en estos tiempos de la pandemia causada por el denominado COVID19 y que más preocupan...
¿Te interesa conocer cómo se adapta el RGPD en academias online? El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la...
Cómo adaptar mi empresa a la venta online es una pregunta que millones de compañías se han visto obligadas a plantearse ante la situación de pandemia global provocada por el...
Las personas no sólo nos identificamos con una serie de datos o rasgos como puede ser el nombre y apellidos, fecha de nacimiento, sexo, etc. Pueden ser datos que se...
Ofrecemos las pautas de redacción de un modelo de cláusula de protección de datos RGPD. Explicamos qué es y qué tiene que incluir...
El pasado 21 de abril de 2020, el Comité Europeo de Protección de Datos (European Data Protection Board) hizo pública una Guía que recoge la medidas y directrices a seguir...
El pasado veintidós de noviembre de 2019, la Audiencia Nacional dictó sentencia en el recurso contencioso-administrativo promovido por Google LLC (en adelante referida como Google) frente a la resolución del...
El Delegado de Protección de Datos puede ser una persona física y/o jurídica, que actúa de forma independiente y que cuenta con conocimientos específicos en Derecho y Protección de Datos. El...
En este artículo del Letsblog vamos a hacer un repaso GDPR Compliance mediante una guía pensada para cumplir con la normativa impuesta por el Reglamento de la Unión Europea que...
La Agencia Española de Protección de Datos (AEPD) se pronuncia sobre el tratamiento regulatorio en materia de protección de datos de los productos y servicios que incorporen tecnología basada en...
Desde Letslaw explicamos las principales diferencias entre la Lopd 15/1999 y el Reglamento (UE) 2016/679...
Analizamos la relación de Mailchimp y RGPD. Una de las herramientas más utilizadas por parte de titulares de bases de datos y agencias de marketing para llevar a cabo campañas...
La pasado 8 de noviembre de 2019, la AEPD ha dado a conocer su nueva Guía sobre el uso de las cookies, documento que viene a actualizar el contenido de...
El pasado 23 de octubre de 2019, la Comisión Europea publicó su informe sobre el tercer examen anual del funcionamiento del Privacy Shield UE-Estados Unidos. Este informe confirma que EEUU sigue...
El pasado 14 de septiembre entró en vigor la Directiva PSD2 con la que se modifica la regulación del marco común de pagos electrónicos dentro de la Unión Europea. Este nueva...
La Agencia Española de Protección de Datos (AEPD) publicó el pasado mes de septiembre una nota técnica que incluye directrices sobre el deber de informar y otras medidas de responsabilidad...
El pasado 1 de octubre, el Tribunal de Justicia de la Unión Europea ha dictado sentencia sobre uno de los aspectos más debatidos en los últimos tiempos a propósito de...
El Mercado Único Digital es un objetivo que la Unión Europea lleva tiempo tratando de conseguir. No ha sido hasta el pasado 25 de mayo de este año cuando ha entrado...
Denunciar en la AEPD es posible siempre y cuando un interesado tenga pruebas o indicios del incumplimiento o infracción...
El pasado 20 de febrero de 2019 se publicó en el BOE la Ley 1/2019, de 20 de febrero, de Secretos Empresariales (LSE), la cual entró en vigor en España...
La protección de datos clínicas dentales es una materia de importancia. Estos centros de salud especializados en tratamientos odontológicos deben prestar especial atención a la normativa actual en materia de...
¿Cómo funciona la protección de datos farmacias? El pasado 25 de mayo de 2018, el Reglamento Europeo (2016/679) relativo a la protección de las personas físicas en lo que respecta...
La Agencia Española de Protección de Datos (AEPD) ha publicado una nota con recomendaciones sobre los procesos de anonimización. Esta nota técnica está dirigida a responsables y encargados de tratamiento...
El Delegado de Protección de Datos (DPD) o, en inglés, Data Protection Officer (DPO), se ocupa de informar y asesorar al responsable o al encargado del tratamiento, así como a...
¿Te gustaría conocer la Ley de protección de datos sanciones, infracciones y multas? Con la entrada en vigor del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27...
¿Conoces como se aplica la ley de protección de datos empresas? El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo(en adelante “RGPD”) entró en vigor el pasado 25 de...
Explicamos en qué consiste la Ley de Protección de Datos prestando especial atención a quién afecta y cómo respetarla en cualquier empresa...
El curso de protección de datos en internet ofrecido por Letslaw está principalmente destinado a concienciar a las empresas y sus profesionales de la importancia del correcto tratamiento de los...
La ciberseguridad y la protección de los datos personales adquieren cada día una mayor importancia, incluso para los Gobiernos nacionales y la Unión Europea, quienes desde el año 2015 han...
La nueva Ley Orgánica de Protección de datos (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los derechos digitales – LOPDGDD) entró en vigor...
¿Es posible salir de internet? La irrupción de Internet y las redes sociales en nuestra vida ha supuesto la aparición de nuevos retos en materia de privacidad y reputación online. En...
¿Sabías que existen diferentes tipos de firma electrónica? En términos generales, la firma electrónica puede definirse como la indicación en formato electrónico de la intención de una persona de aceptar...
La Ley de Protección de Datos Personales (LGPD) entra en vigor en el mercado brasileño en agosto de 2020. El objetivo central de este importante marco jurídico-regulatorio es establecer los...
Actualmente, el mundo online está llegando a todos los ámbitos, incluido el sector salud. El número de aplicaciones móviles relacionadas con la salud empieza a alcanzar unas cifras considerables. No obstante,...
Las técnicas como el fingerprinting o huella digital permiten a las empresas seguir a los usuarios durante su navegación web. ¡Descubre cómo!...
¿Sabes cómo se regulan las cookies rgpd? El pasado 7 de diciembre de 2018 entró en vigor la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos...
Desde el 25 de mayo es de plena aplicación el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección...
Las Administraciones Públicas (AAPP) actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades. Consecuentemente, se van a ver afectadas por el...
Las empresas organizadoras de eventos manejan una gran cantidad de datos personales para distintas finalidades que deben ser gestionados y administrados con plena responsabilidad. Con este artículo vamos a intentar dar...
Seguramente, a estas alturas del año, cuando el Reglamento General de Protección de Datos (en adelante, “RGPD”) está en vigor desde hace siete meses, habrá bastantes empresas que no están...
El Delegado de Protección de Datos (DPO) será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección...
El Delegado de Protección de Datos (DPO) será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección...
El nuevo Reglamento de privacidad electrónica, también conocido como el Reglamento ePrivacy (oficialmente Regulation of the European Parliament and of the Counsil concerning the respect for private life and the...
¿Sabes cómo funcionan el compilance de cookies con el RGPD? Con la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) el pasado 25 de mayo, las empresas españolas...
La imagen de una persona en la medida que identifique o pueda identificar a la misma constituye un dato de carácter personal, que puede ser objeto de tratamiento para diversas...
El pasado 10 de julio de 2018, el Tribunal de justicia de la Unión Europea (en adelante, TJUE) dictó sentencia en el asunto c-25/17 relativo a la legalidad de una resolución de la...
¿Te preguntas qué ha pasado con el Documento de Seguridad RGPD y qué tipo de documento lo sustituye? A raíz de la entrada en vigor del nuevo Reglamento General de...
El pasado 4 de junio se celebró en Madrid la 10ª sesión anual de la Agencia Española de Protección de Datos (en adelante, “AEPD”). En esta jornada se realizó un repaso...
El pasado viernes 5 de julio el Parlamento Europeo aprobó la Resolución 2018/2645 fijando una fecha límite (1 de septiembre 2018) para que Estados Unidos realice un importante número de...
A partir del 25 de mayo es de plena aplicación el Reglamento General de Protección de Datos. En él, y como novedad respecto a la legislación anterior, se crea la figura...
Te informamos de en qué consiste la sanción que ha impuesto la Agencia Española de Protección de Datos al Ministerio de Justicia por la infracción de la obligación del deber...
Te ofrecemos consejos legales para evitar sanciones con la nueva regulación normativa europea en materia de protección de datos. ¿En qué consisten estas sanciones? Conoce la solución legal de Letslaw...
En Letslaw continuamos con el compromiso de informar sobre la entrada en vigor del nuevo Reglamento de Protección de Datos y como afecta a la redacción de nuevos contratos RGPD....
Respondemos a todas las cuestiones que surjan acerca de las Evaluaciones de Impacto en la Protección de Datos ¿En qué consiste dicha evaluación? ¿Qué debe incluir? ¿Quién deberá realizarla? Con la...
¿Necesitas abogados rgpd? Las claves de Letslaw para llevar a cabo la adaptación RGPD en las empresas y anticipar estrategias con amparo de cobertura legal ante posibles riesgos. Un repaso...
Conoce las principales diferencias entre LOPD y RGPD y descubre las últimas novedades sobre el marco regulatorio en protección de datos, con consejos de Letslaw para proteger los derechos de...
En este artículo hablaremos para LOPDGDD y RGPD para ecommerce y los retos ante la normativa regula la protección de datos en toda Europa. Reflexionaremos sobre todo lo que tienen...
La adaptación del e-mail marketing al RGPD. ¿Qué derechos tienen las entidades para evitar multas? Consejos prácticos con soluciones legales de Letslaw para resolver problemas en el modelo de negocio...
La protección de datos en internet: ¿Son denunciables las falsas acusaciones en redes sociales? ¿Cómo defender derechos ante una reputación digital negativa? ¿Cómo afecta a tu negocio? ¿Qué tiene que...
Las empresas y la nueva normativa en protección de datos: ¿Qué dice el nuevo Reglamento General de Protección de Datos y qué hay que hacer para evitar una denuncia por protección de...
Descubre el impacto del reglamento de E-Privacy en el marketing online y el mercado digital. ¿Qué es E-Privacy y cómo afecta a las empresas españolas? La nueva propuesta del Reglamento sobre Privacidad y...
El nuevo Reglamento General de Protección de Datos (RGPD) está al caer. El próximo 25 de mayo de 2018 se aplicará esta normativa que será de obligado cumplimiento en todos...
¿Sabes que hay que tener en cuenta para garantizar la protección de datos en hoteles? Para poder prestar su servicio, los Hoteles deben recabar diferentes tipos de datos de carácter...
Para ayudar a las empresas en la adecuación al Reglamento General de Protección de Datos, la Comisión Europea ha creado un órgano consultivo independiente integrado por las Autoridades de Protección...
Uno de los aspectos esenciales del nuevo Reglamento de Protección de Datos (RGPD) radica en el principio de responsabilidad activa, que es la obligación de prevención que corresponde a las...
Aprobado el proyecto de ley de protección de datos de carácter personal, os informamos de algunas de las novedades que introduce este Proyecto de Ley como el principio de protección de...
La Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) del Parlamento Europeo ha aprobado la propuesta del reglamento de ePrivacy El pasado 10 de enero de 2017, fue...
Cada vez queda menos para la aplicación del nuevo Reglamento de Protección de Datos (UE) 2016/679, y todavía existen algunas dudas sobre su materialización. El último trabajo dispuesto a aclarar...
El pasado 5 de septiembre el Tribunal Europeo de Derechos Humanos de Estrasburgo (“TEDH”) ha dado la razón al ingeniero Bogdan Mihai Bărbulescu , el trabajador rumano que fue despedido...
La firma electrónica constituye un instrumento capaz de permitir una comprobación de la procedencia y de la integridad de los mensajes intercambiados a través de redes de telecomunicaciones, ofreciendo las bases...
Desde Letslaw queremos explicar quién es el Delegado Protección de Datos (DPO), figura que está regulada en el nuevo Reglamento General de Protección de Datos (RGPD), normativa que será aplicable a partir del 25 de mayo de 2018.
Para ello, nos basamos en el contenido del nuevo Reglamento y en la guía elaborada por el Grupo de Trabajo del Artículo 29 y que ha sido publicada con intención de marcar unas directrices prácticas para ayudar a las empresas (responsables y encargados del tratamiento), para adaptarse al nuevo marco normativo europeo en protección de datos.
Según el RGPD, será obligatorio que las empresas que traten datos personales nombren un DPO siempre que se de alguna de las siguientes circunstancias:
Entre los supuestos citados en los que es obligatoria la figura del DPO, se incluyen conceptos ciertamente ambiguos como “observación habitual y sistemática” o “tratamientos a gran escala”, que el Grupo de Trabajo del Artículo 29 ha intentado aclarar en la guía que ha elaborado.
En concreto, respecto de la expresión “seguimiento regular y sistemático de los interesados”, el Grupo de Trabajo propone, varios ejemplos de actividades que pueden conllevar un seguimiento del comportamiento de los interesados, como son: la elaboración y clasificación de perfiles para realizar evaluaciones de riesgos, los programas de fidelización, la publicidad comportamental, seguimiento de ubicación a través de aplicaciones móviles, seguimiento de datos relacionados con el bienestar, como el estado físico y salud recabados mediante dispositivos portátiles (por ejemplo los que se llevan adheridos al cuerpo), el uso de circuitos cerrados de televisión o de dispositivos conectados a Internet (como electrodomésticos o coches inteligentes).
En relación con la expresión “a gran escala”, según el Grupo de Trabajo es un concepto que puede definirse teniendo en cuenta una serie de criterios, como son: el número de sujetos afectados, el volumen de datos tratados y/o el rango de diferentes elementos de datos que se están procesando, la duración o permanencia de la actividad de procesamiento de datos y, la extensión geográfica.
Así, constituirían tratamientos a gran escala:
El pasado 23 de junio el Ministerio de Justicia ha publicado el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Pese a que el texto del Anteproyecto será...
¿QUÉ ES BLOCKCHAIN? Blockchain, o la cadena de bloques, es la revolución tecnológica sobre la que se establece la base de la criptomoneda Bitcoin. Se compone de una cadena digital de...
Muchas empresas tratan en su día a día, datos personales de menores, por ejemplo para permitirles participar en un concurso o una promoción organizada por la empresa, para utilizar sus fotografías en alguna publicidad (sí, las fotografías de personas también se consideran datos de carácter personal), o directamente porque sus servicios están dirigidos a niños.
Cuando se tratan datos de menores, la normativa de protección de datos es especialmente protectora, puesto que se les considera individuos especialmente vulnerables y crédulos, sobre todo en ámbito de Internet.
Así, si tu empresa capta datos de carácter personal de menores, no te pierdas las principales claves para recabar y tratar correctamente estos datos que te facilitamos desde Letslaw:
Lo primero que debemos tener claro es qué se considera como menor de edad en el ámbito de la protección de datos.
La normativa de Protección de Datos considera menor a aquella persona cuya edad es inferior a 14 años y considera que éstos no tienen capacidad para otorgar su consentimiento.
Es decir, según la normativa, los niños de entre 0 y 13 años no tienen capacidad para otorgar su consentimiento, por lo que se deben tomar medidas adicionales de protección para poder tratar sus datos.
La normativa de protección de datos establece que los mayores de 14 años tienen capacidad para otorgar por sí mismos el consentimiento para el tratamiento de sus datos.
Podríamos decir que la captación y tratamiento de los datos de menores entre 14 y 18 años será equiparable a la de un adulto. Es decir, ellos mismos podrán otorgar el consentimiento para la utilización de sus datos (sin necesidad de autorización paterna), por ejemplo, aceptando directamente la política de privacidad de la empresa, siempre y cuando ésta cumpla el deber de información del artículo 5 de la LOPD.
Sin embargo, esto cambia cuando los datos que pretendemos recabar son de menores de 14 años. En estos casos se deberán tomar medidas adicionales para recabar correctamente su consentimiento, que os detallamos a continuación:
1º.- Utiliza un lenguaje sencillo
Cuando recabamos datos de carácter personal, la normativa exige a las empresas que informen a los titulares de esos datos sobre: (i) la identidad de la empresa que será la responsable de esos datos, (ii) la finalidad para la que se van a utilizar los datos, (iii) si se van a ceder a terceras empresas, o (iv) la posibilidad de que los titulares ejerciten sus derechos de acceso, rectificación, cancelación u oposición.
Si estamos dirigiéndonos a menores con intención de recabar sus datos personales, la normativa exige que la información que se facilite a éstos se exprese en un lenguaje que sea fácilmente comprensible por los menores, adaptada a la capacidad de entendimiento de éstos, y por tanto con un lenguaje claro y sencillo.
2º.- Obtén el consentimiento o la autorización paterna
Tal y como establece el Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de Desarrollo de la LOPD (en adelante, “RLOPD”) en su artículo 13, los niños menores de 14 años no tienen capacidad para otorgar el consentimiento por si mismos, y por tanto siempre será necesario obtener el consentimiento de sus padres o tutores para el tratamiento de sus datos.
Así para que las empresas puedan cumplir con la normativa de protección de datos, será necesario que en el momento de recabar los datos personales de menores, exijan que se aporte una autorización debidamente firmada por los padres o tutores.
Hoy en día todas las empresas son responsables de datos personales, ya sea de sus trabajadores, clientes, usuarios, etc., por lo que resulta imprescindible conocer las novedades normativas del Reglamento...
La AEPD ha publicado recientemente la Guía para Responsables de Tratamiento , un documento importante y que aclara muchas de los interrogantes que se nos plantean con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el pasado mes de mayo.
Aunque el RGPD será aplicable a partir de mayo de 2018, en el periodo de transición es imprescindible preparar y adoptar las medidas necesarias para asegurar el cumplimiento de las previsiones de la nueva normativa en el momento en que sea de aplicación.
En este sentido, muchas de las recomendaciones o interpretaciones que ofrece la AEPD pueden ponerse en práctica de inmediato porque tienen que ver con actuaciones que debieran iniciarse ya durante el periodo de transición entre la entrada en vigor y el inicio de la aplicación del RGPD.
El RGPD incorpora dos claves que sirven de base de las principales novedades de esta nueva normativa:
Se exige una actitud consciente, diligente y proactiva por parte de las empresas, que deberán analizar todos los tratamientos de datos personales que llevan a cabo para determinar la forma en que aplicarán las medidas que el RGPD prevé. Será importante asegurarse de que son las medidas adecuadas y que así puede demostrarse ante los interesados y autoridades de supervisión.
Será imprescindible realizar un análisis de los riesgos particulares de cada empresa. La aplicación del RGPD dependerá de las características de cada empresa, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
Es imprescindible documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos, para lo cual será necesario:
El grupo de trabajo del art. 29 publicó el pasado mes de diciembre nuevas directrices para la adecuación al nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor a partir del 25 de mayo de 2018. Estas guías interpretativas tratan de tres cuestiones:
En los art. 37, 38 y 39 del Reglamento se recoge la figura del Delegado de Protección de Datos (DPO). Es recomendable el nombramiento de un DPO para todos aquellos que traten datos personales, y obligatorio en determinadas situaciones como:
La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía que contiene una serie de orientaciones y garantías para llevar a cabo los procedimientos de anonimización de datos personales.
La Guía de la AEPD define los procesos y fases de anonimización que se deben adoptar para eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados, de manera que se garantice que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no consiga identificar a las personas titulares de los datos anonimizados.
Para llevar a cabo el proceso de anonimización, la AEPD aconseja definir un protocolo de actuación en base a las siguientes fases:
1.- Definición de equipo de trabajo
En el proceso de anonimización, se aconseja crear un equipo de trabajo y asignarle a cada componente determinadas funciones atendiendo a los perfiles que cada persona puede desarrollar en este proceso.
La AEPD considera que el equipo podría estar formado de la siguiente manera: (i) Responsable del fichero: decide sobre la finalidad a los que debe responder los datos personales, (ii) Responsable de protección de datos (en su caso, DPO): promover la realización de evoluciones de impacto previo en los procesos de anonimización y verificar la ejecución en dichos procesos, (iii) Destinatario de la información anonimizada y responsable del tratamiento de datos anonimizados: deciden sobre los requisitos de la información atendiendo a los objetivos finales a los que se destina la misma, (iv) Equipo de evaluación de riesgos: encargado de realizar la evaluación de riesgos inicial, evaluar el resultado del proceso, auditar el procedimiento de anonimización, (v) Equipo de preanonimización y anonimización: propone técnicas para una anonimización efectiva y elimina aquellas variables cuya anonimización no se ajuste a la finalidad, (vi) Equipo de seguridad de la información y del proceso: vela por las medidas de seguridad durante el proceso de anonimización.
2.-Independencia de funciones
El pasado mes de agosto WhatsApp actualizó los términos de su servicio y la política de privacidad, introduciendo cambios sobre la forma en la que maneja la información personal de...
Actualmente en España no existe la obligación legal de realizar Evaluaciones de Impacto en la Protección de Datos en ningún sector o ámbito específico. Sin embargo, el nuevo Reglamento Europeo de Protección de Datos (REPD), aplicable a partir del próximo 25 de mayo de 2018, establece la obligación de realizar evaluaciones de impacto en determinados casos.
Cualquier ecommerce o empresa que trate datos de carácter personal deberá familiarizarse con este nuevo concepto y sus implicaciones legales.
Una Evaluación de Impacto en la Protección de los Datos Personales (en adelante, “Evaluación de Impacto”) o Privacy Impact Assessment (PIA) es una obligación legal contemplada en el REPD que afecta a las empresas según el tipo de tratamiento de datos personales que realicen.
La Evaluación de Impacto deberá realizarse antes de llevar a cabo el tratamiento de datos, y consistirá en un
análisis de los riesgos de un sistema de información, producto o servicio de una empresa que puedan causar un perjuicio para los afectados cuyos datos son tratados (pérdida de control sobre sus datos, usurpaciones de identidad, daños reputacionales o económicos…).
A raíz del análisis realizado, se deberá planificar una adecuada gestión de los riesgos identificados, adoptando las medidas necesarias para neutralizarlos o reducirlos en la medida de lo posible.
El REPD establece en su artículo 35 la obligación de realizar una Evaluación de Impacto siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas” y, especialmente, cuando se utilicen las nuevas tecnologías.
Recientemente se han adherido al Acuerdo de Privacy Shield las siguientes empresas: GOOGLE, INC. FACEBOOK, INC. DROPBOX, INC. SHOPIFY DATA PROCESSING (USA), INC....
WhatsApp anunció el pasado jueves 25 de agosto de 2016 que modificaba sus términos y condiciones después de 4 años sin actualizarlos a pesar de los constantes cambios de la...
El 12 de Julio de 2016, la Comisión Europea aprobó el Nuevo Acuerdo (Privacy Shield) que permite realizar transferencias internacionales de datos ciudadanos europeos a los Estados Unidos.
El Privacy Shield es necesario desde que, en octubre del año pasado, el Tribunal de Justicia de la Unión Europea invalidase el Acuerdo anterior (el Acuerdo de Safe Harbour) por no considerarse adecuado para proteger los derechos fundamentales de los europeos.
Contenido del Acuerdo
El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD). Aunque no comenzará a aplicarse hasta el 25 de mayo de 2018, es importante que las empresas vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.
La Agencia Española de Protección de Datos (AEPD) ha realizado un análisis de las implicaciones prácticas que conviene que las entidades conozcan para afrontar el momento en el que el RGPD sea aplicable.
1. El consentimiento tácito ya no será válido
El Reglamento requiere el consentimiento expreso para al tratamiento de datos personales. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española.
Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.Por tanto, la Agencia aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para los tratamientos comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al Reglamento como a utilizar mecanismos acordes con la nueva legislación.
El pasado 4 de mayo fue publicado en el Diario Oficial de la Unión Europea el texto definitivo del Nuevo Reglamento Europeo de Protección de Datos (REPD), aprobado por el...
Adaptar tu e-commerce a la Ley Orgánica de Protección de Datos (LOPD) y a su reglamento de desarrollo es fundamental para cumplir con la legalidad vigente y para generar confianza entre los usuarios y consumidores, por ello desde Letslaw te indicamos las principales claves que debes tener en cuenta para que tu e-commerce esté correctamente adaptado a la normativa en materia de protección de datos:
Todo e-commerce trata datos personales de los usuarios (nombre, apellidos, e-mail, teléfono…) y por ello deben contar con una Política de Privacidad en la que se incluyan todos los requisitos exigidos por la LOPD.
Una correcta Política de Privacidad debe informar acerca de quién es el titular del sitio web, el tratamiento y la finalidad con la que se utilizarán esos datos personales (que habitualmente suele ser el envío de comunicaciones comerciales relacionadas con los product
os que comercializa el e-commerce)
Asimismo en este texto legal se deberá indicar si los datos personales serán cedidos a terceras empresas o si serán utilizados para la remisión de comunicaciones comerciales por cuenta de terceros.
Una vez hayamos informado al usuario acerca de las cuestiones que hemos indicado, la LOPD obliga a los e-commerce a que obtengan el consentimiento expreso por parte del usuario para el tratamiento de sus datos personales.
El consentimiento expreso sería válido, por ejemplo, si se implementa un sistema opt-in (casilla no marcada por defecto) y se incluye un texto de aceptación de la Política de Privacidad con un link que redirija a la misma.
De esta manera el usuario estaría expresamente consistiendo la utilización de sus datos personales para las finalidades indicadas en la Política de Privacidad.
Hace poco más de dos semanas, el Tribunal Europeo de los Derechos Humanos de Estrasburgo (en adelante “TEDH”) dictaba sentencia en el asunto 61496/08 “Caso de Barbulescu vs. Romania”, mediante...
Tras la sentencia dictada por el Tribunal de Justicia de la Unión Europea en fecha 6 de octubre de 2015 mediante la cual se declaraba inválidos el acuerdo de Safe Harbour (Puerto Seguro), por considerar el Tribunal de Justicia de la Unión Europea que los EEUU no garantizaban una correcta protección de los datos personales de los usuarios europeos, han surgido diversas especulaciones sobre cómo procederá a actuar la Agencia Española de Protección de Datos en relación con aquellas empresas que tratan los datos personales de los usuarios a través de servidores y plataformas alojados en EEUU.
Entre estas especulaciones, encontramos una noticia muy polémica que ha publicado el periódico “El Confidencial” el 8 de diciembre (http://goo.gl/jRVh7x), en relación con el “ultimátum” que ha impuesto AEPD a empresas españolas por la utilización de servidores como Dropbox, Google Drive o MailChimp, alojados actualmente en EEUU.
En este sentido, “El Confidencial” informa a través de su noticia que “todas aquellas que utilicen plataformas tecnológicas que realicen transferencias de datos de ciudadanos europeos a terceros países (incluido EEUU), como por ejemplo Dropbox, Google Drive o MailChimp, tienen hasta el 29 de enero para cumplir con la nueva normativa o ser multadas”.
No obstante lo anterior, os informamos que la Agencia Española de Protección de Datos (AEPD) acaba de emitir un comunicado sobre la aplicación de la sentencia de Puerto Seguro (https://goo.gl/gu9LSF) que puntualiza lo publicado por “El Confidencial”.
Ayer 6 de octubre de 2015 el Tribunal de Justicia de la Unión Europea (TJCE) dictó sentencia en el asunto C-362/14, declarando inválida la Decisión de la Comisión Europea de 26 de julio de 2000 conocida como “Safe Harbor” o de Puerto Seguro.
La sentencia fue dictada a raíz de la Cuestión Prejudicial planteada por la High Court de Irlanda (Tribunal Supremo Irlandés) tras la denuncia presentada por el Sr. Maximillian Schrems (ciudadano austriaco y usuario de Facebook), en la que dicho ciudadano de la Unión Europea cuestionaba el nivel de seguridad y protección de los datos personales transferidos a EEUU por empresas como Facebook, tras las revelaciones realizadas en 2013 por Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos, y más concretamente de la National Security Agency o “NSA”.
Tal y como sucede con el resto de ciudadanos residentes en la UE, los datos proporcionados por el Sr. Schrems a Facebook fueron transferidos por parte de la filial irlandesa de Facebook a servidores ubicados en los EEUU, donde estos datos personales son objeto de tratamiento.
Las Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29, del que forma parte la AEPD) han aprobado el primer Dictamen conjunto sobre drones, que analiza la incidencia y los riesgos que la utilización de estos vehículos no tripulados plantean para la privacidad y la protección de datos. El Dictamen evidencia los desafíos que supone el despliegue a gran escala de estas aeronaves equipadas con equipos de sensores, al tiempo que ofrece directrices para interpretar las normas de protección de datos en el contexto de los drones.
El marco jurídico aplicable en relación con las implicaciones de protección de datos derivadas del uso de drones en los Estados miembros es la Directiva 95/46, en conexión con la Directiva 2002/58 de Privacidad y Comunicaciones Electrónicas. Asimismo, existen aspectos en las disposiciones legales nacionales aplicables a los sistemas de circuito cerrado de televisión (CCTV, por sus siglas en inglés) que también son de aplicación al uso de drones, en particular en el caso de que estos se utilicen con fines de videovigilancia.
Las Autoridades ponen de manifiesto que hay actividades de los drones que estarían excluidas
de la Directiva y, por tanto, de los criterios contenidos en este Dictamen. Entre ellas, el uso de drones en un entorno estrictamente personal y doméstico, teniendo en cuenta que, en todo caso, este no incluiría situaciones de monitorización constante que afecte, aunque sea parcialmente, a espacios públicos.
El Dictamen recoge las obligaciones que deben cumplirse antes de utilizar un dron, como verificar si es necesaria una autorización específica de las autoridades de aviación civil; encontrar el criterio más adecuado para que el tratamiento sea legítimo, o cumplir con los principios de transparencia, proporcionalidad, minimización en la captura de datos o limitación del propósito para el cuál se procesan, entre otras.
La Agencia Española de Protección de Datos (AEPD) ha puesto en marcha hoy dos nuevas líneas de servicios orientadas a facilitar a los sujetos obligados el cumplimiento de la normativa de protección de datos. El objetivo es a
mpliar las herramientas y posibilidades online que los responsables tienen a su disposición para cumplir con sus obligaciones a la vez que se simplifican los procedimientos existentes, agilizando procesos y simplificando trámites.
En primer lugar, la Agencia ha incorporado a su Sede electrónica una nueva versión web más funcional y versátil del formulario NOTA para la inscripción de ficheros, orientada a facilitar a los responsables sus obligaciones registrales. Esta nueva versión, que convivirá durante un tiempo con el anterior formulario NOTA, permite entre otras posibilidades notificar varios ficheros del mismo responsable en un solo acto, anexar documentación o notificar las transferencias internacionales amparadas en una resolución marco o de encargado a subencargado.
Las novedades más destacadas que presenta el nuevo Servicio electrónico NOTAson las siguientes:
Desde septiembre de 2014, la Agencia Española de Protección de Datos (AEPD) viene aplicando la interpretación de la Sentencia de 15 de junio de 2011 de la Audiencia Nacional (AN), que ha interpretado que en el caso de que un usuario recibiese varias comunicaciones comerciales de un tercero sin haber otorgado su consentimiento previo y expreso, pero sin oponerse al tratamiento, sólo sería sancionable la primera de las comunicaciones comerciales que se hubiese enviado, ya que al no haberse opuesto a la recepción de las siguientes comunicaciones comerciales, la AN considera que el usuario habría otorgado su consentimiento.
En consecuencia, las comunicaciones comerciales por vía electrónica posteriores a la primera, sin que el usuario haya comunicado su disconformidad con las mismas, serían lícitas y por tanto solamente podría ser objeto de sanción la primera.
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) establece en su artículo 21 que “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.
Por tanto, la LSSI establece la necesidad de obtener un consentimiento previo y expreso de los usuarios antes de remitirles comunicaciones comerciales (ya sea correo electrónico, SMS, fax, etc.). En el sentido literal de la norma, parece indiscutible que no cabe otro tipo de consentimiento, como el tácito o el presunto.
Sin embargo la Audiencia Nacional no parece tener tan clara esa conclusión ya que considera que, si tras la recepción de una comunicación comercial no consentida, el usuario no se opone a recibir nuevas comunicaciones, se considerará que otorga su consentimiento.
El Grupo de Autoridades europeas de protección de datos (GT29) ha aprobado un documento sobre la aplicación de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del pasado 13 de mayo relativa al denominado «Derecho al Olvido». El texto, del que ha sido ponente la Agencia Española de Protección de Datos, analiza los pronunciamientos del Tribunal y desarrolla a lo largo de 25 puntos los criterios interpretativos comunes que van a presidir la aplicación de la sentencia por parte de las Autoridades de los distintos Estados europeos. Entre otras, se abordan las siguientes cuestiones:
– Responsabilidad de los motores de búsqueda. La sentencia del TJUE establece que los motores de búsqueda realizan un tratamiento de datos personales y, en consecuencia, sus gestores están obligados a asumir las responsabilidades propias de quienes tratan datos en los términos previstos en la normativa europea y, en particular, a respetar los derechos de cancelación y de oposición reconocidos a todos los individuos.
– Análisis caso por caso.
El Tribunal subraya el impacto que la actividad de los buscadores tiene en los derechos a la privacidad y a la protección de los datos personales por cuanto permiten acceder desde cualquier lugar a múltiples informaciones personales que posibilitan la elaboración de perfiles. A la vista de la gravedad potencial de este impacto, considera que con carácter general los derechos de los afectados prevalecen sobre el interés económico de los buscadores y sobre el interés de los internautas en acceder a información personal por ese cauce. Sin embargo, señala que es necesario realizar una ponderación caso por caso para alcanzar un “un justo equilibrio” entre los derechos e intereses en liza. El resultado dependerá, en cada supuesto, de la naturaleza y sensibilidad de los datos y del interés del público en acceder a una determinada información, un interés en el que influye significativamente el papel que el afectado desempeñe en la vida pública.
Durante esta semana, desde el día 15 hasta el 19 de septiembre de 2014, las Autoridades de Protección de Datos de la Unión Europea llevarán a cabo la denominada “European...
El 13 de mayo de 2014 el TJUE dictó sentencia en el asunto C-131/12 de Google contra la Agencia Española de Protección de Datos (AEPD), respondiendo así a la cuestión prejudicial planteada por la Audiencia Nacional en 2012, que ya acumulaba otros 220 casos de la misma naturaleza y que estaban pendientes de resolver.
La cuestión prejudicial planteada tenía como objetivo esclarecer (i) el ámbito de aplicación territorial de la Directiva 95/46/CE relativa a la protección de las personas físicas, (ii) la determinación del alcance de la responsabilidad de los buscadores de internet como proveedores de contenidos en relación con la Directiva 95/46/CE y (iii) el alcance del derecho de cancelación y oposición en relación con el derecho al olvido.
De acuerdo con el Tribunal, y en contra de la opinión del Abogado General del caso, Niilo Jääskinen, los gestores de buscadores de Internet son efectivos responsables del tratamiento de datos personales y los particulares podrán ejercitar en determinados casos su derecho a suprimir datos personales de las listas de resultados en buscadores.
Responsabilidad de los motores de búsqueda
El Tribunal dictaminó que la actividad de un buscador (no solo Google, sino otros como Yahoo, Bing o cualquier otro) consistente en indexar automáticamente, almacenar y poner a disposición de los internautas información publicada en Internet por terceros, se considera tratamiento de datos personales (es decir, datos de personas físicas identificadas o identificables). La presentación de datos personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos.
Asimismo, el gestor de un buscador será considerado responsable de dicho tratamiento, ya que es quien determina los fines y los medios de una concreta actividad. El Tribunal ha declarado que el gestor de un motor de búsqueda tiene el deber de eliminar de la lista de resultados obtenida al buscar el nombre de una persona, los enlaces a páginas web publicadas por terceros que contengan información sobre dicha persona.
El Tribunal también advierte que no es posible excluir de la aplicación de la Directiva 95/46/CE al gestor de un motor de búsqueda por el mero hecho de no ejercer ningún control sobre los datos personales publicados en las páginas web de terceros porque, aunque son los editores de tales páginas quienes hacen figurar tales datos, son los motores de búsqueda los que difunden globalmente los datos, facilitándolos a todos los internautas que realizan búsquedas a partir del nombre del interesado y a aquellos internautas que, de no existir el buscador, no habrían encontrado la página web en la que se publican los datos. Además, el internauta obtiene mediante la lista de resultados una visión estructurada de la información relativa a la persona afectada, permitiendo establecer un perfil más o menos detallado del interesado y afectando a la privacidad de éste.
Por ello, en la medida en que la actividad de un motor de búsqueda pueda afectar significativamente y de modo adicional a la de los editores de páginas de Internet, a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, competencias y posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46/CE para que pueda protegerse eficazmente al interesado.
Aplicación territorial – Concepto de “establecimiento”
El tribunal español preguntó en qué circunstancias se considera que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable del tratamiento en territorio de un Estado miembro.
Cuando una empresa situada en un tercer Estado (es decir, fuera del territorio comunitario) tenga establecimiento en un Estado Miembro y realice un tratamiento de datos personales que permita el funcionamiento de su motor de búsqueda en el establecimiento de dicho Estado, se considera que dicho tratamiento se realiza dentro del marco de actividades del establecimiento del Estado Miembro, siempre que su objetivo sea vender o promocionar sus bienes o servicios en ese Estado.
Puesto que Google Spain es la responsable de las actividades de promoción y venta de espacios publicitarios en España y puesto que tales actividades constituyen la parte esencial de la actividad comercial del grupo Google, el Tribunal apreció la existencia de vínculo con Google Search (administrado por Google Inc) y por ello Google Spain se consideró establecimiento de Google Inc.
El Tribunal también consideró que el tratamiento de datos personales realizado para garantizar el funcionamiento de Google Search -gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro- se efectúa «en el marco de las actividades» del establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda.
Por tanto, existe tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro cuando el gestor de un motor de búsqueda (Google Inc) crea en el Estado miembro una sucursal o una filial (Google Spain) destinada a garantizar la promoción y la venta de espacios publicitarios y cuya actividad se dirige a los habitantes de este Estado miembro.
¿Existe entonces el derecho al olvido?
Para apreciar la existencia de los derechos de rectificación, supresión, bloqueo y oposición reconocidos en la Directiva 95/46/CE se deberá examinar si el interesado tiene derecho a que la información en cuestión deje de estar vinculada a su nombre.
El 12 de marzo de 2014, el Parlamento Europeo dio luz verde al proyecto de reforma del esperado (y controvertido) Reglamento Europeo de Protección de Datos, por lo que para su definitiva aprobación solo falta el visto bueno del Consejo. Dado que las autoridades comunitarias han manifestado la urgencia de aprobar este Reglamento, es posible que próximamente dispongamos de nueva regulación armonizada de protección de datos.
El Reglamento tiene por objeto:
– adaptar la protección de datos a las nuevas demandas del mundo digital, sabiendo que las disposiciones actuales se adoptaron cuando menos del 1 % de los europeos utilizaba Internet;
– evitar las actuales divergencias en la aplicación de las normas de 1995 por parte de los diferentes Estados miembros y velar por que los derechos fundamentales a la protección de datos personales se apliquen de manera uniforme en todos los ámbitos de las actividades de la Unión;
– aumentar la confianza del consumidor en los servicios en línea facilitando una mejor información con respecto a los derechos y a la protección de datos mediante la introducción del derecho a la rectificación, al olvido y a la supresión, derecho a la portabilidad de datos y de oposición;
– impulsar el mercado único digital reduciendo la fragmentación actual y las cargas administrativas
Dicho paquete está compuesto por:
– El Reglamento propiamente dicho, que cubre la inmensa mayoría de los datos procesados en la UE, (abarcando, por ejemplo, redes sociales, páginas de compras por internet, servicios bancarios online, registros universitarios y hospitalarios, bases de datos de clientes de las empresas, etc.).
– Una directiva de mínimos que se aplicará a los datos personales procesados en el marco de la cooperación policial y judicial. Hasta ahora, la normativa europea en este campo se aplicaba a los datos intercambiados por las autoridades de distintos Estados Miembros. La nueva norma, de aprobarse, abarcará también los datos procesados por las autoridades en cada Estado Miembro.
¿Qué inconvenientes plantea el nuevo Reglamento?
A pesar de ser necesario para adaptar una normativa de protección de datos que en cierta medida estaba obsoleta, el Reglamento está siendo ampliamente criticado por asociaciones empresariales de diversa naturaleza que reprochan la excesiva regulación que conlleva la reforma.
La AEPD ha condenado en una resolución en España a dos empresas dedicadas al negocio de la joyería, por la vulneración del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI), tras una denuncia presentada ante la agencia.
La resolución de la AEPD obliga a las empresas NAVAS JOYEROS IMPORTADORES, S.L. y PRIVILEGIA LUXURY EXPERIENCE, S.L. al pago de 3.000 y 500 Euros de sanción respectivamente, sólo en materia de cookies (la resolución también contempla una condena a NAVAS JOYEROS, S.L. de 1.500 Euros en materia de protección de datos), por infracciones tipificadas como leves en el artículo 38.4.g) de la LSSI.
La AEPD señala en su resolución que la información proporcionada por las empresas sobre las cookies utilizadas en sus sitios web “no sólo (i) no define las cookies, sino que (ii) no detalla mínimamente el tipo de cookies utilizadas en las citadas páginas web (iii) ni identifica si son propias o de terceros, refiriéndose de forma vaga y genérica a algunas de las finalidades a las que responde su instalación”.
Además, la AEPD especifica que en los avisos de cookies de los sitios web (iv) no se especifican los mecanismos de desactivación de las cookies, (v) no se señala el modo de revocar el consentimiento (vi) y tampoco se permite a los usuarios un fácil acceso a los avisos de cookies.
El precepto legal de la sanción: la reforma normativa en materia de cookies de 2012
El artículo 22.2 de la LSSI fue modificado a raíz de la reforma normativa introducida en España mediante el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponía la Directiva 2009/136/CE (Directiva sobre la Privacidad y las Comunicaciones Electrónicas).
Por Olaya López
Carles Bonfill, creador y programador de Easypromos habla de los riesgos de los datos en internet , las tendencias de los usuarios y empresas y de la necesidad de » estar 100% cubiertos» ante los posibles imprevistos.
-Para todo aquel que no lo conozca ¿Qué es Easypromos?
Easypromos es una empresa en la que nos dedicamos a desarrollar una aplicación dentro de Facebook para que los negocios, empresas o marcas que tengan presencia en esta red social puedan aumentar su número de seguidores y crear más y mejores vínculos con sus potenciales clientes.
Easypromos permiten crear y gestionar de una forma muy fácil y sin ningún conocimiento de informática promociones y concursos dentro de páginas de Facebook.
-¿Qué valor añadido puede proporcionar Easypromos como modelo de negocio?
Los principales valores de Easypromos que queremos transmitir a nuestros clientes y con los que trabajamos cada día son:
1.- Trasposición al ordenamiento español del consentimiento expreso para la utilización de cookies de rastreo
En 31 de marzo de 2012 se ha publicado en el BOE, el Real Decreto-ley 13/2012, de 30 de marzo, que finalmente ha procedido a la trasposición al ordenamiento jurídico español de la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. En concreto se ha procedido a la modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.
En 2008 se presentaron recursos ante el Tribunal Supremo contra el Reglamento que desarrolla la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Esta norma del año 1999 transponía la Directiva Europea que regulaba la protección de los datos personales de los europeos, a la vez que apostaba por la libre circulación de esos datos.