logo

Noticias y artículos sobre Protección de Datos

LetsLaw / Protección de Datos
Leer Más
proteccion datos

¿Quién es el Delegado de Protección de Datos?

Desde Letslaw queremos explicar quién es el Delegado Protección de Datos (DPO), figura que está regulada en el nuevo Reglamento General de Protección de Datos (RGPD), normativa que será aplicable a partir del 25 de mayo de 2018.

Para ello, nos basamos en el contenido del nuevo Reglamento y en la guía elaborada por el Grupo de Trabajo del Artículo 29 y que ha sido publicada con intención de marcar  unas directrices prácticas para ayudar a las empresas (responsables y encargados del tratamiento), para adaptarse al nuevo marco normativo europeo en protección de datos.

¿En qué casos es necesario nombrar a un DPO?

Según el RGPD, será obligatorio que las empresas que traten datos personales nombren un DPO siempre que se de alguna de las siguientes circunstancias:

  • Cuando el tratamiento lo lleva a cabo una autoridad u organismo público
  • En caso de que se tratasen a gran escala categorías especiales de datos. Entre estos datos se encuentran: datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
  • La actividad principal de la empresa consista en el tratamiento de datos que, por su naturaleza, alcance y/o fines, el seguimiento regular y sistemático de los interesados a gran escala (por ejemplo, empresas de Marketing Digital, big data, etc.).
  • En caso de que se tratasen datos relativos a condenas e infracciones penales a gran escala.

¿Qué es un tratamiento requiere una observación habitual y sistemática a gran escala?

Entre los supuestos citados en los que es obligatoria la figura del DPO, se incluyen conceptos ciertamente ambiguos como “observación habitual y sistemática” o “tratamientos a gran escala”, que el Grupo de Trabajo del Artículo 29 ha intentado aclarar en la guía que ha elaborado.

En concreto, respecto de la expresión “seguimiento regular y sistemático de los interesados”, el Grupo de Trabajo propone, varios ejemplos de actividades que pueden conllevar un seguimiento del comportamiento de los interesados, como son: la elaboración y clasificación de perfiles para realizar evaluaciones de riesgos, los programas de fidelización, la publicidad comportamental, seguimiento de ubicación a través de aplicaciones móviles, seguimiento de datos relacionados con el bienestar, como el estado físico y salud recabados mediante dispositivos portátiles (por ejemplo los que se llevan adheridos al cuerpo), el uso de circuitos cerrados de televisión o de dispositivos conectados a Internet (como electrodomésticos o coches inteligentes).

En relación con la expresión “a gran escala”, según el Grupo de Trabajo es un concepto que puede definirse teniendo en cuenta una serie de criterios, como son: el número de sujetos afectados, el volumen de datos tratados y/o el rango de diferentes elementos de datos que se están procesando, la duración o permanencia de la actividad de procesamiento de datos y, la extensión geográfica.

Así, constituirían tratamientos a gran escala:

  • Tratamientos datos de pacientes realizados por un hospital en su actividad ordinaria.
  • Tratamientos de datos de clientes por una compañía de seguros o un banco
  • Tratamientos de datos de tráfico, localización por prestadores de servicios de acceso a Internet o telefonía;
  • Tratamiento de datos para llevar a cabo actividades de publicidad comportamental o behavioural advertising mediante motores de búsqueda, entre otros.

¿Con qué cualidades debe contar el DPO?

Contáctanos

    Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

    Leer Más
    baby 1399332 1920 1

    Con los datos de menores no se juega: conoce cómo protegerlos

    Muchas empresas tratan en su día a día, datos personales de menores, por ejemplo para permitirles participar en un concurso o una promoción organizada por la empresa, para utilizar sus fotografías en alguna publicidad (sí, las fotografías de personas también se consideran datos de carácter personal), o directamente porque sus servicios están dirigidos a niños.

    Cuando se tratan datos de menores, la normativa de protección de datos es especialmente protectora, puesto que se les considera individuos especialmente vulnerables y crédulos, sobre todo en ámbito de Internet.

    Así, si tu empresa capta datos de carácter personal de menores, no te pierdas las principales claves para recabar y tratar correctamente estos datos que te facilitamos desde Letslaw:

    • ¿Qué es un menor en materia de protección de datos?

    Lo primero que debemos tener claro es qué se considera como menor de edad en el ámbito de la protección de datos.

    La normativa de Protección de Datos considera menor a aquella persona cuya edad es inferior a 14 años y considera que éstos no tienen capacidad para otorgar su consentimiento.

    Es decir, según la normativa, los niños de entre 0 y 13 años no tienen capacidad para otorgar su consentimiento, por lo que se deben tomar medidas adicionales de protección para poder tratar sus datos.

    • ¿Qué medidas debemos tomar para tratar datos de menores?

    La normativa de protección de datos establece que los mayores de 14 años tienen capacidad para otorgar por sí mismos el consentimiento para el tratamiento de sus datos.

    Podríamos decir que la captación y tratamiento de los datos de menores entre 14 y 18 años será equiparable a la de un adulto. Es decir, ellos mismos podrán otorgar el consentimiento para la utilización de sus datos (sin necesidad de autorización paterna), por ejemplo, aceptando directamente la política de privacidad de la empresa, siempre y cuando ésta cumpla el deber de información del artículo 5 de la LOPD.

    Sin embargo, esto cambia cuando los datos que pretendemos recabar son de menores de 14 años. En estos casos se deberán tomar medidas adicionales para recabar correctamente su consentimiento, que os detallamos a continuación:

          1º.- Utiliza un lenguaje sencillo

    Cuando recabamos datos de carácter personal, la normativa exige a las empresas que informen a los titulares de esos datos sobre: (i) la identidad de la empresa que será la responsable de esos datos, (ii) la finalidad para la que se van a utilizar los datos, (iii) si se van a ceder a terceras empresas, o (iv) la posibilidad de que los titulares ejerciten sus derechos de acceso, rectificación, cancelación u oposición.

    Si estamos dirigiéndonos a menores con intención de recabar sus datos personales, la normativa exige que la información que se facilite a éstos se exprese en un lenguaje que sea fácilmente comprensible por los menores, adaptada a la capacidad de entendimiento de éstos, y por tanto con un lenguaje claro y sencillo.

         2º.- Obtén el consentimiento o la autorización paterna

    Tal y como establece el Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de Desarrollo de la LOPD (en adelante, “RLOPD”) en su artículo 13, los niños menores de 14 años no tienen capacidad para otorgar el consentimiento por si mismos, y por tanto siempre será necesario obtener el consentimiento de sus padres o tutores para el tratamiento de sus datos.

    Así para que las empresas puedan cumplir con la normativa de protección de datos, será necesario que en el momento de recabar los datos personales de menores, exijan que se aporte una autorización debidamente firmada por los padres o tutores.

    Contáctanos

      Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

      Leer Más
      home slider 1

      NOVEDADES RGPD: RECOMENDACIONES PARA LOS RESPONSABLES DE TRATAMIENTO

      La AEPD ha publicado recientemente la Guía para Responsables de Tratamiento , un documento importante y que aclara muchas de los interrogantes que se nos plantean con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el pasado mes de mayo.

      1. ¿CUÁNDO EMPEZAR LA ADAPTACIÓN LOS RESPONSABLES DE TRATAMIENTO?

      Aunque el RGPD será aplicable a partir de mayo de 2018, en el periodo de transición es imprescindible preparar y adoptar las medidas necesarias para asegurar el cumplimiento de las previsiones de la nueva normativa en el momento en que sea de aplicación.

      En este sentido, muchas de las recomendaciones o interpretaciones que ofrece la AEPD pueden ponerse en práctica de inmediato porque tienen que ver con actuaciones que debieran iniciarse ya durante el periodo de transición entre la entrada en vigor y el inicio de la aplicación del RGPD.

      El RGPD incorpora dos claves que sirven de base de las principales novedades de esta nueva normativa:

      • Principio de responsabilidad proactiva

      Se exige una actitud consciente, diligente y proactiva por parte de las empresas, que deberán analizar todos los tratamientos de datos personales que llevan a cabo para determinar la forma en que aplicarán las medidas que el RGPD prevé. Será importante asegurarse de que son las medidas adecuadas y que así puede demostrarse ante los interesados y autoridades de supervisión.

      • El enfoque de riesgo

      Será imprescindible realizar un análisis de los riesgos particulares de cada empresa. La aplicación del RGPD dependerá de las características de cada empresa, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

      1. BASE DE LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS

      Es imprescindible documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos, para lo cual será necesario:

      Contáctanos

        Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

        Leer Más
        signpost 2030780 640

        Nuevas Guías del Grupo de Trabajo del art.29: El Delegado de Protección de Datos, las Autoridades de Control y el Derecho de Portabilidad

        El grupo de trabajo del art. 29 publicó el pasado mes de diciembre nuevas directrices para la adecuación al nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor a partir del 25 de mayo de 2018. Estas guías interpretativas tratan de tres cuestiones:

        • La figura del Data Protection Officer o Delegado de Protección de Datos
        • La identificación de la Autoridad de Control Principal
        • El Derecho a la Portabilidad de los Datos
        1. DELEGADO DE PROTECCIÓN DE DATOS

        En los art. 37, 38 y 39 del Reglamento se recoge la figura del Delegado de Protección de Datos (DPO). Es recomendable el nombramiento de un DPO para todos aquellos que traten datos personales, y obligatorio en determinadas situaciones como:

        • Entidades cuya actividad principal consista en el tratamiento de datos que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática a gran escala (por ejemplo, empresas de Marketing Digital, big data, etc.)
        • Entidades que realicen tratamiento de categorías especiales de datos especiales, a las cuales se refiere el art. 9 del Reglamento:
          • Datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, con las excepciones del apartado segundo del mismo artículo.
          • Datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
          • Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.
        • Entidades que realicen tratamiento de datos relativos a condenas e infracciones penales (recogidas en el art.10) a gran escala.
        • Autoridades y organismos públicos, excepto tribunales.

        Contáctanos

          Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

          Leer Más
          hacker 1872289 640

          Guía sobre los procedimientos de anonimización de los datos personales

          La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía que contiene una serie de orientaciones y garantías para llevar a cabo los procedimientos de anonimización de datos personales.

          La Guía de la AEPD define los procesos y fases de anonimización que se deben adoptar para eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados, de manera que se garantice que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no consiga identificar a las personas titulares de los datos anonimizados.

          Para llevar a cabo el proceso de anonimización, la AEPD aconseja definir un protocolo de actuación en base a las siguientes fases:

          1.- Definición de equipo de trabajo

          En el proceso de anonimización, se aconseja crear un equipo de trabajo y asignarle a cada componente determinadas funciones atendiendo a los perfiles que cada persona puede desarrollar en este proceso.
          La AEPD considera que el equipo podría estar formado de la siguiente manera: (i) Responsable del fichero: decide sobre la finalidad a los que debe responder los datos personales, (ii) Responsable de protección de datos (en su caso, DPO): promover la realización de evoluciones de impacto previo en los procesos de anonimización y verificar la ejecución en dichos procesos, (iii) Destinatario de la información anonimizada y responsable del tratamiento de datos anonimizados: deciden sobre los requisitos de la información atendiendo a los objetivos finales a los que se destina la misma, (iv) Equipo de evaluación de riesgos: encargado de realizar la evaluación de riesgos inicial, evaluar el resultado del proceso, auditar el procedimiento de anonimización, (v) Equipo de preanonimización y anonimización: propone técnicas para una anonimización efectiva y elimina aquellas variables cuya anonimización no se ajuste a la finalidad, (vi) Equipo de seguridad de la información y del proceso: vela por las medidas de seguridad durante el proceso de anonimización.

          2.-Independencia de funciones

          Contáctanos

            Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

            Leer Más
            risk 1945683 640

            Principales claves sobre las Evaluaciones de Impacto en la protección de datos

            Actualmente en España no existe la obligación legal de realizar Evaluaciones de Impacto en la Protección de Datos en ningún sector o ámbito específico. Sin embargo, el nuevo Reglamento Europeo de Protección de Datos (REPD), aplicable a partir del próximo 25 de mayo de 2018, establece la obligación de realizar evaluaciones de impacto en determinados casos.

            Cualquier ecommerce o empresa que trate datos de carácter personal deberá familiarizarse con este nuevo concepto y sus implicaciones legales.

            ¿Qué es una Evaluación de Impacto?

            Una Evaluación de Impacto en la Protección de los Datos Personales (en adelante, “Evaluación de Impacto”) o Privacy Impact Assessment (PIA) es una obligación legal contemplada en el REPD que afecta a las empresas según el tipo de tratamiento de datos personales que realicen.

            La Evaluación de Impacto deberá realizarse antes de llevar a cabo el tratamiento de datos, y consistirá en un
            análisis de los riesgos de un sistema de información, producto o servicio de una empresa que puedan causar un perjuicio para los afectados cuyos datos son tratados (pérdida de control sobre sus datos, usurpaciones de identidad, daños reputacionales o económicos…).

            A raíz del análisis realizado, se deberá planificar una adecuada gestión de los riesgos identificados, adoptando las medidas necesarias para neutralizarlos o reducirlos en la medida de lo posible.

            ¿Cuándo es obligatorio realizar una Evaluación de Impacto?

            El REPD establece en su artículo 35 la obligación de realizar una Evaluación de Impacto siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas” y, especialmente, cuando se utilicen las nuevas tecnologías.

            Contáctanos

              Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

              Leer Más
              europe 1976654 640

              La Comisión aprueba el Acuerdo Privacy Shield que permite realizar transferencias de datos a Estados Unidos

              El 12 de Julio de 2016, la Comisión Europea aprobó el Nuevo Acuerdo (Privacy Shield) que permite realizar transferencias internacionales de datos ciudadanos europeos a los Estados Unidos.

              El Privacy Shield es necesario desde que, en octubre del año pasado, el Tribunal de Justicia de la Unión Europea invalidase el Acuerdo anterior (el Acuerdo de Safe Harbour) por no considerarse adecuado para proteger los derechos fundamentales de los europeos.

              Contenido del Acuerdo 

              Contáctanos

                Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                Leer Más
                privacy policy 445157 640

                PRIMERAS IMPLICACIONES PRÁCTICAS DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

                El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD). Aunque no comenzará a aplicarse hasta el 25 de mayo de 2018, es importante que las empresas vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

                La Agencia Española de Protección de Datos (AEPD) ha realizado un análisis de las implicaciones prácticas que conviene que las entidades conozcan para afrontar el momento en el que el RGPD sea aplicable.

                1. El consentimiento tácito ya no será válido

                El Reglamento requiere el consentimiento expreso para al tratamiento de datos personales. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española.

                Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.Por tanto, la Agencia aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para los tratamientos comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al Reglamento como a utilizar mecanismos acordes con la nueva legislación.

                Contáctanos

                  Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                  Leer Más
                  home office 336378 640 1

                  Conoce las 6 claves para adaptar tu e-commerce a la LOPD

                  Adaptar tu e-commerce a la Ley Orgánica de Protección de Datos (LOPD) y a su reglamento de desarrollo es fundamental para cumplir con la legalidad vigente y para generar confianza entre los usuarios y consumidores, por ello desde Letslaw te indicamos las principales claves que debes tener en cuenta para que tu e-commerce esté correctamente adaptado a la normativa en materia de protección de datos:

                  1.- Informar a los usuarios sobre el tratamiento de sus datos personales

                  Todo e-commerce trata datos personales de los usuarios (nombre, apellidos, e-mail, teléfono…) y por ello deben contar con una Política de Privacidad en la que se incluyan todos los requisitos exigidos por la LOPD.

                  Una correcta Política de Privacidad debe informar acerca de quién es el titular del sitio web, el tratamiento y la finalidad con la que se utilizarán esos datos personales (que habitualmente suele ser el envío de comunicaciones comerciales relacionadas con los product
                  os que comercializa el e-commerce)

                  Asimismo en este texto legal se deberá indicar si los datos personales serán cedidos a terceras empresas o si serán utilizados para la remisión de comunicaciones comerciales  por cuenta de terceros.

                  2.- Consentimiento expreso por parte del usuario

                  Una vez hayamos informado al usuario acerca de las cuestiones que hemos indicado, la LOPD obliga a los e-commerce a que obtengan el consentimiento expreso por parte del usuario para el tratamiento de sus datos personales.

                  El consentimiento expreso sería válido, por ejemplo, si se implementa un sistema opt-in (casilla no marcada por defecto) y se incluye un texto de aceptación de la Política de Privacidad con un link que redirija a la misma.

                  De esta manera el usuario estaría expresamente consistiendo la utilización de sus datos personales para las finalidades indicadas en la Política de Privacidad.

                  3.- Derechos ARCO

                  Contáctanos

                    Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                    Leer Más
                    pier 349672 640

                    Nueva comunicación por parte de la AEPD sobre la aplicación de la sentencia de Puerto Seguro (Safe Harbour)

                    Tras la sentencia dictada por el Tribunal de Justicia de la Unión Europea en fecha 6 de octubre de 2015 mediante la cual se declaraba inválidos el acuerdo de Safe Harbour (Puerto Seguro), por considerar el Tribunal de Justicia de la Unión Europea que los EEUU no garantizaban una correcta protección de los datos personales de los usuarios europeos, han surgido diversas especulaciones sobre cómo procederá a actuar la Agencia Española de Protección de Datos en relación con aquellas empresas que tratan los datos personales de los usuarios a través de servidores y plataformas alojados en EEUU.

                    Entre estas especulaciones, encontramos una noticia muy polémica que ha publicado el periódico “El Confidencial” el 8 de diciembre (http://goo.gl/jRVh7x), en relación con el “ultimátum” que ha impuesto AEPD a empresas españolas por la utilización de servidores como Dropbox, Google Drive o MailChimp, alojados actualmente en EEUU.

                    En este sentido, “El Confidencial” informa a través de su noticia que “todas aquellas que utilicen plataformas tecnológicas que realicen transferencias de datos de ciudadanos europeos a terceros países (incluido EEUU), como por ejemplo Dropbox, Google Drive o MailChimp, tienen hasta el 29 de enero para cumplir con la nueva normativa o ser multadas”.

                    No obstante lo anterior, os informamos que la Agencia Española de Protección de Datos (AEPD) acaba de emitir un comunicado sobre la aplicación de la sentencia de Puerto Seguro (https://goo.gl/gu9LSF) que puntualiza lo publicado por “El Confidencial”.

                    Contáctanos

                      Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                      Leer Más
                      golden gate bridge 388917 1280

                      El TJCU declara invalidados los acuerdos de Safe Harbor

                      Ayer 6 de octubre de 2015 el Tribunal de Justicia de la Unión Europea (TJCE) dictó sentencia en el asunto C-362/14, declarando inválida la Decisión de la Comisión Europea de 26 de julio de 2000 conocida como “Safe Harbor” o de Puerto Seguro.

                      La sentencia fue dictada a raíz de la Cuestión Prejudicial planteada por la High Court de Irlanda (Tribunal Supremo Irlandés) tras la denuncia presentada por el Sr. Maximillian Schrems (ciudadano austriaco y usuario de Facebook), en la que dicho ciudadano de la Unión Europea cuestionaba el nivel de seguridad y protección de los datos personales transferidos a EEUU por empresas como Facebook, tras las revelaciones realizadas en 2013 por Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos, y más concretamente de la National Security Agency o “NSA”.

                      Tal y como sucede con el resto de ciudadanos residentes en la UE, los datos proporcionados por el Sr. Schrems a Facebook fueron transferidos por parte de la filial irlandesa de Facebook a servidores ubicados en los EEUU, donde estos datos personales son objeto de tratamiento.

                      Contáctanos

                        Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                        Leer Más
                        drone 1080844 640 1

                        Las Autoridades europeas de protección de datos aprueban el primer Dictamen conjunto sobre drones

                        Las Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29, del que forma parte la AEPD) han aprobado el primer Dictamen conjunto sobre drones, que analiza la incidencia y los riesgos que la utilización de estos vehículos no tripulados plantean para la privacidad y la protección de datos. El Dictamen evidencia los desafíos que supone el despliegue a gran escala de estas aeronaves equipadas con equipos de sensores, al tiempo que ofrece directrices para interpretar las normas de protección de datos en el contexto de los drones.

                        El marco jurídico aplicable en relación con las implicaciones de protección de datos derivadas del uso de drones en los Estados miembros es la Directiva 95/46, en conexión con la Directiva 2002/58 de Privacidad y Comunicaciones Electrónicas. Asimismo, existen aspectos en las disposiciones legales nacionales aplicables a los sistemas de circuito cerrado de televisión (CCTV, por sus siglas en inglés) que también son de aplicación al uso de drones, en particular en el caso de que estos se utilicen con fines de videovigilancia.

                        Las Autoridades ponen de manifiesto que hay actividades de los drones que estarían excluidas
                        de la Directiva y, por tanto, de los criterios contenidos en este Dictamen. Entre ellas, el uso de drones en un entorno estrictamente personal y doméstico, teniendo en cuenta que, en todo caso, este no incluiría situaciones de monitorización constante que afecte, aunque sea parcialmente, a espacios públicos.

                        El Dictamen recoge las obligaciones que deben cumplirse antes de utilizar un dron, como verificar si es necesaria una autorización específica de las autoridades de aviación civil; encontrar el criterio más adecuado para que el tratamiento sea legítimo, o cumplir con los principios de transparencia, proporcionalidad, minimización en la captura de datos o limitación del propósito para el cuál se procesan, entre otras.

                        Contáctanos

                          Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                          Leer Más
                          fence 1644822 640

                          La AEPD simplifica y amplía sus servicios online de inscripción y notificación de ficheros

                          La Agencia Española de Protección de Datos (AEPD) ha puesto en marcha hoy dos nuevas líneas de servicios orientadas a facilitar a los sujetos obligados el cumplimiento de la normativa de protección de datos. El objetivo es a
                          mpliar las herramientas y posibilidades online que los responsables tienen a su disposición para cumplir con sus obligaciones a la vez que se simplifican los procedimientos existentes, agilizando procesos y simplificando trámites.

                          En primer lugar, la Agencia ha incorporado a su Sede electrónica una nueva versión web más funcional y versátil del formulario NOTA para la inscripción de ficheros,  orientada a facilitar a los responsables sus obligaciones registrales. Esta nueva versión, que convivirá durante un tiempo con el anterior formulario NOTA, permite entre otras posibilidades notificar varios ficheros del mismo responsable en un solo acto, anexar documentación o notificar las transferencias internacionales amparadas en una resolución marco o de encargado a subencargado.

                          Las novedades más destacadas que presenta el nuevo Servicio electrónico NOTAson las siguientes:

                          Contáctanos

                            Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                            Leer Más
                            email 1903444 640

                            La Audiencia Nacional y la AEPD admiten en algunos casos el envío de e-mails sin el consentimiento expreso del usuario

                            Desde septiembre de 2014, la Agencia Española de Protección de Datos (AEPD) viene aplicando la interpretación de la Sentencia de 15 de junio de 2011 de la Audiencia Nacional (AN), que ha interpretado que en el caso de que un usuario recibiese varias comunicaciones comerciales de un tercero sin haber otorgado su consentimiento previo y expreso, pero sin oponerse al tratamiento, sólo sería sancionable la primera de las comunicaciones comerciales que se hubiese enviado, ya que al no haberse opuesto a la recepción de las siguientes comunicaciones comerciales, la AN considera que el usuario habría otorgado su consentimiento.

                            En consecuencia, las comunicaciones comerciales por vía electrónica posteriores a la primera, sin que el usuario haya comunicado su disconformidad con las mismas, serían lícitas y por tanto solamente podría ser objeto de sanción la primera.

                            1. CAMBIO DE INTERPRETACIÓN DE LA LSSI

                            La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) establece en su artículo 21 que “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

                            @

                            Por tanto, la LSSI establece la necesidad de obtener un consentimiento previo y expreso de los usuarios antes de remitirles comunicaciones comerciales (ya sea correo electrónico, SMS, fax, etc.). En el sentido literal de la norma, parece indiscutible que no cabe otro tipo de consentimiento, como el tácito o el presunto.

                            Sin embargo la Audiencia Nacional no parece tener tan clara esa conclusión ya que considera que, si tras la recepción de una comunicación comercial no consentida, el usuario no se opone a recibir nuevas comunicaciones, se considerará que otorga su consentimiento.

                            Contáctanos

                              Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                              Leer Más
                              Untitled 115

                              Las Autoridades europeas de protección de datos aprueban los criterios comunes para aplicar la sentencia sobre el -derecho al olvido-.

                              El Grupo de Autoridades europeas de protección de datos (GT29) ha aprobado un documento sobre la aplicación de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del pasado 13 de mayo relativa al denominado «Derecho al Olvido». El texto, del que ha sido ponente la Agencia Española de Protección de Datos, analiza los pronunciamientos del Tribunal y desarrolla a lo largo de 25 puntos los criterios interpretativos comunes que van a presidir la aplicación de la sentencia por parte de las Autoridades de los distintos Estados europeos. Entre otras, se abordan las siguientes cuestiones:

                              Responsabilidad de los motores de búsqueda. La sentencia del TJUE establece que los motores de búsqueda realizan un tratamiento de datos personales y, en consecuencia, sus gestores están obligados a asumir las responsabilidades propias de quienes tratan datos en los términos previstos en la normativa europea y, en particular, a respetar los derechos de cancelación y de oposición reconocidos a todos los individuos.

                              – Análisis caso por caso.
                              El Tribunal subraya el impacto que la actividad de los buscadores tiene en los derechos a la privacidad y a la protección de los datos personales por cuanto permiten acceder desde cualquier lugar a múltiples informaciones personales que posibilitan la elaboración de perfiles. A la vista de la gravedad potencial de este impacto, considera que con carácter general los derechos de los afectados prevalecen sobre el interés económico de los buscadores y sobre el interés de los internautas en acceder a información personal por ese cauce. Sin embargo, señala que es necesario realizar una ponderación caso por caso para alcanzar un “un justo equilibrio” entre los derechos e intereses en liza. El resultado dependerá, en cada supuesto, de la naturaleza y sensibilidad de los datos y del interés del público en acceder a una determinada información, un interés en el que influye significativamente el papel que el afectado desempeñe en la vida pública.

                              Contáctanos

                                Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                                Leer Más
                                traffic light 876061 640

                                El Tribunal de Justicia de la Unión Europea da luz verde al “derecho al olvido”

                                El 13 de mayo de 2014 el TJUE dictó sentencia en el asunto C-131/12 de Google contra la Agencia Española de Protección de Datos (AEPD), respondiendo así a la cuestión prejudicial planteada por la Audiencia Nacional en 2012, que ya acumulaba otros 220 casos de la misma naturaleza y que estaban pendientes de resolver.

                                La cuestión prejudicial planteada tenía como objetivo esclarecer (i) el ámbito de aplicación territorial de la Directiva 95/46/CE relativa a la protección de las personas físicas, (ii) la determinación del alcance de la responsabilidad de los buscadores de internet como proveedores de contenidos en relación con la Directiva 95/46/CE y (iii) el alcance del derecho de cancelación y oposición en relación con el derecho al olvido.

                                De acuerdo con el Tribunal, y en contra de la opinión del Abogado General del caso, Niilo Jääskinen, los gestores de buscadores de Internet son efectivos responsables del tratamiento de datos personales y los particulares podrán ejercitar en determinados casos su derecho a suprimir datos personales de las listas de resultados en buscadores.

                                Responsabilidad de los motores de búsqueda

                                El Tribunal dictaminó que la actividad de un buscador (no solo Google, sino otros como Yahoo, Bing o cualquier otro) consistente en indexar automáticamente, almacenar y poner a disposición de los internautas información publicada en Internet por terceros, se considera tratamiento de datos personales (es decir, datos de personas físicas identificadas o identificables). La presentación de datos personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos.

                                Asimismo, el gestor de un buscador será considerado responsable de dicho tratamiento, ya que es quien determina los fines y los medios de una concreta actividad. El Tribunal ha declarado que el gestor de un motor de búsqueda tiene el deber de eliminar de la lista de resultados obtenida al buscar el nombre de una persona, los enlaces a páginas web publicadas por terceros que contengan información sobre dicha persona.

                                El Tribunal también advierte que no es posible excluir de la aplicación de la Directiva 95/46/CE al gestor de un motor de búsqueda por el mero hecho de no ejercer ningún control sobre los datos personales publicados en las páginas web de terceros porque, aunque son los editores de tales páginas quienes hacen figurar tales datos, son los motores de búsqueda los que difunden globalmente los datos, facilitándolos a todos los internautas que realizan búsquedas a partir del nombre del interesado y a aquellos internautas que, de no existir el buscador, no habrían encontrado la página web en la que se publican los datos. Además, el internauta obtiene mediante la lista de resultados una visión estructurada de la información relativa a la persona afectada, permitiendo establecer un perfil más o menos detallado del interesado y afectando a la privacidad de éste.

                                Por ello, en la medida en que la actividad de un motor de búsqueda pueda afectar significativamente y de modo adicional a la de los editores de páginas de Internet, a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, competencias y posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46/CE para que pueda protegerse eficazmente al interesado.

                                Aplicación territorial – Concepto de “establecimiento”

                                El tribunal español preguntó en qué circunstancias se considera que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable del tratamiento en territorio de un Estado miembro.

                                Cuando una empresa situada en un tercer Estado (es decir, fuera del territorio comunitario) tenga establecimiento en un Estado Miembro y realice un tratamiento de datos personales que permita el funcionamiento de su motor de búsqueda en el establecimiento de dicho Estado, se considera que dicho tratamiento se realiza  dentro del marco de actividades del establecimiento del Estado Miembro, siempre que su objetivo sea vender o promocionar sus bienes o servicios en ese Estado.

                                Puesto que Google Spain es la responsable de las actividades de promoción y venta de espacios publicitarios en España y puesto que tales actividades constituyen la parte esencial de la actividad comercial del grupo Google, el Tribunal apreció la existencia de vínculo con Google Search (administrado por Google Inc) y por ello Google Spain se consideró establecimiento de Google Inc.

                                El Tribunal también consideró que el tratamiento de datos personales realizado para garantizar el funcionamiento de Google Search -gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro- se efectúa «en el marco de las actividades» del establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda.

                                Por tanto, existe tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro cuando el gestor de un motor de búsqueda (Google Inc) crea en el Estado miembro una sucursal o una filial (Google Spain) destinada a garantizar la promoción y la venta de espacios publicitarios y cuya actividad se dirige a los habitantes de este Estado miembro.

                                ¿Existe entonces el derecho al olvido?

                                Para apreciar la existencia de los derechos de rectificación, supresión, bloqueo y oposición reconocidos en la Directiva 95/46/CE se deberá examinar si el interesado tiene derecho a que la información en cuestión deje de estar vinculada a su nombre.

                                Contáctanos

                                  Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                                  Leer Más
                                  lock 1970607 640

                                  El Parlamento Europeo aprueba la reforma del Reglamento sobre protección de datos

                                  El 12 de marzo de 2014, el Parlamento Europeo dio luz verde al proyecto de reforma del esperado (y controvertido) Reglamento Europeo de Protección de Datos, por lo que para su definitiva aprobación solo falta el visto bueno del Consejo. Dado que las autoridades comunitarias han manifestado la urgencia de aprobar este Reglamento, es posible que próximamente dispongamos de nueva regulación armonizada de protección de datos.

                                  El Reglamento tiene por objeto:

                                  – adaptar la protección de datos a las nuevas demandas del mundo digital, sabiendo que las disposiciones actuales se adoptaron cuando menos del 1 % de los europeos utilizaba Internet;

                                  – evitar las actuales divergencias en la aplicación de las normas de 1995 por parte de los diferentes Estados miembros y velar por que los derechos fundamentales a la protección de datos personales se apliquen de manera uniforme en todos los ámbitos de las actividades de la Unión;

                                  – aumentar la confianza del consumidor en los servicios en línea facilitando una mejor información con respecto a los derechos y a la protección de datos mediante la introducción del derecho a la rectificación, al olvido y a la supresión, derecho a la portabilidad de datos y de oposición;

                                  – impulsar el mercado único digital reduciendo la fragmentación actual y las cargas administrativas

                                  Dicho paquete está compuesto por:

                                  –  El Reglamento propiamente dicho, que cubre la inmensa mayoría de los datos procesados en la UE, (abarcando, por ejemplo, redes sociales, páginas de compras por internet, servicios bancarios online, registros universitarios y hospitalarios, bases de datos de clientes de las empresas, etc.).

                                  – Una directiva de mínimos que se aplicará a los datos personales procesados en el marco de la cooperación policial y judicial. Hasta ahora, la normativa europea en este campo se aplicaba a los datos intercambiados por las autoridades de distintos Estados Miembros. La nueva norma, de aprobarse, abarcará también los datos procesados por las autoridades en cada Estado Miembro.

                                  ¿Qué inconvenientes plantea el nuevo Reglamento?

                                  A pesar de ser necesario para adaptar una normativa de protección de datos que en cierta medida estaba obsoleta, el Reglamento está siendo ampliamente criticado por asociaciones empresariales de diversa naturaleza que reprochan la excesiva regulación que conlleva la reforma.

                                  Contáctanos

                                    Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                                    Leer Más
                                    44742 620

                                    La AEPD impone su primera sanción en materia de cookies a dos PYMES de Madrid

                                    La AEPD ha condenado en una resolución en España a dos empresas dedicadas al negocio de la joyería, por la vulneración del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI), tras una denuncia presentada ante la agencia.

                                    La resolución de la AEPD obliga a las empresas NAVAS JOYEROS IMPORTADORES, S.L. y PRIVILEGIA LUXURY EXPERIENCE, S.L. al pago de 3.000 y 500 Euros de sanción respectivamente, sólo en materia de cookies (la resolución también contempla una condena a NAVAS JOYEROS, S.L. de 1.500 Euros en materia de protección de datos), por infracciones tipificadas como leves en el artículo 38.4.g) de la LSSI.

                                    La AEPD señala en su resolución que la información proporcionada por las empresas sobre las cookies utilizadas en sus sitios web “no sólo (i) no define las cookies, sino que (ii) no detalla mínimamente el tipo de cookies utilizadas en las citadas páginas web (iii) ni identifica si son propias o de terceros, refiriéndose de forma vaga y genérica a algunas de las finalidades a las que responde su instalación”.

                                    Además, la AEPD especifica que en los avisos de cookies de los sitios web (iv) no se especifican los mecanismos de desactivación de las cookies, (v) no se señala el modo de revocar el consentimiento (vi) y tampoco se permite a los usuarios un fácil acceso a los avisos de cookies.

                                    El precepto legal de la sanción: la reforma normativa en materia de cookies de 2012

                                    El artículo 22.2 de la LSSI fue modificado a raíz de la reforma normativa introducida en España mediante el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponía la Directiva 2009/136/CE (Directiva sobre la Privacidad y las Comunicaciones Electrónicas).

                                    Contáctanos

                                      Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                                      Carles Bonfill, creador de Easypromos habla para Letlsaw : «No hay suficiente consciencia de los riesgos de una mala gestión de comunidades de usuarios en redes sociales»

                                      Por Olaya López

                                      Carles Bonfill, creador y programador de Easypromos habla de los riesgos de los datos en internet , las tendencias de los usuarios y empresas y de la necesidad de » estar  100% cubiertos» ante los posibles imprevistos.

                                      -Para todo aquel que no lo conozca ¿Qué es Easypromos?

                                      Easypromos es una empresa en la que nos dedicamos a desarrollar una aplicación dentro de Facebook para que los negocios, empresas o marcas que tengan presencia en esta red social puedan aumentar su número de seguidores y crear más y mejores vínculos con sus potenciales clientes.

                                      Easypromos permiten crear y gestionar de una forma muy fácil y sin ningún conocimiento de informática promociones y concursos dentro de páginas de Facebook.

                                      -¿Qué valor añadido puede proporcionar Easypromos como modelo de negocio?

                                      Los principales valores de Easypromos que queremos transmitir a nuestros clientes y con los que trabajamos cada día son:

                                      • Fiabilidad: nuestra aplicación siempre tiene que funcionar. No puede fallar.
                                      • Seguridad: en los datos de los usuarios y en el cumplimiento estricto de la normativa y política de Facebook.
                                      • Innovación: la tecnología en Facebook evoluciona rapidísimamente. Easypromos tiene que crecer en la misma velocidad para aprovechar todas las posibilidades técnicas existentes.
                                      • Facilidad:  proporcionamos una herramienta para que cualquier usuario de Facebook pueda realizar un concurso en cuestión de minutos, sin necesidad de tener conocimientos de programación o informática
                                      • Ahorro: Intentamos ofrecer la mejor oferta económica del mercado. Incluso damos la posibilidad de probar la primera vez nuestro producto y gratis.

                                      Contáctanos

                                        Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                                        Leer Más
                                        agree 1728448 640

                                        Modificación de la LSSI: Se traspone al ordenamiento jurídico español, la obligación de obtención del consentimiento expreso para la utilización de cookies de rastreo.

                                        1.- Trasposición al ordenamiento español del consentimiento expreso para la utilización de cookies de rastreo

                                        En 31 de marzo de 2012 se ha publicado en el BOE, el Real Decreto-ley 13/2012, de 30 de marzo, que finalmente ha procedido a la trasposición al ordenamiento jurídico español de la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. En concreto se ha procedido a la modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.

                                        Contáctanos

                                          Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información

                                          Leer Más
                                          fingerprint 979598 640

                                          El interés legítimo y la protección de datos

                                          En 2008 se presentaron recursos ante el Tribunal Supremo contra el Reglamento que desarrolla la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Esta norma del año 1999 transponía la Directiva Europea que regulaba la protección de los datos personales de los europeos, a la vez que apostaba por la libre circulación de esos datos.

                                          Contáctanos

                                            Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información