El Tribunal de Justicia de la UE considera que la directiva europea sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones representa una “injerencia” en el derecho fundamental de los ciudadanos al respeto de la vida privada.
Así lo estima el abogado general del Tribunal de Justicia de la UE, Pedro Cruz Villalón, en una conclusión prejudicial. En concreto, argumenta esta “injerencia” en el hecho de que la directiva europea en cuestión obliga a los proveedores de servicios de comunicaciones telefónicas o electrónicas a recabar y conservar datos de tráfico y localización de dichas comunicaciones.
lunes, 27 de enero de 2014
viernes, 3 de enero de 2014
Si tienes una tienda online, atento a la nueva Ley de Consumidores
Montar
una tienda online es de lo más sencillo, además de barato. Con una inversión
mínima, crear un comercio virtual en internet es un negocio por el que muchos
han apostado en estos tiempos de crisis. Sin embargo, todo aquel que desee
vender productos a través de la red debe tener en cuenta varias normas de
obligado cumplimiento, como la Ley de
Protección de Datos (LOPD), la Ley Servicios de la Sociedad de la
Información y Comercio Electrónico (LSSICE) y la Ley de Ordenación de Comercio
Minorista (LOCM).
A todas
ellas se suma la Ley de Consumidores,
cuyo proyecto de ley con las pertinentes modificaciones para adaptarse a la
regulación europea sobre la materia, fue presentado por el Gobierno el pasado
mes de octubre. Unos cambios que llegan con el propósito de defender alconsumidor ante el auge del comercio electrónico, según indicó la ministra de
Sanidad, Servicios Sociales e Igualdad, Ana Mato.
jueves, 28 de noviembre de 2013
Nuevo Reglamento Europeo de Protección de Datos en 2014
El
trabajo para que la nueva norma entre en vigor en 2014 viene de año y medio
atrás. Al proyecto del Parlamento Europeo y del Consejo, presentado en enero de
2012 y encabezado por la vicepresidenta de la Comisión Europea y responsable de
Justicia, Viviane Reding, se presentaron alrededor de 4.000 enmiendas, todo un
récord. Estados Unidos, por su parte, presionó para que una regulación tan
restrictiva como la prevista no saliera adelante, ante las sospechas de que la
nueva norma podría perjudicar sus intereses en esta materia. En lo que respecta
a España, endurecerá nuestra actual Ley de Protección de Datos.
De
momento, el borrador del Reglamento ha
pasado su primer corte, tras la aprobación, el pasado 21 de octubre, del
informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior
del Parlamento Europeo (Comisión LIBE). Este documento es el punto de partida
para iniciar la fase de “trílogos”. Estos “trílogos son negociaciones a tres bandas entre el Consejo,
la Comisión Europea y el Parlamento Europeo. La votación en el Pleno del
Parlamento Europeo está prevista para marzo de 2014, antes de que finalice la
legislatura europea.
viernes, 15 de noviembre de 2013
Un error de Google deja en entredicho la privacidad de los internautas
El pasado mes de septiembre, los usuarios de los servicios de mensajes de Google hicieron saltar las alarmas del gigante de internet, al detectar que algunos mensajes enviados a través de los servicios de Hangouts y Gtalk (el chat que se activa para los usuarios del correo de Gmail) llegaron a destinatarios no deseados. Lo que en numerosas ocasiones ocurre por errores humanos (enviar sin querer un mensaje o correo a otro destinatario por error) fue en este caso culpa de Google, que por unos momentos dejó en entredicho la privacidad de los internautas.
Aunque dicho error duró poco tiempo, dejó alguna pregunta en el aire, como qué responsabilidades podría asumir la compañía norteamericana por este mal funcionamiento de dos de sus servicios. Porque aquella mañana del pasado 26 de septiembre las redes sociales hirvieron. En pocos minutos estaban repletas de mensajes alertando de esta incidencia y algunos usuarios contaban casos concretos de situaciones embarazosas a las que se habían visto abocados por este fallo.
Aunque dicho error duró poco tiempo, dejó alguna pregunta en el aire, como qué responsabilidades podría asumir la compañía norteamericana por este mal funcionamiento de dos de sus servicios. Porque aquella mañana del pasado 26 de septiembre las redes sociales hirvieron. En pocos minutos estaban repletas de mensajes alertando de esta incidencia y algunos usuarios contaban casos concretos de situaciones embarazosas a las que se habían visto abocados por este fallo.
martes, 29 de octubre de 2013
¿Es seguro trabajar con información sensible en la nube?
Hoy en día es muy habitual que particulares y empresas usen de forma cotidiana las diferentes “nubes” que existen tanto para asuntos profesionales como para temas que tienen más que ver con el ocio. Nos vamos a centrar en el primer uso, el que tiene que ver con el trabajo, y vamos a intentar explicar los riesgos que tiene la nube para las empresas que se deciden por este tipo de plataformas para almacenar y compartir archivos online.
En primer lugar, es desaconsejable utilizar la nube para alojar información especialmente sensible, entre la que se encuentran los documentos únicos, planes de negocio, datos del área de recursos humanos o documentos con restricciones legales relacionadas con la propiedad intelectual.
Asimismo, no está de más hacer una labor de investigación para saber exactamente dónde se van a almacenar los datos, quién puede tener acceso a los mismos y si se pueden trasladar. Con el fin de reforzar la seguridad de los datos, es preciso estudiar bien las condiciones de cada empresa de alojamiento en cuestión para estar seguro de que garantiza la integridad de los datos y actúa de acuerdo a la legislación nacional sobre protección de datos.
Asimismo, no está de más hacer una labor de investigación para saber exactamente dónde se van a almacenar los datos, quién puede tener acceso a los mismos y si se pueden trasladar. Con el fin de reforzar la seguridad de los datos, es preciso estudiar bien las condiciones de cada empresa de alojamiento en cuestión para estar seguro de que garantiza la integridad de los datos y actúa de acuerdo a la legislación nacional sobre protección de datos.
viernes, 18 de octubre de 2013
Los bancos se amparan en la LOPD para no facilitar información sobre cuentas
¿Se
puede negar un banco a facilitar datos bancarios a un juzgado alegando que, de hacerlo,
vulneraría la Ley de Protección de Datos de Carácter Personal (LOPD)? Pues eso
fue lo que alegó Novagalicia Banco (NGC) en un juicio celebrado el pasado mes
de septiembre en un juzgado de A Coruña. La Asociación Galega de Afectados Productos
Financieros (Agaprofi) solicitó a esta entidad bancaria que facilitara un
listado de antiguos titulares de preferentes de Caixa Galicia y Caixanova que
tuvieran la cualidad de minoristas.
Sin
embargo, NGC se opuso a entregar dicha información alegando que ello vulneraríala Ley de Protección de Datos de Carácter Personal y que la asociación no
contaba con una "legitimación activa". Este caso vuelve a poner de
manifiesto las reticencias que tienen los bancos a acceder a las peticiones de
información de cuentas de determinados clientes efectuadas por juzgados y
tribunales. Todo ello deviene del denominado secreto bancario, un acuerdo
tácito que firman entidad y cliente en virtud del cual el segundo puede exigir
sigilo al primero, que a su vez se compromete a guardarlo salvo en un número
determinado de casos.
Una de
estas excepciones es la petición de información de un juez a una entidad
bancaria para la investigación de un delito presuntamente cometido por el
titular de una cuenta. Y es que los movimientos bancarios de un titular de una
o varias cuentas puede proporcionar información clave para una investigación.
Datos bancarios pasan a dominio público en caso de proceso judicial
Sin
embargo, no hay que olvidar que los datos bancarios y todos los relativos a
ingresos, rentas, retenciones, bienes patrimoniales o créditos, entre otros, son considerados por la LOPD datos de
carácter personal, por lo que todas las entidades bancarias deben ajustar su
tratamiento a los requerimientos de esta norma.
En la
memoria de todos está el caso del ex tesorero del PP Luis Bárcenas, cuyos datos
de cuentas en Suiza fueron solicitados por la Audiencia Nacional mediante una
comisión rogatoria (auxilio judicial) al país helvético. Esta información, al
entrar a formar parte de un proceso judicial de enorme relevancia, pasó a ser
de dominio público. Y fue en ese momento, con la publicación del sumario en los
medios, cuando se pudo producir la colisión con la Ley de Protección de Datos
de Carácter Personal e incluso una injerencia en el derecho a la intimidad del
investigado. Aunque al tratarse de filtraciones, es muy difícil saber el origen
de la difusión de esta información y, por tanto, la responsabilidad queda
diluida.
Según
señalaba el Tribunal Constitucional en una sentencia, los datos bancarios de un
titular son su “biografía personal en números”. De ahí que la información
bancaria sea algo íntimo entre banco y cliente y su petición se condicione al
sometimiento de un procedimiento específico. En varias sentencias, el
Constitucional ha extendido el derecho a la intimidad a la información
económica, pero ello no significa que los tribunales se queden de brazos
cruzados ante la negativa de los bancos a entregar determinada información.
Un
ejemplo de este tipo lo protagonizó el juez del caso Palma Arena, José Castro,
que llegó a amenazar al presidente de La Caixa, Isidro Fainé, con imputarle por
delito de desobediencia grave a la autoridad si no facilitaba al juzgado los
datos bancarios de Iñaki Urdangarin y otros implicados en el caso Nóos.
Por
otra parte, la difusión de datos bancarios de particulares por parte de
empresas es motivo más que suficiente para que la Agencia de Protección deDatos (AEPD) sancione al infractor con multas de hasta 60.000 euros. Eso fue lo
que le sucedió a una cadena de gimnasios de Vigo y Ourense, que difundió datos
personales de sus clientes en internet, entre los que se incluían números de
cuentas bancarias.
Inicialmente,
la Agencia impuso dos multas de 60.101,21 euros a la empresa, pero más tarde
comprobó que no constaba intencionalidad ni reincidencia en la conducta.
Asimismo, tras comprobar la rapidez para corregir la infracción cometida (72
horas) y las medidas adoptadas para evitar que se volviera a producir, rebajó
la multa a 6.000 euros.
viernes, 11 de octubre de 2013
Precauciones a la hora de alojar datos personales en “nubes”
Servicios
de alojamiento de archivos como Dropbox o Google Drive han proliferado en los
últimos tiempos, así como los usuarios que utilizan este tipo de plataformas. A
menudo se utilizan las denominadas “nubes” para almacenar todo tipo dedocumentos con el fin de que estén siempre a mano, ya que basta con disponer de
una conexión a Internet para acceder a ellos. Sin embargo, hay que tener
cuidado con el tipo de documentos que alojamos en estos servicios, ya que no
garantizan la seguridad de los mismos. Y si la información alojada incluye
datos personales, el usuario, ya sea un particular o una empresa, se puede
meter en un buen lío si no actúa conforme a la ley.
Hace un
año, Dropbox hizo públicos unos nuevos términos y condiciones de uso para
empresas u organizaciones que utilicen como tales este servicio. En dicho
texto, esta compañía señala que no se hace responsable en caso de eliminación o
error en el almacenamiento de información proporcionada por un usuario final o
el cliente. Otro de los puntos indica que, en caso de controversia, serán de
aplicación las leyes de California, mientras que la jurisdicción competente
será la de San Francisco.
El
problema que se puede dar es que si una PYME española, por ejemplo, utiliza
Dropbox para almacenar datos personales, debe atenerse a la Ley de Protección de Datos (LOPD) de nuestro país,
por mucho que el servicio de alojamiento esté radicado en Estados Unidos y sean
de aplicación leyes extranjeras en caso de controversia.
Según
la normativa europea, si una empresa utiliza estos espacios virtuales para el
almacenamiento de datos de clientes, proveedores, etc, las encargadas del
tratamiento de estos datos deben ser las empresas que ofrezcan estos servicios
de nube. Según el artículo 12 de la LOPD, que está refrendado por la Directiva Europea
sobre esta materia (art. 17), “la realización de tratamientos por cuenta de
terceros deberá estar regulada en un contrato” en el que se establezca
“expresamente que el encargado del
tratamiento únicamente tratará los datos conforme a las instrucciones del
responsable del tratamiento, que no los aplicará o utilizará con fin distinto
al que figure en dicho contrato, ni los comunicará, ni siquiera para su
conservación, a otras personas”.
Los documentos deberán ser destruidos cuando finalice el contrato
Una vez
finalice la prestación contractual, continúa el precepto, los datos de carácter
personal “deberán ser destruidos o
devueltos al responsable del tratamiento, al igual que cualquier soporte o
documentos en que conste algún dato de carácter personal objeto del tratamiento”.
Sin embargo, estas empresas no suelen contemplar estas previsiones de la
legislación española y europea en la materia, ya que, como hemos visto más
arriba, no se hacen responsables de ninguna pérdida de información o fallos al
almacenar informaciones de una cuenta de servicios de un cliente o usuario
final.
Dropbox
está adherida al acuerdo Safe Harbor (puerto seguro) entre EEUU y la UE, pero
ello no significa que garantice un nivel de protección equivalente al que exige
la normativa europea respecto a los datos personales de terceros almacenados en
esta nube. Y las reclamaciones que una empresa pueda realizar a este servicio
de hosting se antojan muy complicadas, debido a la maraña legislativa en la que
está inmersa: sujeta a las leyes de California, pero adherida al acuerdo
EEUU-UE por la seguridad de los datos personales.
Por
otro lado, no es precisa la autorización del Director de la Agencia Española de
Protección de Datos (AEPD) para almacenar datos personales en Dropbox –que está
considerado una transferencia internacional de datos-, ya que esta compañía
está sujeta a Safe Harbor y ésta es una de las excepciones que marca la propia
Agencia en la obligatoriedad de pedir autorización para transferir datos a
países con un nivel de seguridad menor que el nuestro.
Suscribirse a:
Entradas (Atom)