lunes, 27 de enero de 2014

La directiva sobre conservación de datos vulnera la privacidad

El Tribunal de Justicia de la UE considera que la directiva europea sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones representa una “injerencia” en el derecho fundamental de los ciudadanos al respeto de la vida privada.

Así lo estima el abogado general del Tribunal de Justicia de la UE, Pedro Cruz Villalón, en una conclusión prejudicial. En concreto, argumenta esta “injerencia” en el hecho de que la directiva europea en cuestión obliga a los proveedores de servicios de comunicaciones telefónicas o electrónicas a recabar y conservar datos de tráfico y localización de dichas comunicaciones.



viernes, 3 de enero de 2014

Si tienes una tienda online, atento a la nueva Ley de Consumidores

Montar una tienda online es de lo más sencillo, además de barato. Con una inversión mínima, crear un comercio virtual en internet es un negocio por el que muchos han apostado en estos tiempos de crisis. Sin embargo, todo aquel que desee vender productos a través de la red debe tener en cuenta varias normas de obligado cumplimiento, como la Ley de Protección de Datos (LOPD), la Ley Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) y la Ley de Ordenación de Comercio Minorista (LOCM). 



A todas ellas se suma la Ley de Consumidores, cuyo proyecto de ley con las pertinentes modificaciones para adaptarse a la regulación europea sobre la materia, fue presentado por el Gobierno el pasado mes de octubre. Unos cambios que llegan con el propósito de defender alconsumidor ante el auge del comercio electrónico, según indicó la ministra de Sanidad, Servicios Sociales e Igualdad, Ana Mato.

jueves, 28 de noviembre de 2013

Nuevo Reglamento Europeo de Protección de Datos en 2014

El trabajo para que la nueva norma entre en vigor en 2014 viene de año y medio atrás. Al proyecto del Parlamento Europeo y del Consejo, presentado en enero de 2012 y encabezado por la vicepresidenta de la Comisión Europea y responsable de Justicia, Viviane Reding, se presentaron alrededor de 4.000 enmiendas, todo un récord. Estados Unidos, por su parte, presionó para que una regulación tan restrictiva como la prevista no saliera adelante, ante las sospechas de que la nueva norma podría perjudicar sus intereses en esta materia. En lo que respecta a España, endurecerá nuestra actual Ley de Protección de Datos.


De momento, el borrador del Reglamento ha pasado su primer corte, tras la aprobación, el pasado 21 de octubre, del informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (Comisión LIBE). Este documento es el punto de partida para iniciar la fase de “trílogos”. Estos “trílogos son  negociaciones a tres bandas entre el Consejo, la Comisión Europea y el Parlamento Europeo. La votación en el Pleno del Parlamento Europeo está prevista para marzo de 2014, antes de que finalice la legislatura europea.

viernes, 15 de noviembre de 2013

Un error de Google deja en entredicho la privacidad de los internautas

El pasado mes de septiembre, los usuarios de los servicios de mensajes de Google hicieron saltar las alarmas del gigante de internet, al detectar que algunos mensajes enviados a través de los servicios de Hangouts y Gtalk (el chat que se activa para los usuarios del correo de Gmail) llegaron a destinatarios no deseados. Lo que en numerosas ocasiones ocurre por errores humanos (enviar sin querer un mensaje o correo a otro destinatario por error) fue en este caso culpa de Google, que por unos momentos dejó en entredicho la privacidad de los internautas.


 


Aunque dicho error duró poco tiempo, dejó alguna pregunta en el aire, como qué responsabilidades podría asumir la compañía norteamericana por este mal funcionamiento de dos de sus servicios. Porque aquella mañana del pasado 26 de septiembre las redes sociales hirvieron. En pocos minutos estaban repletas de mensajes alertando de esta incidencia y algunos usuarios contaban casos concretos de situaciones embarazosas a las que se habían visto abocados por este fallo.

martes, 29 de octubre de 2013

¿Es seguro trabajar con información sensible en la nube?

Hoy en día es muy habitual que particulares y empresas usen de forma cotidiana las diferentes “nubes” que existen tanto para asuntos profesionales como para temas que tienen más que ver con el ocio. Nos vamos a centrar en el primer uso, el que tiene que ver con el trabajo, y vamos a intentar explicar los riesgos que tiene la nube para las empresas que se deciden por este tipo de plataformas para almacenar y compartir archivos online. En primer lugar, es desaconsejable utilizar la nube para alojar información especialmente sensible, entre la que se encuentran los documentos únicos, planes de negocio, datos del área de recursos humanos o documentos con restricciones legales relacionadas con la propiedad intelectual.
Asimismo, no está de más hacer una labor de investigación para saber exactamente dónde se van a almacenar los datos, quién puede tener acceso a los mismos y si se pueden trasladar. Con el fin de reforzar la seguridad de los datos, es preciso estudiar bien las condiciones de cada empresa de alojamiento en cuestión para estar seguro de que garantiza la integridad de los datos y actúa de acuerdo a la legislación nacional sobre protección de datos.

viernes, 18 de octubre de 2013

Los bancos se amparan en la LOPD para no facilitar información sobre cuentas

¿Se puede negar un banco a facilitar datos bancarios a un juzgado alegando que, de hacerlo, vulneraría la Ley de Protección de Datos de Carácter Personal (LOPD)? Pues eso fue lo que alegó Novagalicia Banco (NGC) en un juicio celebrado el pasado mes de septiembre en un juzgado de A Coruña. La Asociación Galega de Afectados Productos Financieros (Agaprofi) solicitó a esta entidad bancaria que facilitara un listado de antiguos titulares de preferentes de Caixa Galicia y Caixanova que tuvieran la cualidad de minoristas.

Sin embargo, NGC se opuso a entregar dicha información alegando que ello vulneraríala Ley de Protección de Datos de Carácter Personal y que la asociación no contaba con una "legitimación activa". Este caso vuelve a poner de manifiesto las reticencias que tienen los bancos a acceder a las peticiones de información de cuentas de determinados clientes efectuadas por juzgados y tribunales. Todo ello deviene del denominado secreto bancario, un acuerdo tácito que firman entidad y cliente en virtud del cual el segundo puede exigir sigilo al primero, que a su vez se compromete a guardarlo salvo en un número determinado de casos.



Una de estas excepciones es la petición de información de un juez a una entidad bancaria para la investigación de un delito presuntamente cometido por el titular de una cuenta. Y es que los movimientos bancarios de un titular de una o varias cuentas puede proporcionar información clave para una investigación.

Datos bancarios pasan a dominio público en caso de proceso judicial

Sin embargo, no hay que olvidar que los datos bancarios y todos los relativos a ingresos, rentas, retenciones, bienes patrimoniales o créditos, entre otros, son considerados por la LOPD datos de carácter personal, por lo que todas las entidades bancarias deben ajustar su tratamiento a los requerimientos de esta norma.

En la memoria de todos está el caso del ex tesorero del PP Luis Bárcenas, cuyos datos de cuentas en Suiza fueron solicitados por la Audiencia Nacional mediante una comisión rogatoria (auxilio judicial) al país helvético. Esta información, al entrar a formar parte de un proceso judicial de enorme relevancia, pasó a ser de dominio público. Y fue en ese momento, con la publicación del sumario en los medios, cuando se pudo producir la colisión con la Ley de Protección de Datos de Carácter Personal e incluso una injerencia en el derecho a la intimidad del investigado. Aunque al tratarse de filtraciones, es muy difícil saber el origen de la difusión de esta información y, por tanto, la responsabilidad queda diluida.

Según señalaba el Tribunal Constitucional en una sentencia, los datos bancarios de un titular son su “biografía personal en números”. De ahí que la información bancaria sea algo íntimo entre banco y cliente y su petición se condicione al sometimiento de un procedimiento específico. En varias sentencias, el Constitucional ha extendido el derecho a la intimidad a la información económica, pero ello no significa que los tribunales se queden de brazos cruzados ante la negativa de los bancos a entregar determinada información.

Un ejemplo de este tipo lo protagonizó el juez del caso Palma Arena, José Castro, que llegó a amenazar al presidente de La Caixa, Isidro Fainé, con imputarle por delito de desobediencia grave a la autoridad si no facilitaba al juzgado los datos bancarios de Iñaki Urdangarin y otros implicados en el caso Nóos.

Por otra parte, la difusión de datos bancarios de particulares por parte de empresas es motivo más que suficiente para que la Agencia de Protección deDatos (AEPD) sancione al infractor con multas de hasta 60.000 euros. Eso fue lo que le sucedió a una cadena de gimnasios de Vigo y Ourense, que difundió datos personales de sus clientes en internet, entre los que se incluían números de cuentas bancarias.


Inicialmente, la Agencia impuso dos multas de 60.101,21 euros a la empresa, pero más tarde comprobó que no constaba intencionalidad ni reincidencia en la conducta. Asimismo, tras comprobar la rapidez para corregir la infracción cometida (72 horas) y las medidas adoptadas para evitar que se volviera a producir, rebajó la multa a 6.000 euros.

viernes, 11 de octubre de 2013

Precauciones a la hora de alojar datos personales en “nubes”

Servicios de alojamiento de archivos como Dropbox o Google Drive han proliferado en los últimos tiempos, así como los usuarios que utilizan este tipo de plataformas. A menudo se utilizan las denominadas “nubes” para almacenar todo tipo dedocumentos con el fin de que estén siempre a mano, ya que basta con disponer de una conexión a Internet para acceder a ellos. Sin embargo, hay que tener cuidado con el tipo de documentos que alojamos en estos servicios, ya que no garantizan la seguridad de los mismos. Y si la información alojada incluye datos personales, el usuario, ya sea un particular o una empresa, se puede meter en un buen lío si no actúa conforme a la ley.

Hace un año, Dropbox hizo públicos unos nuevos términos y condiciones de uso para empresas u organizaciones que utilicen como tales este servicio. En dicho texto, esta compañía señala que no se hace responsable en caso de eliminación o error en el almacenamiento de información proporcionada por un usuario final o el cliente. Otro de los puntos indica que, en caso de controversia, serán de aplicación las leyes de California, mientras que la jurisdicción competente será la de San Francisco.


El problema que se puede dar es que si una PYME española, por ejemplo, utiliza Dropbox para almacenar datos personales, debe atenerse a la Ley de Protección de Datos (LOPD) de nuestro país, por mucho que el servicio de alojamiento esté radicado en Estados Unidos y sean de aplicación leyes extranjeras en caso de controversia.

Según la normativa europea, si una empresa utiliza estos espacios virtuales para el almacenamiento de datos de clientes, proveedores, etc, las encargadas del tratamiento de estos datos deben ser las empresas que ofrezcan estos servicios de nube. Según el artículo 12 de la LOPD, que está refrendado por la Directiva Europea sobre esta materia (art. 17), la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato en el que se establezca “expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”.

Los documentos deberán ser destruidos cuando finalice el contrato


Una vez finalice la prestación contractual, continúa el precepto, los datos de carácter personal “deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”. Sin embargo, estas empresas no suelen contemplar estas previsiones de la legislación española y europea en la materia, ya que, como hemos visto más arriba, no se hacen responsables de ninguna pérdida de información o fallos al almacenar informaciones de una cuenta de servicios de un cliente o usuario final.

Dropbox está adherida al acuerdo Safe Harbor (puerto seguro) entre EEUU y la UE, pero ello no significa que garantice un nivel de protección equivalente al que exige la normativa europea respecto a los datos personales de terceros almacenados en esta nube. Y las reclamaciones que una empresa pueda realizar a este servicio de hosting se antojan muy complicadas, debido a la maraña legislativa en la que está inmersa: sujeta a las leyes de California, pero adherida al acuerdo EEUU-UE por la seguridad de los datos personales.

Por otro lado, no es precisa la autorización del Director de la Agencia Española de Protección de Datos (AEPD) para almacenar datos personales en Dropbox –que está considerado una transferencia internacional de datos-, ya que esta compañía está sujeta a Safe Harbor y ésta es una de las excepciones que marca la propia Agencia en la obligatoriedad de pedir autorización para transferir datos a países con un nivel de seguridad menor que el nuestro.

En cualquier caso, es recomendable haber realizado previamente una copia de seguridad de cualquier fichero con datos personales que se vaya a alojar en una nube. Asimismo, se debe poner en conocimiento de los usuarios que sus datos van a salir de la UE