Cada vez son más las empresas en nuestro país que están empezando a implantar el sistema de teletrabajo, consistente en dotar al empleado de la posibilidad de trabajar en su domicilio o en el lugar elegido libremente por éste, sin la necesidad de acudir de manera presencial al centro de trabajo en la empresa.

Los beneficios que este modo de trabajo puede llegar a proporcionar tanto al empleador como a la propia empresa son numerosos, dotando, por una parte, al trabajador de una mayor flexibilidad de horario, así como permitirle una mejor conciliación de la vida profesional y familiar, y, por otra parte, la empresa podrá ver reducidos sus costes en infraestructuras e instalaciones, así como un mayor acceso a la colaboración con profesionales altamente cualificados que no pudieran aceptar el trabajar diariamente en una oficina.

Si bien es cierto que el sistema de teletrabajo todavía no se encuentra instaurado de manera generalizada en nuestro país, desde el último trimestre del pasado año 2019, las cifras se han visto incrementadas respecto a las de años anteriores, llegando a alcanzar el número de personas ocupadas que realizan teletrabajo un total de 1’5 millones, lo que equivale a un 7’9% de la población total ocupada, según nos indica el informe de “The Adecco Group Institute”

El marco normativo regulador del teletrabajo en nuestro país lo encontramos en el artículo 13 del Estatuto de los Trabajadores, que recoge las siguientes cuestiones:

  • Define el concepto de teletrabajo, indicando que el acuerdo por el que se establezca el mismo deberá formalizarse por escrito.
  • Iguala los derechos de los trabajadores a distancia con los trabajadores que realicen su trabajado en el centro de trabajo de la empresa, salvo excepciones.
  • Determina la obligación del empleador a establecer los medios necesarios para que los trabajadores tengan asegurado el acceso a la formación profesional para el desarrollo efectivo del empleo, con el fin de favorecer su promoción profesional.
  • Indica los derechos de los trabajadores a distancia a una adecuada protección en materia de seguridad, en base a lo establecido en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, y su normativa de desarrollo.

También nos parece importante señalar lo establecido en la Ley 3/2012, de 6 de julio, de medidas urgentes para la reforma del mercado laboral en relación con el teletrabajo, que, si bien no procede a establecer ningún tipo de regulación, sí considera importante darle cabida, con el fin de promover nuevas formas de desarrollar la actividad laboral. Además, entiende que el teletrabajo esuna particular forma de organización del trabajo que encaja perfectamente en el modelo productivo y económico que se persigue, al favorecer la flexibilidad de las empresas en la organización del trabajo, incrementar las oportunidades de empleo y optimizar la relación entre tiempo de trabajo y vida personal y familiar.”

A raíz del estado de alarma ocasionado por la crisis sanitaria en la que nos encontramos actualmente, el Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 también entra a regular en su artículo 5 el trabajo a distancia o teletrabajo, indicando, en primer lugar, su carácter preferente. El mencionado artículo señala una serie de cuestiones que consideramos relevantes destacar:

Publicado en Blog

La sociedad en la que vivimos posee un marcado carácter tecnológico, y por consiguiente los avances en las nuevas tecnologías son habituales protagonistas en los paneles de actualidad.

Es en este contexto de transformación digital en el que aparecen los dispositivos IoT, siglas con las que se hace referencia al “Internet of Things”, un concepto que se refiere a la interconexión digital de objetos comunes a través de internet y cuya irrupción en la sociedad supone, por su naturaleza, un cambio de enfoque a la hora entender nuestro entorno. Durante este 2020, se esperan alrededor de 20.400 millones de dispositivos conectados, y se prevé que, en los próximos años, en la mayoría de los países, más de la mitad de la población activa tendrá una ocupación que de una forma u otra dependerá de la informática.

Todo ello constituye un arma de doble filo, pues si bien trae consigo mejoras en la eficiencia, así como un incremento en la participación de las personas, a su vez supone un reto: el de afrontar las nuevas amenazas, especialmente aquellas con incidencia sobre la privacidad de las personas.

Los dispositivos IoT funcionan como canal de entrada y salida de datos empleados para definir comportamientos y usuarios tipo, lo cual pone de manifiesto que la parte del IoT relativa a las tecnologías de identificación es la que parece elevar al máximo exponente los riesgos para la privacidad de los usuarios, pues permite que a través de la conexión entre dispositivos se cree una única identidad de usuario, un único perfil personalizado elaborado en base al comportamiento del usuario y las deducciones que de ese comportamiento los dispositivos inteligentes vinculados entre sí puedan extraer.

Son herramientas inteligentes que hacen posible que las empresas que tienen acceso a los datos recabados por los IoT vinculados a un perfil de usuario, puedan utilizarlos para fines distintos para los que inicialmente fueron recabados, encontrándose el interesado en una situación de vulnerabilidad y desconocimiento absoluta en relación al alcance del tratamiento. Es por esto que, de acuerdo con el RGPD, como normativa vigente y aplicable en la materia, la seguridad de la información y la privacidad de los usuarios debería ser una de las principales preocupaciones de cualquier proyecto IoT.

Por desgracia, el aumento en la seguridad en el marco de desarrollo de cualquier proyecto es directamente proporcional al incremento en costes y complejidad, por lo que si bien es cierto que, con la norma en la mano, el funcionamiento adecuado y regulado de los dispositivos IoT pasaría por un sistema con la capacidad de gestión suficiente para llevar a cabo un buen uso de la información, siendo capaz de recoger solamente aquella que resulte necesaria para la finalidad establecida, almacenarla de forma segura y hacer un análisis de la misma, no siempre es así.

El enfoque de la normativa se encuentra claramente direccionado hacia la idea de “la soberanía del usuario sobre sus datos”, esto es, la máxima de control del interesado (que en este caso es el usuario del dispositivo) sobre sus datos de carácter personal; sin embargo, y teniendo en cuenta todo lo anterior, ¿sabemos todo lo necesario sobre el uso que se hace de nuestros datos cuando utilizamos este tipo de dispositivos?

Publicado en Blog

La copia de seguridad, en la actualidad conocida como Backup, es un procedimiento esencial para la protección de los activos de información de carácter confidencial e interna para toda entidad y, por consiguiente, es uno de los principales objetivos de los delincuentes informáticos. Toda entidad necesita proteger los datos que son objeto de tratamiento, específicamente las categorías especiales de datos, a saber: ideología, religión, origen racial o étnico, afiliación sindical, filosofía y opiniones políticas, orientación sexual, datos biométricos o genéticos y datos relativos a la salud. Así, aquellas entidades que realicen un tratamiento de datos de carácter personal deben reforzar la seguridad de sus sistemas de protección, almacenamiento y recuperación de los datos, principal activo en el tráfico mercantil en la actualidad en que se fundamenta el desarrollo del negocio.

La copia de seguridad se incluye dentro de la Política de seguridad de la entidad, y es mucho más que una simple duplicación de la información alojada en los sistemas de información corporativos. Así, el primer paso para ejecutar una protección reforzada en los sistemas de copia de seguridad de la entidad consiste en diseñar una estrategia de copia de seguridad en función del tipo y cantidad de activos información objeto del tratamiento.

A continuación, cabe señalar que la política de copia de seguridad deberá fundamentarse en el cumplimiento de la normativa de protección de datos personales conforme a la legislación vigente, a saber: el RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE]; y la normativa de adaptación al marco normativo comunitario en el ordenamiento jurídico nacional a través de la LOPDGDD (Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Asimismo, a partir de la cantidad de los archivos almacenados y la heterogénea categorización de los datos de carácter personal, así como el coste del servicio de almacenamiento, corresponderá a la entidad la determinación del tipo de copia de seguridad de mayor conveniencia. A este respecto, la anterior legislación vigente en materia de protección de datos personales, tomando como referencia el art. 32 RGPD, nos obliga a garantizar la seguridad de los datos personales objeto de tratamiento; en este caso, consistente en realizar periódicamente una copia de seguridad así como el establecimiento de un procedimiento específico de protección, verificación y pronta recuperación de los datos almacenados.

A este respecto, tomamos como referencia un artículo anterior de este blog sobre la importancia de realizar copias de seguridad a nivel corporativo. En esta línea, de conformidad con la Guía para la realización de copias de seguridad del Instituto Nacional de Ciberseguridad (INCIBE), se recomienda realizar una copia de seguridad incremental con carácter diario y copias de seguridad totales como mínimo una vez a la semana; a continuación, se realizará una copia de seguridad mensual con la inclusión de todas las actualizaciones pertinentes. El contenido de estas copias totales de seguridad deberá almacenarse, por lo general, por el periodo de un año, salvo disposición en contrario de lo establecido por la legislación de aplicación en función del sector profesional en que radique objeto social.

Es importante aclarar que la determinación del tipo de copia de seguridad deberá realizarse atendiendo a los criterios de accesibilidad, confidencialidad y coste de almacenamiento. Concretamente, se recomienda realizar periódicamente una copia de seguridad completa que garantice el alojamiento externo de los datos que presentan un mayor riesgo de pérdida de activos para la corporación ante un incidente de seguridad. A este respecto, la elección de un servicio de almacenamiento externo es crucial para garantizar la seguridad y la confidencialidad de los datos, que son el principal activo en el tráfico mercantil actual.

Dicho lo anterior, el hecho de contar con una copia de seguridad no garantiza una total protección frente a nuevas amenazas, y es necesario implementar medidas concretas para la protección de la propia copia de seguridad. Asimismo, la protección de copias de seguridad es un requisito imprescindible que se incluye dentro de las funciones de supervisión, videovigilancia y control relativos al cumplimento normativo en materia de protección de datos, necesarios para estar en capacidad de demostrar tal cumplimiento, en los supuestos de que se produzca una brecha de seguridad a nivel corporativo o bien un supuesto ilícito en nombre o por cuenta de la entidad.

Entre los principales procedimientos para la protección de las copias de seguridad a nivel corporativo cabe destacar las siguientes:

Publicado en Blog

Todos, como titulares de nuestros datos de carácter personal gozamos de determinados derechos que nos otorga la normativa en materia de protección de datos personales, esto es, el Reglamento Europeo de Protección de Datos (RGPD), y la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de los Derechos Digitales. Hasta la llegada del RGPD teníamos claros los célebres y por todos conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), sus implicaciones y alcance en la práctica, cómo ejercitarlos y en qué sentido dar respuesta a los interesados. De hecho, lo más probable es que también como ciudadanos, en alguna ocasión, hayamos solicitado a algún responsable del tratamiento (como por ejemplo alguna compañía telefónica, empresas que nos envían publicidad entre otras muchas), que “dejase de utilizar y borrase todos nuestros datos”, amenazando incluso con interponer una denuncia ante la AEPD en caso de no atender a tal solicitud.

No obstante, desde la llegada del nuevo marco normativo europeo en esta materia, nos encontramos con nuevos derechos, que, aunque el RGPD explica y regula en sus artículos 15 a 23, como bien hemos analizado en este Blog (ver aquí, aquí, aquí, o aquí), todavía generan ciertas dudas, principalmente en lo que respecta a la interpretación de la norma y su aplicación práctica.

Entre los nuevos derechos introducidos por el RGPD se encuentran la limitación, oposición a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles, y la portabilidad.

Precisamente hemos podido comprobar a nivel práctico cómo se materializa uno de estos derechos, ya que hace unas semanas, la AEPD emitía una resolución acerca del derecho a la portabilidad, que ella misma considera como un precedente que amplía el derecho de portabilidad.

¿Sobre qué versa esta resolución exactamente?

Todo se inició con la presentación por parte de la reclamante, de un ejercicio del derecho de portabilidad de los datos, ante la conocida compañía Telefónica de España, S.A.U. (en adelante Telefónica). Ante tal solicitud, Telefónica proporcionó a la reclamante los datos que esta había facilitado de “forma activa” a la compañía: Nombre y apellidos, DNI, teléfono, dirección, correo electrónico y datos bancarios.

Sin embargo, de la revisión de la política de privacidad de la página web de Telefónica, la reclamante tuvo constancia de que se trataban e incluían otras categorías de datos personales que, en la respuesta a su ejercicio de derecho de portabilidad, no se incorporaban:

  • Datos de Productos o Servicios Movistar.
  • Datos de consumos en Movistar+.
  • Datos de tráfico.
  • Datos de visitas web.
  • Datos de localización.

Así, tras no haber considerado satisfecha su solicitud al no recibir la totalidad de la información personal que Telefónica almacena, la reclamante interpone ante la AEPD una reclamación.

En primera instancia, la AEPD no admite a trámite la reclamación mencionada, sino que es ante el recurso potestativo de reposición que la reclamante interpone, cuando la AEPD emite la resolución R/00552/2019, objeto de análisis en este artículo.

¿En qué sentido resuelve la AEPD?

Publicado en Blog

Hoy en este post nos hacemos eco de la fuerte campaña de difusión que en estas últimas semanas ha puesto en marcha la Agencia Española de Protección de Datos (AEPD) de su nueva herramienta canal prioritario, para aquellos casos de violencia digital en Internet.

La proliferación de dispositivos móviles y el acceso generalizado a Internet, están propiciando la difusión, en muchas ocasiones de manera ilegítima e incontrolada, de nuestros datos personales a través de perfiles en redes sociales y otros sitios web.

En este contexto, toda persona, hombre o mujer, de cualquier edad, puede llegar a verse afectada por este tipo de situaciones.

Para evitar la difusión masiva de esta clase de contenidos, la AEPD pone a disposición de los ciudadanos un canal específico para la atención prioritaria de estos casos.

¿Pero en qué supuestos se puede acudir a este canal?

Este canal se ha habilitado para la atención de situaciones excepcionalmente delicadas, cuando los contenidos de las fotografías o vídeos tengan carácter sexual o muestren actos de agresión y se estén poniendo en alto riesgo los derechos y libertades de los afectados, especialmente si se trata de menores de edad o de víctimas de violencia por razón de género.

En este sentido, debemos tener en cuenta que, con carácter general, la actividad de los ciudadanos en las redes sociales está excluida de la aplicación de la normativa de protección de datos, siempre que se trate de actividades exclusivamente personales o domésticas.

Por ello, podrás acudir a este canal sólo en casos excepcionales en los que, por tratarse de datos especialmente sensibles, la privacidad de la persona afectada se esté poniendo en grave peligro.

¿Entonces, podremos acudir a este canal cuando la difusión se lleve a cabo a través de Whatsapp o Telegram, o por medio de correo electrónico?

Publicado en Blog

En nuestros tiempos una parte esencial del mundo de las comunicaciones son las Redes Sociales (RRSS), en las que todo se comparte. Tanto es así, que hay muchos usuarios que no son conscientes de los riesgos a los que quedan expuestos una vez que publican su información en las plataformas sociales, tales como Facebook, Instagram, etc. Uno de los riesgos de esta sobreexposición actual es el hecho de que tanto ciberdelincuentes como las propias multinacionales que se encargan de la gestión de las plataformas intenten aprovechar esos datos de carácter personal y explotarlos en beneficio propio.

Precisamente algo similar ocurrió en el año 2015 cuando un grupo de ciudadanos de la ciudad de Illinois comenzaron a cuestionar las prácticas utilizadas por Facebook. En concreto, en este caso, la red social estaba utilizando una nueva técnica de reconocimiento facial, a través de la cual se identificaba de forma automática a las personas que aparecen en las fotografías como "sugerencias para etiquetar".

¿Cómo funciona esta técnica?

En primer lugar, cuando un usuario de Facebook subía una fotografía gracias al reconocimiento facial se le indicaban las sugerencias de las personas con las que aparecía para poder etiquetarlas directamente, siempre y cuando estas fuesen amigos suyos en la red o amigos de sus amigos.

Una vez que la persona que sube la fotografía decide etiquetar a los usuarios sugeridos éstos recibían una notificación en su perfil de esa etiqueta y de la publicación en su biografía.

Hasta aquí, seguramente esta información resulte muy común dado que es una funcionalidad que todos los usuarios de Facebook conocen y puede resultar hasta “cómoda” y práctica a la hora de etiquetar a las personas con las que compartes tus momentos y fotografías.

Es en este punto donde nos preguntamos: ¿Dónde queda la privacidad de esas personas? ¿Qué normativa se encarga de regularlo?

Para una correcta respuesta, lo primero es determinar qué tipo de datos de carácter personal está tratando Facebook en el supuesto de estudio de este artículo, y tal y como hemos indicado con anterioridad al tratarse de una técnica basada en el reconocimiento facial, estamos por tanto ante un tratamiento de datos biométricos.

Establecido lo anterior, analizaremos brevemente la normativa que nos protege a nosotros junto con la aplicada en el caso concreto de estudio:

  • Normativa a nivel europeo:

El Reglamento General de Protección de Datos europeo (RGPD), define los datos biométricos de la siguiente forma (artículo 4.14):

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos

A mayor abundamiento, el RGPD, concretamente en su artículo 9, eleva estos datos personales a la característica de “especialmente protegidos”, por lo que se si se quiere realizar el tratamiento de éstos, el responsable ha de cumplir con una de las bases jurídicas indicadas a lo largo del punto 2, que realmente se identifican como excepciones a la prohibición del tratamiento de este tipo de datos.

En el caso que nos atañe y en base a la normativa europea solamente se podría  haber aplicado la excepción del artículo 9.2.a), esto es, contar con el consentimiento explícito del interesado.

  • Normativa de Illinois:

En concreto, en el Estado de la controversia, cuentan con la Ley de Protección de Datos Biométricos (BIPA), que fue aprobada en 2008, precisamente para luchar contra la recogida y almacenamiento ilegal de información biométrica.

La ley referenciada requiere un consentimiento explícito para que las empresas recopilen marcadores biométricos de sus clientes, incluidas las huellas dactilares y los modelos de reconocimiento facial.

En base a la indicada normativa, los usuarios de Facebook y ciudadanos del Estado de Illinois presentaron una demanda colectiva alegando que la plataforma violó la BIPA cuando estaba escaneando imágenes de sus caras, sin su consentimiento, con el fin de utilizarlas para su herramienta de sugerencias para etiquetar.

Finalmente, después de una disputa judicial de casi cinco años, hace unas semanas la compañía que dirige Mark Zuckerberg informó de que se había llegado a un pacto con los demandantes. En dicho acuerdo extrajudicial se les ofrece pagarles 550 millones de dólares por haber usado sus datos biométricos sin permiso para sistemas de reconocimiento facial.

Pero ¿qué está haciendo Facebook actualmente con el reconocimiento facial?

Publicado en Blog

En los tiempos que corren es difícil no ser conocedor de la existencia de las aplicaciones de citas, las cuales, sin lugar a duda, están revolucionando el entorno digital, así como la manera de relacionarnos entre los seres humanos.

A tenor de la reciente noticia, relativa a la publicación de miles de fotografías de los usuarios de la aplicación Tinder en diversos foros de internet, en el presente artículo, en el que tomaremos como base el Informe “OUT OF CONTROL: How consumers are exploited by the online advertising industry” (FUERA DE CONTROL: Cómo los consumidores son explotados por la industria de la publicidad online”, disponible en inglés) elaborado por el Consejo de Consumidores de Noruega, así como las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD, adoptadas el 3 de octubre de 2017 por el Grupo de Trabajo del Artículo 29 (“GT29”, y actual Comité Europeo de Protección de Datos), analizaremos cómo Tinder,  una de las aplicaciones más populares de citas y encuentros, que cuenta con más de 100 millones de descargas, estaría vulnerando algunas de las exigencias y principios en materia de protección de datos que recoge el Reglamento Europeo de Protección de Datos (en adelante, RGPD). Además, trataremos de explicar cómo debe proceder la industria de las “apps”, para cumplir con la normativa vigente en esta materia.  

Procedemos a dividir el presente análisis de la aplicación Tinder en los siguientes apartados:

  1. Elaboración de perfiles que realiza la aplicación a sus usuarios.
  2. Legitimación del tratamiento de los datos de sus usuarios.
  3. Principios de la normativa en materia de protección de datos.

ELABORACIÓN DE PERFILES

La aplicación de citas y encuentros Tinder realiza perfilado de sus usuarios mediante diferentes medios de tecnología publicitaria, con el fin de mostrarles publicidad dirigida y personalizada, procediendo a una previa categorización de los mismos.

El artículo 4.4 RGPD define el concepto de elaboración de perfiles como “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.”

 Asimismo, el Reglamento faculta a toda persona física a oponerse a este tratamiento automatizado de sus datos, indicando en su artículo 22.1 que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”

Con carácter general, el interesado tiene derecho a no ser objetivo de decisiones basadas en tratamientos automatizados, donde encontramos la elaboración de perfiles, siempre y cuando no concurran las excepciones recogidas en el artículo 22.2 RGPD:

  • Ejecución de un contrato.
  • Autorizado por el Derechos de la Unión o de los Estados Miembros de la UE.
  • Consentimiento explícito del interesado.

Del contenido de la Política de Privacidad de Tinder, que en los siguientes puntos también analizaremos, no podemos considerar que se indique de manera clara, cuál de las excepciones previstas en el artículo 22.2 RGPD, aplica Tinder para realizar perfilado de sus usuarios.

LEGITIMACIÓN DEL TRATAMIENTO

La política de privacidad de la aplicación establece que las bases legitimadoras del tratamiento de los datos que la aplicación recaba de sus usuarios son los siguientes:

  1. Consentimiento: con el fin de utilizar la información de los usuarios para razones específicas (no se detallan más cuestiones al respecto). También se da la opción al usuario de retirar el consentimiento en el momento que así desee.
  2. Interés legítimo: a la hora de analizar el comportamiento de sus usuarios sobre sus servicios para sugerirles y mejorarles ofertas que les puedan ser de su interés.

En relación con el consentimiento podemos observar que la aplicación Tinder no estaría cumpliendo con las exigencias dispuestas en la normativa a tal efecto, las cuales, tal y como señala el artículo 4 apartado 11 RGPD, deberá ser en todo caso una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa”, el tratamiento de sus datos. Igualmente, en el considerando 32 se establece la obligación de dar el consentimiento para cada uno de los fines del tratamiento, cuestión que podemos comprobar que no se realiza, al ser cada una de las filiales responsables en el tratamiento de los datos que recaban, y no otorgarse consentimiento para dichas cesiones de datos. 

En la propia política de privacidad de Tinder, se indica que la aplicación compartirá “cierta información de los usuarios con proveedores de servicios y socios que nos asisten en la operación de nuestros servicios, como otras compañías de Match Group y, en algunos casos, con las autoridades legales.” Podemos inferir, por tanto, que la empresa podrá ceder sus datos a más de las 45 empresas pertenecientes a Match Group, compañía que pertenece y opera con datos de sitios web, entre los que se encuentra la citada aplicación.

Publicado en Blog

El 31 de enero del 2020 ha pasado a ser un día histórico para la Unión Europea y el Reino Unido. Desde las 23h, Reino Unido ha dejado de formar parte oficialmente de la Unión Europea. Sin embargo, esta fecha tiene más valor simbólico que efectivo, en tanto que Reino Unido sigue unida a la legislación europea hasta, al menos, el 1 de enero del 2021.

Durante este periodo transitorio, las dos partes tienen la oportunidad de negociar un nuevo tratado internacional que deberá marcar la nueva relación entre la UE y el Reino Unido a partir del final de este periodo transitorio. Cabe decir que existe la posibilidad de que este periodo transitorio se extienda hasta dos años, siempre y cuando se solicite antes de julio, lo que podría suponer alargar el periodo transitorio hasta 2023.

Durante el periodo transitorio, por tanto, el Reino Unido se convierte en un tercer estado al que se le aplica el derecho europeo.

¿Cómo afecta esta nueva situación al Reglamento General de Protección de Datos?

Publicado en Blog

Vivimos en la era de las redes sociales. Es un hecho constatado que, cada vez más, la evolución de las nuevas tecnologías, y más concretamente, de las redes sociales, amenazan los derechos personales que, las diferentes normas que conforman el ordenamiento jurídico español nos reconocen. Conscientes de la importancia que esta injerencia supone para nuestra esfera privada e íntima, así como por las constantes noticias que inundan nuestro panorama actual, desde nuestro Blog, ya nos hemos pronunciado en ocasiones anteriores (aquí y aquí) acerca de una problemática, desgraciadamente, cada vez más extendida.

Y es que en una sociedad como la actual, pensamos que en el espacio social de Internet podemos hacer y decir lo que queramos sin que esto tenga repercusión alguna; al fin y al cabo, actuamos dentro de nuestro ámbito privado, o ¿no? Realmente, ¿somos conscientes del impacto y del daño que nuestros actos pueden producir en terceros? O ¿pensamos acerca de las consecuencias de la viralidad de nuestras publicaciones? No olvidemos que nuestros actos pueden desembocar, en ocasiones, en la comisión de un ilícito penal.

Precisamente, una aparente vulneración del derecho al honor, derecho fundamental reconocido y desarrollado en el artículo 18 de la Constitución Española, (en adelante CE), fue lo que aconteció cuando, una empleada de la entidad Arenal Perfumerías S.L, emitió una serie de insultos a la que, por aquel entonces, era su encargada. ¿Cuál es la peculiaridad del presente ilícito? Que dichos insultos fueron publicados en la red social que la entidad tenía en abierto, lo que permitió su difusión entre todos los contactos que la misma tenía.

Estos hechos fueron denunciados, al amparo de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y la propia imagen (en adelante, LO 1/1982) por considerar que los insultos proferidos constituían una intromisión y vulneración al derecho al imagen y honor de la demandante. Recordemos, en este punto, que la LO 1/1982 otorga una protección civil al derecho al honor frente a las injerencias o intromisiones que se produzcan contra este derecho en la realidad offline y online.

Y así lo consideró el Juzgado número 6 de Primera Instancia de Burgos quién, tras analizar los hechos, emitió sentencia condenatoria contra la demandada por entender que, con sus actos, había incurrido en una intromisión ilegítima en el derecho fundamental a la propia imagen y al honor de la actora al considerar, los insultos, como una lesión a la dignidad y estima y a un menoscabo de la fama de la demandante.

Esta sentencia fue confirmada, en segunda instancia, por la sala segunda de la Audiencia Provincial de Burgos (en adelante AP), en su STC 327/2019, de 30 de septiembre de 2019 y cuya fundamentación resulta objeto de análisis en el presente artículo.

A la hora de analizar por qué estos órganos judiciales han considerado la existencia de una vulneración del derecho al honor, debemos tener en cuenta que:

Publicado en Blog

Cada día son más las normas sectoriales afectadas por la protección de datos de carácter personal, llegando a alcanzar desde el sector sanitario, protección de menores, publicidad, videovigilancia hasta la prevención del fraude, entre otros. En ocasiones han sido tratadas en nuestro Blog algunas de estas materias (como aquí, aquí o aquí), pero queremos centrar esta publicación en el análisis de la relación que guardan la normativa en materia de Prevención de Blanqueo de Capitales y las normas de Protección de Datos Personales.

Para ello, enfocaremos nuestra atención exclusivamente en la normativa que se encontraba vigente a fecha de 25 de mayo de 2018, resultando ya exigible el Reglamento Europeo de Protección de Datos (RGPD) y aquella que resulta aplicable a día de hoy:

Por lo tanto, analizamos a continuación los principios y derechos en materia de protección de datos que se encuentran regulados en esta normativa específica, así como los cambios que ha introducido la quinta Directiva en materia de prevención de blanqueo de capitales a este respecto.  

 Principios y Derechos  Ley 10/2010  Directiva 2018/843
 Principio de información El artículo 32.3 contempla la exención al deber de informar al interesado, haciendo referencia en este caso a la ya derogada Ley Orgánica 15/1999.

No realiza ningún pronunciamiento respecto a la exención a informar al interesado.

Habrá que atender a la transposición de la Directiva al ordenamiento jurídico español, para conocer si el legislador mantiene la exención prevista en la Ley 10/2010, haciendo en este caso remisión al RGPD, en lugar de la LOPD 15/1999. 

 Legitimación El artículo 32 determina que no es preciso el consentimiento del afectado para el tratamiento de los datos de carácter personal contenidos en los mencionados ficheros.  La modificación del artículo 43 introduce que el tratamiento de datos personales en virtud de la presente Directiva a fines de prevención del blanqueo de capitales y la financiación del terrorismo se considerará de interés público. Entendemos por tanto que este tratamiento estará legitimado conforme al artículo 6.1 e) RGPD.
 Plazo de conservación El artículo 25 indica que los sujetos obligados conservarán durante un período de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en la presente ley.  No introduce cambios al respecto, al mantener en el artículo 40 que la prórroga máxima del período de conservación de cinco años no excederá de un período de cinco años adicionales. Así, el plazo actual de diez años establecido en la normativa española, se mantiene dentro de los límites mínimo y máximo ahora fijados por la Directiva.
 Derechos de los interesados El artículo 32.3. contempla que no serán de aplicación a los ficheros y tratamientos a los que se refiere este precepto las normas contenidas en la citada Ley Orgánica referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.

No realiza modificaciones al respecto, por lo que podemos interpretar que el contenido del Considerando 46 de la cuarta Directiva a este respecto, continuará siendo aplicable, entendiendo la remisión realizada a la Directiva 95/46/CE al RGPD.

Sin perjuicio de todo lo anterior, consideramos merecedor de un estudio más específico, el ámbito de aplicación subjetivo de la Ley 10/2010 y los cambios introducidos por la Directiva 2018/843 a este respecto. ¿Por qué nos interesa esta cuestión en especial?

Publicado en Blog
Página 1 de 15

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal