martes, 15 de noviembre de 2011

Reflexiones sobre transferencias internacionales de datos.

No voy a entrar en lo que son y cómo se regulan, puesto que eso queda claramente definido en los artículos 33 y 34 de la LOPD y en los Títulos VI y IX (capítulo V) del RD 1720/2007. Vaya manera de comenzar un post, mi intención es aportar mi punto de vista sobre una noticia / opinión que he leído en un blog esta mañana sobre Tranferencias Internacionales.

Como resumen, para poder tener un pié de entrada más claro, una transferencia internacional de datos es, como su propio nombre indica, un movimiento de datos personales a un país fuera del perímetro de la unión europea (a grandes rasgos). Esos movimientos podrán llevarse a cabo con una mera comunicación ante Registro si el país destino de los datos tiene un nivel de seguridad similar al que se exige en el espacio europeo. Pero si el país no está incluido en ese listado de países que proporcionan un nivel de seguridad adecuado, se requerirá autorización del Director de la Agencia Española de Protección de Datos (Monsieur, como diría una Lopedista de Pro).

Pues bien, en estas me encuentro un artículo de opinión publicado en un blog sobre la materia en la que se indican las trasferencias que ha llevado a cabo una empresa de telecomunicaciones desde el año 2009, arrojando unas cifras más que curiosas (36 empresas en 6 países). Lo malo del artículo en mi opinión, es centrar la queja o denuncia en que esa empresa haga un movimiento de datos de un país a otro, y de una a otra empresa

Yo, desde el punto de vista empresarial, no lo veo tan mal, dado que para cada movimiento, han tenido que solicitar la pertinente autorización a la AGPD, lo que si me llama la atención es la falta de control y seguimiento que hace la Agencia en un caso como este.

Por mi experiencia, creo que he conseguido obtener unas 18 autorizaciones para Transferencias Internacionales de datos (TI), esta figura es uno de tantos requisitos formales que no tienen impactos una vez conseguida la autorización. Cumplimentando la solicitud y los modelos, junto con las medidas de seguridad que dices vas a tener, la Agencia te da la autorización sin más, sin chequear nada de lo que aportas en el papel (si señores, el papel lo aguanta todo). En este caso, el de la empresa de telecomunicaciones, si yo fuera la Agencia le hubiera requerido que me informara del estado de las Transferencias, sobre si está en vigor o no, y si no lo está, qué han hecho con los datos de una forma fehaciente.

A día de hoy, y que yo sepa, no se hace nada de eso. Da lo mismo que pida 500 o 1000 solicitudes para mover los datos, que mientras en la solicitud y los papeles quede bonito, no van a pedir más. Esto no quita para que, si se diera una brecha de seguridad en alguno de esos países y circulan por Internet datos de tus clientes, la Agencia te abriera el preceptivo procedimiento sancionador por vía de inspección, en este caso dará lo mismo que hayas cumplido el contrato, las medidas de seguridad y tengas todas esas certificaciones de seguridad que tan de moda están, a la Agencia le dará lo mismo. Pero hasta que no surja un problema no va a mirar lo que estás haciendo.

Dentro de este mundo global, en el que se mueven datos para conseguir trabajos más baratos, creo que la Agencia debería de ser un poco más puntillosa a la hora de otorgar las autorizaciones y llevar a cabo un seguimiento de las mismas, para saber las que están en vigor, las que no, y qué se está haciendo allí donde se trate el dato, ya sea Sudamérica o la India.

De igual forma, creo que las empresas que tienen este tipo de movimientos, deberán de incluir en sus planes de control y seguimiento, como riesgo alto, el cumplimiento de esas medidas de seguridad indicadas en la TI.

miércoles, 28 de septiembre de 2011

Sobre listas robinson.

Poco más puedo decir sobre qué son y para qué se usan estas listas de exclusión comercial o listas robinsons. Siguiendo el post de @gongaru (http://gontzalgallo.wordpress.com/) y retomando su pregunta, desde mi humilde punto de vista, entiendo que:

Si los envíos publicitarios son sobre productos propios y del mismo ramo de actividad (ejemplo, que un banco te mande publicidad de productos bancarios) entiendo que se tendría el consentimiento expreso del cliente para poder realizar dichos envíos, por lo que este sería correcto. De manera simultaneas en interno, se deberá tener un control de mis clientes “Robinsons” que serían aquellos que me hayan indicado de manera expresa en la contratación que no quieren que se les remita ningún tipo de información comercial. Por lo que antes de realizar ese envío, debería chequear mis bases para no remitirles documentación a esos clientes.

Sirva como nota aclaratoria lo marcado en el artículo 21.2 de la LSSI para comunicaciones comerciales por medios electrónicos, en la que se indica que para aquellos casos en los que se tenga una relación contractual previa, siempre que se tengan datos de contacto del destinatario (consentimiento) los podrá emplear para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente sin necesidad de solicitud previa y expresa del solicitante. Eso si, manteniendo un método gratuito y sencillo para su exclusión.

Supongo que la creación de este tipo de listas, está más encaminada a supuestos de empresas que se dedican a recopilar datos de fuentes accesibles al público para crear listas de envíos. o para aquellos supuestos de envíos comerciales de empresas con las que no tienes relación comercial.

Por tanto, retomando el supuesto que @gongaru nos marcaba: - Voy a hacer una acción comercial a varios clientes. He obtenido el consentimiento para realizar estas acciones comerciales. ¿Debo consultar las Listas Robinson?


Mi respuesta, en este supuesto, es que no sería necesario, a la espera de sus comentarios.

martes, 13 de septiembre de 2011

Notoriedad

Llevo un tiempo más que prudente dándole vueltas a la importancia de la Redes sociales, especialmente el cambio socio cultural que han originado. Ha quedado demostrado el poder que estas redes tienen, y más que estas redes en sentido estricto, ciertos personajes que habitan en ellas.

Cuando ingresé en twitter me fascínó eso de poder "comunicarme" con un tercero sin que me conociera, normalmente con gente famosa, deportistas, etc, que son lo que han hecho que esta red de microblogging tenga un buen inicio, no me imagino twitter tal como es hoy, con el número de usuarios, si Ashton Kutcher no hubiera comunicado o colgado fotos de su novia, o si algún deportista no usara esa red para informar de su nuevo destino.

Esto ha creado una especie de gurús electrónicos que mueven masas con sus twetts, o sus ideas son capaces de movilizar a gente. Creo que el exceso de información es igual de malo que la desinformación puesto que es capaz de hacer que gente que no tenga claras sus ideas se muevan sin saber toda la verdad.

En este extremo, cabe indicar toda la falsa información que circula por la red a las que seguidores se hacen eco de la muerte de alguien que no es verdad, o cosas que le pasan a Justin Bieber.

Sirva como cierre una apreciación sobre a quien seguir y como interpretar lo que ese alguien cuelge o copie. Esto último requeriría de una reflexión a parte puesto que en esa red hay gente que se dedica a copiar contenidos de otras fuentes y/o twitteros y las manda como propias. Aquí, por el tamaño de la cita no hay derecho de autor, pero sí debería haber moral.

Espero no haber divagado mucho.

Saludos matutinos.

viernes, 3 de junio de 2011

Notas sobre LOPD y LSSI en el borrador de la LGT

El Proyecto de Ley de modificación de la Ley General Telecomunicaciones, en su Disposición final primera y segunda propone una serie de cambios en la LOPD y la LSSI, que son las que afectan en la protección de la privacidad y transposición de la normativa europea sobre Privacy y uso de cookies.
Se prevé un periodo de consulta sobre el contenido del texto hasta el 14/06/2011.
Las modificaciones indicadas son las siguientes:

.- Modificación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

1) Se añaden dos párrafos al apartado 2 del artículo 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (Tipo de sanciones, sanciones graves) con la siguiente redacción:

Artículo 45. Tipo de sanciones.

4. En el caso de que se trate de la infracción tipificada en el párrafo h) del apartado tercero del artículo 44 y una ley impusiese al responsable del fichero o el encargado del tratamiento la obligación de notificar al afectado o a la Agencia Española de Protección de Datos la existencia de un fallo en la seguridad, sin haberse dado cumplimiento a esta obligación, la cuantía mínima de la sanción será de 60.000 euros.

Si el incumplimiento al que se refiere el párrafo anterior fuera reiterado, la cuantía mínima de la sanción será de 100.000 euros.

2) Se añade un apartado 9 al artículo 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal con el siguiente contenido:

Artículo 45. Tipo de sanciones.

9. Lo dispuesto en los apartados 5 y 6 de este artículo será igualmente aplicable a las sanciones que la Agencia Española de Protección de Datos pudiera imponer de conformidad con lo dispuesto en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico y en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

A tenor de lo anterior se está creando un nuevo tipo de sanción que es la no comunicación a la AGPD y/o al afectado de fallos de seguridad. Igualmente lo que nos indica el apartado 9 es la aplicación de la modulación en la cuantificación de las sanciones si hay elementos de disminución de la culpa y el uso la figura del apercibimiento (ambas introducidas por la reciente Ley de Economía Sostenible) para sanciones con base en la LSSI.

.- Modificación de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

1) Se añade un nuevo apartado 4 al artículo 20 que queda redactado del siguiente modo: (envío de comunicaciones comerciales por medios electrónicos)

Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos.

4. Asimismo, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.»

En este punto, se prohíben comunicaciones comerciales anónimas o con elementos que distorsionen la identidad del remitente real de la misma y aquellas comunicaciones que sean recomendaciones o incitaciones de tercero para que se visiten páginas de internet (siempre que no se tenga consentimiento expreso para hacerlo).

2. El apartado 2 del artículo 21 queda redactado del siguiente modo:

Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

3. El artículo 22 queda redactado del siguiente modo:

Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

De acuerdo con lo establecido en el artículo 18, podrán desarrollarse, en lo referido a lo dispuesto en este apartado, códigos de conducta voluntarios, preferentemente enmarcados en iniciativas de ámbito comunitario o internacional. Dichos códigos de conducta tratarán, en particular, sobre medidas dirigidas a que los destinatarios reciban una información clara, completa y fácilmente accesible y procurarán que el modo en que se facilite la información y se ofrezca el derecho de negativa sea el más sencillo posible para el destinatario, pudiendo desarrollarse, entre otros, iconos informativos normalizados.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Lo dispuesto en este precepto podrá ser objeto de desarrollo reglamentario.

Sobre el Art. 21 indicar que se regula la posibilidad de los usuarios de darse de baja de comunicaciones comerciales por medio del envío de un correo electrónico a una dirección cuando la publicidad sea remitida por ese medio que se refrenda con lo que se indica en el primer punto del artículo 22.

Sobre el 22, la regulación de las famosas cookies se expone en el punto 2 del artículo, en el que se indica que para poder utilizarlas se deber tener consentimiento después de que se les haya informado de manera clara y completa del uso de las mismas y el fin (según la LOPD por lo que se deberá informar según se expone en el artículo 5 de esta Ley)

Sobre la manera de poder implementarse un proceso para ese uso y esa información la propia ley indica que “cuando sea técnicamente posible” podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

El mismo artículo indica la posibilidad de un posible desarrollo reglamentario de ese precepto.

Como podrás ver, el legislador Español propone una solución (la del navegador) que no aparece en la Directiva y creo que no cumple con el espíritu de esta, a ver en qué se queda.

martes, 31 de mayo de 2011

Obligación de informar según la LOPD.

Siendo usuario casi diario de redes sociales, y con ciertos conocimientos sobre protección de datos, me llama mucho la atención la falta de seguimiento que se hace (o hacía) en internet de los artículos de la Ley de Protección de Datos (lopedé como diría una amiga) que se pueden aplicarse en el uso normal de un perfil comercial de una red social .

El artículo 5 recoge el derecho que tiene el interesado a que se le informe de una serie de elementos ANTES de dar sus datos.

A modo de resumen (y sin ceñirme al literal del texto) antes de recoger datos se deberá informar:
  • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  • Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante

Pues de todo lo anterior, creo que no he visto nada en ningún perfil de red social que tenga un disclaimer o que te confirme la amistad con un correo con la información del art.5

En FB, por ejemplo,si existe una herramientas para permitir que las empresas tengan formularios para recoger datos de "amigos" para sorteos, etc. Pero lo que no veo en ningún perfil de empresa con más de, no sé, 2.000 "amigos"o "me gusta", es un disclaimer legal en el que se le informe de lo indicado en el artículo 5 de la LOPD. No sé qué opinarán, pero creo ante una denuncia ante la Agencia por un uso indebido de datos de un amigo en la red social, ésta les indicaría que no han cumplido con el art.5 y sobre todo con las finalidades de los usos de esos datos.

Creo que se puede escudar en el desconocimiento del medio o que la herramienta te lo permita o no, o el coste que pueda tener hacer bien las cosas...no sé. Creo que hasta que no haya un primer tirón de orejas por la de siempre, no se empezarán a ajustar y mucho ojo que la responsable de la aplicación ya está trabajando para limitar su responsabilidad.

Ya me dirán.

jueves, 12 de mayo de 2011

Sobre Redes sociales.

Mucho se está hablando en multitud de foros sobre esta nueva realidad. Cierto es que con la llegada de la web 2.0 la forma de comunicarnos y usar elementos web ha cambiado y con ello las implicaciones legales que este uso tiene.

Si bien estos usos ha introducido nuevos elementos, páginas, redes, los usuarios (y las empresas que lo usan) no han observado el cumplimiento de la normativa que, en otras áreas de su empresa si observan, en asuntos de internet.

Sirva como ejemplo Facebook, en esta red social, que cada día gana más adeptos. Cada día que pasa estamos más cerca de que la Agencia Española de Protección de Datos realice inspecciones por el uso de datos de "amigos" en Facebook.

Para las empresas, ya se ha creado un sistema de Fan Page en la misma aplicación pero son pocas las que tienen en su página un disclaimer ni más aún un apartado con la información previa que exige el artículo 5 de la LOPD. Hay que hacer ver a las empresas que con el mero hecho de ser amigo o seguidor de esa página no está implícito el consentimiento para hacer con esos datos lo que no hacen con los que recogen    
por medios convencionales.

Por tanto, y de manera preventiva, desde esta humilde bitácora, les recomiendo que si van a usar datos recogidos en redes sociales, cumplan escrupulosamente con la Lopedé como diría una amiga mía.