Tu miedo. Mi beneficio.

/0 Comentarios/en /por

“Para comprender la seguridad no hay que enfrentarse a ella,

sino incorporarla a uno mismo.”

-Alan Watts – (1951)

 

En los últimos meses una vorágine de noticias alrededor de la vulnerabilidad a través de las nuevas tecnologías,  ha incrementado nuestro miedo en relación al valor de nuestra seguridad. Desde diferentes frentes, tanto desde un punto de vista personal, hasta el gubernamental, pasando por el corporativo, hemos visto un increscendo de amenazas de todo tipo hacia nosotros. Sin darnos cuenta, miedos que teníamos controlados y paliados han vuelto a resurgir. Pero ¿Cómo nos afectan? ¿Se pueden mitigar de alguna manera? ¿Quiénes obtienen rendimiento de ello?

En mi opinión, cuando hablamos del resurgir de nuevas amenazas, nos hemos de situar en aquellas  emergidas alrededor de las TIC. Éstas están comprendidas, directa e indirectamente, en tres ámbitos fundamentalmente, a mi entender, como son: el ámbito personal/civil, el ámbito empresarial, así como el ámbito gubernamental. En las últimas semanas hemos visto claros ejemplos  de todos ellos con consecuencias, en algunos casos, desgarradoras. Ejemplos como los atentados perpetrados por grupos extremistas en UK, nos dan una imagen cruel y real de cómo nos afectan a nuestra seguridad, tanto como individuos, como gobiernos. Desde cualquier ámbito, todos ellos tienen un común denominador, el mermar nuestra seguridad a través del miedo. Pero  ¿Cómo se hace?

Una de las funciones intrínsecas de los Estados, entre otras, es la responsabilidad de velar por la seguridad de sus habitantes. Pero ¿Qué ha ocurrido en los últimos años para que nos volvamos a sentir amenazados? ¿Por qué ahora más que nunca los gobiernos se sienten perdidos en dicha labor? Quizá, en mi humilde opinión,  una de las razones más importantes, radica en su manera de proceder, mientras que en siglos pasados las batallas se libraban dentro de un área terrenal, en la actualidad se producen en un campo virtual. Me explico.

Desde la financiación del terrorismo hasta su adoctrinamiento, hasta delitos de otra índole, como son el ciberespionaje o el “Hackeos”, en su amplia variedad, se producen a lo largo del día, 7/24, a través de la red, y  entre sus víctimas encontramos a  todos los niveles. Gracias a las nuevas tecnologías, lo que antes llegaba sólo a un grupo reducido de personas, ahora en cuestión de segundos, se extiende de manera global; en consecuencia, lo que antes los gobiernos, corporaciones y civiles, tenían fácilmente controlado, ahora  en segundos se desvanece, y con ello, nuestra seguridad se convierte en volátil.

Después de los últimos atentados ocurridos alrededor del mundo, se ha podido comprobar un auge en la preocupación de los Estados en relación a la protección de sus individuos. Así en los últimos días, mientras que Bélgica ha aprobado comprar un software para identificar a posibles terroristas; países como Australia, UK, US, Canadá o NZ, se han reunido en Ottawa para tratar, entre otros menesteres, la seguridad de sus ciudadanos. En dicha reunión, se planteó de nuevo la necesidad por parte de los Gobiernos, de regular Internet. Más concretamente, se estableció por parte del Primer Ministro australiano, Malcom Turnbull, la necesidad de establecer mediante legislación, la cooperación  necesaria entre los Estados y las grandes mensajerías en Redes sociales, como Facebook Messenger, Whatsapp o Viber, para facilitar la desencriptación de los mensajes, por parte de éstas, cuando éstos pudieran provenir del ámbito del terrorismo. Pero ¿Dónde reside el límite entre la privacidad de los ciudadanos, y la seguridad nacional? ¿Acabaría con el problema?  Y los más importante ¿A quién beneficiaria? ¿Al ciudadano, al verdugo, o quién está detrás del verdugo? Son preguntas que antes de legislar debemos tener presentes.

 

Al igual que los Gobiernos, las corporaciones y civiles también sufren amenazas hacia su seguridad mediante injerencias en internet. Pero ¿les afectan de igual manera?  A mi entender, en esencia podríamos decir que sí. Todos somos vulnerables en la red, sin ninguna distinción. Un claro ejemplo lo tuvimos el pasado 12 de mayo del presente año, cuando el famoso ramsonware  Wannacry atacó, según EUROPOL, a más de 200.000, principalmente grandes empresas, y al menos en 150 países, pero ¿ha sido o será la última? No, por gracia o desgracia se pronostica un auge en los próximos tiempos. Hace tan sólo unos días, el pasado 27 de junio, se registró un nuevo ataque masivo,  su  target, como en anteriores ocasiones, fueron empresas y Estados, entre ellos, empresas tan importantes como la central nuclear de Chernóbil  o el Estado español. ¿Cómo se pueden prevenir? En estos casos, planes de prevención, compliance y formación a los trabajadores, son las mejores medidas que pueden aportar las empresas e instituciones para aminorar el riesgo de sufrir pérdidas de su información, y por tanto salvaguardar su corporación y sus posibles consecuencias.

Por último, pero no menos importante, nos encontramos en el ámbito personal, ejemplos como el “ciberbulling”, “sexting” o “phishing”, entre otros, forman  parte del gran abanico de  delitos, que abarcan al individuo o colectivo como victimas preferentes.

Todos y cada uno de ellos establecen  una serie de características comunes. Primero, los riesgos deviene de un tercer ente, los cuales mediante el miedo, nos hace peligrar nuestra seguridad desde un mundo virtual, el cual de momento no podemos controlar al 100%.  Segundo, desde el ámbito gubernamental, como en el ámbito corporativo o individual se nos muestra que dicho riesgos vienen y devienen, tanto en el mismo ámbito, es decir de manera horizontal (ej. Ciberespionaje entre Estados o compañías del mismo sector), como de manera vertical (ej. Wannacry, un ataque básicamente a empresas y Estados, por también de manera indirecta a los individuos). Tercero, cuando hablamos de nuevas tecnologías, debemos tener en cuenta, que sus pros y sus contras, no se dan en un área específica, sino que se dan a nivel transversal, en todas las áreas de nuestras vidas, tanto en la esfera privada, como institucional pasando por la corporativa. Y cuarto y último, somos los máximos responsables de adoptar las medidas que se adecuen  mejor a nuestra seguridad; ejemplos como la privacidad en nuestras redes sociales, adoptar y aplicar un buen plan compliance en nuestra empresa o legislar de manera diligente como Estado, son actos que nos pueden ayudar a prevenir de posibles males en un futuro. Pero aún así, mírame ¿crees que estamos seguros?

 

Àngela Lleixà Alsina

Abogada Multidisciplinar especializada en: TIC, Empresa, Parlamentario e Internacional

Asociada de ENATIC

@ngelalleixa

La legitimación para el tratamiento de datos personales en el nuevo RGPD

/0 Comentarios/en /por

Con la entrada en vigor el próximo 25 de mayo del nuevo Reglamento Europeo de protección de datos personales (RGPD o GDPR), deberá revisarse que todos los tratamientos de datos personales en curso se adecuan al mismo, en sus múltiples facetas o nuevas obligaciones para los responsables o encargados del tratamiento.

El RGPD tiene como novedad significativa que va a ser de aplicación directa en todos los estados miembros de la UE y presenta numerosas novedades con respecto a la actual legislación, la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Reglamento de desarrollo, entre las cuales debemos analizar lo relativo a la legitimación para el tratamiento de los datos personales.

Encontramos los parámetros esenciales exigidos para la licitud del tratamiento en el art. 6, las condiciones para que consentimiento sea válido, art. 7 y una extensión especial para determinar las condiciones necesarias para la validez del consentimiento del niño, con relación a los servicios de la sociedad de la información en el art. 8.

El artículo 6 del RGPD nos indica los requisitos para que un tratamiento de datos personales pueda ser considerado lícito:

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

He resaltado los dos aspectos que, en mi opinión, van a ser más controvertidos en cuanto a su aplicación.

Las condiciones para el consentimiento. El consentimiento tácito.

Las características del consentimiento exigidas por el art. 7 se exponen a continuación:

  • El responsable deberá poder demostrar el consentimiento del interesado (art. 7.1).

  • Debe ser revocable fácilmente (art. 7.3).

  • El consentimiento debe recaer sobre todos los fines para los que vayan a tratarse los datos (Considerando 32).

  • El consentimiento debe ser informado, en un lenguaje claro y sencillo, como mínimo de la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales y deberán evitarse cláusulas abusivas.

  • El consentimiento deberá ser consciente y libre (considerando 42).

Además, el Reglamento establece otros requisitos para que pueda considerarse que la manifestación de voluntad sea válida:

  • Consentimiento “explícito”, habilitador para el tratamiento de categorías especiales de datos personales (art. 9) o ser objeto de decisiones individuales automatizadas (art. 22).

  • Consentimiento “inequívoco”. En este sentido, para considerar que el consentimiento es inequívoco, debe existir una declaración de los interesados o una acción positiva que indique la conformidad del interesado (art. 4.11).

En el Considerando 32 del Reglamento se considera como acción positiva el hecho de marcar una casilla de un sitio web en internet, así como la realización de una conducta que indique claramente, en este contexto, que el interesado acepta la propuesta de tratamiento de sus datos personales.

Así pues, la conducta de un interesado puede llevar a comportar la prestación de un consentimiento inequívoco para el tratamiento de sus datos personales, pudiendo ser considerada esta conducta como una acción positiva a que hace referencia el art. 4.11.

En este sentido, la Audiencia Nacional ha validado diferentes conductas de interesados como acciones que validan el consentimiento en diferentes y variadas situaciones, por ejemplo, por uso del servicio de telefonía, por el abono de varias facturas del servicio, por los actos posteriores a un arrendamiento de vehículo, etc.

El simple consentimiento tácito que contemplaba el Reglamento de desarrollo de la LOPD, en su artículo 14, consistente en que, si el interesado nada oponía en 30 días desde su comunicación, deberá considerarse no válido. La Agencia Española de Protección de Datos ha manifestado su criterio de que el Reglamento deroga este artículo, puesto que no existe acción específica por parte del interesado, es decir, el Reglamento no admite la “inacción”, como causa de considerar otorgado el consentimiento para el tratamiento de los datos personales.

La habilitación del tratamiento para la satisfacción de intereses legítimos.

En el art. 6.1.f se establecen los intereses legítimos que deben considerarse y que pueden ser de los responsables o de terceros, haciendo especial referencia siempre a que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.1

En este sentido se plantea un conflicto entre lo que pueda representar intereses legítimos, no solo de los responsables, sino también de terceros versus los derechos y libertades fundamentales del interesado.

La Sentencia del Tribunal de Justicia de la UE de febrero de 2012, resolvió que la mera invocación de un interés legítimo no puede considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado. En sus fundamentos, el propio Tribunal argumenta la necesidad de realizarse, en cada caso concreto, una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los interesados, para determinar cuál debe prevalecer.

La Audiencia Nacional ha considerado procedente, entre otros, un interés legítimo en diferentes supuestos en que la publicación de algunos datos se ha considerado amparada por la libertad de información, la existencia de un interés legítimo en el envío de correo electrónico a miembros de un colectivo profesional por parte de un candidato a elecciones en dicho colegio y la actividad de un motor de búsqueda en la actividad desarrollada.

También la Agencia Española de Protección de Datos ha considerado diferente casuística como legitimadora para tratar los datos, atendiendo en cada caso al contexto y la finalidad, ponderando los intereses en conflicto en cada caso.

En resumen, el nuevo Reglamento viene a clarificar y delimitar con más profundidad los requisitos exigibles para que un tratamiento de datos personales pueda tener legitimidad, lo que debe llevar a los responsables a la revisión de si es posible continuar con el tratamiento de los datos de que dispone o debe recabar algún tipo de consentimiento, teniendo en cuenta el Considerando 171 que permite la continuidad en el tratamiento, si el consentimiento obtenido se ajusta a las condiciones del presente Reglamento. En cualquier caso, deberán ser objeto de revisión los protocolos de los tratamientos para adecuarlos a los requisitos del nuevo Reglamento.

Pere Rius Alonso
Abogado
Asociado ENATIC
TICJURIS ADVOCATS, SLP
Vic
www.ticjuris.com
https://www.linkedin.com/in/pere-rius-alonso-6b6ba516/
@rius_pere

1 De acuerdo con el art, 8.1, se considera niño al menor de 16 años, aunque los estados pueden regular una edad inferior, siempre que no sea inferior a 13 años. En España, el actual Reglamento de desarrollo de la LOPD considera la edad de 14 años para que el menor pueda dar su consentimiento.

La rebaja jurisprudencial del Derecho de protección a la información personal en la videovigilancia de los trabajadores.

/0 Comentarios/en /por

La Sentencia 39/2016, de 3 de marzo de 2016[1] de nuestro Tribunal Constitucional, se suma al amplio catálogo de pronunciamientos jurisprudenciales relativos a la utilización de sistemas de videovigilancia por parte de las empresas, que han ido acotando esta herramienta y la forma en la que puede válidamente llevarse a cabo.

Esta sentencia ha ampliado la posibilidad de introducir la videovigilancia dirigida al control de la actividad laboral, incluso de forma permanente, sin que haya una información previa y específica por la que los trabajadores puedan conocer la existencia de dicho control[2].

Su relevancia se debe al nuevo alcance que el derecho de información tiene para la protección de la información personal. Según se afirma en su texto «tiene especial trascendencia  constitucional  (art. 50.1 b) de la Ley Orgánica  del  Tribunal  Constitucional), pues  las  especificidades  propias  del  caso  permiten  a  este  Tribunal  perfilar  o  aclarar  su doctrina en relación con el uso de cámaras de videovigilancia en la empresa  que ya se habían perfilado en anteriores sentencias» citándose la número 155/2009,  de 25 de junio,  (FJ 2 b).»

Se pretende así, continúa «aclarar  el alcance  de la información  a facilitar a los trabajadores sobre la finalidad del uso de la videovigilancia  en la empresa: si es  suficiente  la  información  general  o,  por  el  contrario,  debe  existir  una  información específica (tal como se había pronunciado la STC 29/2013, de 11 de febrero). »

Efectivamente este criterio ha sido seguido posteriormente en otros pronunciamientos como la sentencia del Tribunal Supremo de fecha 31 de Enero de 2017[3], aunque en en este caso el trabajador conocía la ubicación de las cámaras, en su FD 1,4º destaca que «debe tenerse presente también, la nueva doctrina que ha sentado el Tribunal Constitucional sobre la materia, en su reciente sentencia de 3 de marzo de 2016, donde ha rebajado las exigencias informativas que debe facilitar la empresa al trabajador cuando instala un sistema de video-vigilancia, como luego se verá«.

Este criterio, según se indica ya se había aplicado en la sentencia del Tribunal Supremo de fecha 7 de Julio de 2016.

Entre la sentencia del Tribunal Constitucional y las del Tribunal Supremo ha surgido sin embargo un hecho trascendental y que es la vigencia (pendiente de ser de plena aplicación) del nuevo Reglamento Europeo de Protección de Datos y de libre circulación de estos de 27 de abril de 2016 y que no ha sido tenido en cuenta, ni siquiera en la aplicación del principio de transparencia en el tratamiento de la información personal al que luego nos referiremos.

Esta norma llevará a otras lecturas relativas a cómo evoluciona y se ha de tratar el concepto de información personal, o Derecho de protección de datos personales,  y que deberá ser resuelta teniendo en cuenta parámetros muy distintos para efectuar la ponderación de derechos que en la actualidad se tienen en cuenta para resolver el conflicto de intereses jurídicos:  derecho a la información personal/legítimo interés empresarial.

Por tanto el nuevo criterio seguido por el Tribunal Constitucional nos parece criticable por dos razones:

1.- La primera basada en el criterio de los Magistrados de este Tribunal que han añadido sendos votos particulares a la sentencia y en los que se habla (Valdes Dal-Re)  «de retroceso en la protección de los derechos fundamentales de las personas que prestan un trabajo asalariado y que vengo denunciando en los últimos años…» y «…que revela una orientación que tiende a vaciar de contenido sustantivo un modelo constitucional de relaciones laborales acorde con el Estado social y democrático de Derecho .» [4]

2.-  La segunda por una inexplicable confusión conceptual,  entre el derecho a la intimidad  y el derecho de Protección de Datos, lo que conlleva una defectuosa defensa de la esencia de este último como Derecho fundamental[5], separándose de la propia doctrina del Tribunal Constitucional que su Sentencia 292/2000 contribuyó acertadamente a crear. Es como si el tiempo transcurrido permitiese obviar la trascendencia que tiene para el Derecho de protección de datos su autonomía frente a otros Derechos fundamentales[6].

Lo más relevante es determinar si la instalación de las cámaras tiene que servir para que la empresa pueda legítimamente prevenir su patrimonio empresarial o si esto puede servir para «atrapar»[7] (como afirma VALDES DAL-RE) al posible culpable.

Dado que hubo una evidente infracción laboral la sentencia ofrece pocas dudas en cuanto a su resultado, pero sin embargo sí que cabría pensar en que hubiese sucedido si las empresas informasen de la medida de control desde el comienzo, ya que seguramente no se daría lugar a cometer ningún ilícito laboral siendo innecesario tener que despedir.

Por tanto nos encontramos con un ejemplo práctico de como la defensa débil de un derecho por parte de los ciudadanos, como es el de privacidad, nos lleva a soluciones más ineficaces,  que configuran además una sociedad mucho menos justa.

Hoy el principio que establece la nueva norma europea no solo es el de información sino el de transparencia[8] lo que no deja de ser relevante para el tema analizado una vez que esta sea de aplicación plena, lo que augura nuevos criterios jurisprudenciales antes los cuales deberemos encontrarnos debidamente prevenidos.

 

Roberto L. Ferrer Serrano
ABOGADO en Aralegis
www.aralegis.es
Profesor Asociado Area Derecho Laboral. Univ. de Zaragoza
 @robertoferrer21
https://www.linkedin.com/in/roberto-l-ferrer-serrano-4605b020/

[1] Tribunal Constitucional. Pleno. Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016. Supuesta vulneración de los derechos a la intimidad y a la protección de datos: despido basado en las imágenes captadas por una cámara de videovigilancia instalada sin comunicación previa a la trabajadora.

[2] GOÑI SEIN, J.L. Instalación de cámaras de videovigilancia para la obtención de pruebas y deber de información previa. RESEÑAS DE JURISPRUDENCIA (ENERO-JUNIO 2016) ARS IURIS SALMANTICENSIS, VOL. 4, DICIEMBRE 2016, 288-291. «La nueva orientación que emerge de la sentencia del tc flexibiliza el requisito esencial del deber de información previa del derecho fundamental del artículo 18.4 ce hasta el punto de convertirlo en una exigencia meramente formal»

[3] Sentencia Tribunal Supremo Sala de lo Social, Ponente: JOSE MANUEL LOPEZ GARCIA DE LA SERRANA accesible desde: <http://www.poderjudicial.es/search_old/doAction?action=contentpdf&databasematch=TS&reference=7950854&links=&optimize=20170306&publicinterface=true>

[4] Voto particular del Magistrado don Fernando Valdés Dal-Ré a la Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016, al que se adhiere la Magistrada doña Adela Asua Batarrita(F.I.1).

[5] Por ejemplo, se afirma en la sentencia a la que nos referimos que: «para el Ministerio Fiscal el derecho a la intimidad de la recurrente en amparo resultaba justificadamente  limitado, en tanto la filmación se ceñía a la observación  del espacio en el que se ubicaba la caja registradora» (FD 1).

También en la sentencia se produce esta confusión al afirmar que « ha  ponderado adecuadamente  que  la  instalación  y  empleo  de  medios  de  captación  y  grabación  de imágenes por la empresa ha respetado el derecho a la intimidad personal de la solicitante de amparo…«.

[6]Tribunal Constitucional. Pleno. Sentencia 292/2000, de 30 de noviembre de 2000. Recurso de inconstitucionalidad 1.463/2000. Promovido por el Defensor del Pueblo respecto de los arts. 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Vulneración del derecho fundamental a la protección de datos personales. Nulidad parcial de varios preceptos de la Ley Orgánica.

[7] Voto particular del Magistrado don Fernando Valdés Dal-Ré a la Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016, al que se adhiere la Magistrada doña Adela Asua Batarrita(F.II.C.5)

[8] El Considerando 39  del nuevo Reglamento Europeo establece que «Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.»

Este Reglamento si bien se encuentra ya en vigor,  su aplicación plena tendrá lugar en Mayo de 2018.

Cuarto milenio – misterios del GDPR

/0 Comentarios/en /por

“Bienvenidos a la nave del misterio”, entradilla ya mítica de Iker Jiménez en el programa que sirve de título al presente artículo. Hoy nos adentraremos en los misterios y enigmas que, a poco más de un año para su aplicación, nos oculta el reglamento de protección de datos. Preguntas sin resolver o, al menos, para quien suscribe el presente, situaciones que se muestran semi-ocultas entres los artículos y considerando del GDPR.

El primero de los misterios acontece en el propio objeto y ámbito de aplicación, dado que la finalidad del GDPR es, según reconoce expresamente, “la protección de las personas físicas en lo que respecta al tratamiento de los datos personales.” Ahora bien, el propio GDPR parece que establece una supremacía o subsidiaridad de protección, en base a un elemento común, la identificación -reconocimiento de la persona física-, la cual pudiere disponerse -interesado- o pudiere obtenerse -directa o indirectamente a través de identificadores.- Si a dicho objeto material le agregamos la definición de dato personal, la cual dice: “toda información sobre una persona física identificada o identificable”, tal vez solamente esté protegiendo la información en base al elemento de reconocimiento, es decir, que si no existe elemento de identificación no podría aplicarse el GDPR. Imaginemos que un empresa suscribe contrato con un proveedor de servicios de acceso a Internet y que dicha entidad suministra el router a través del cual se recopila información con la finalidad de utilizar la data asociada y recabada a través del router para proporcionar información, contenidos y publicidad en base a múltiples criterios -conexión; terminales conectados; puertos abiertos; contenido y hora de visualización; etc.- Si la identificación no permite identificar a una persona física pero de la data obtenida pudiere parametrizarse resultados que permitiera conocer información asociada a una persona física, entonces, sería aplicable el Reglamento o, por el contrario, se consideraría que los elementos identificadores no permite obtener el reconocimiento de la persona física.

El segundo de los misterios es el que aparece de soslayo dentro de los considerandos del GDPR, concretamente, en el (78)[i] donde al interesado se le reconoce un derecho nuevo, el derecho de supervisión de las medidas técnicas y organizativas que tenga implantadas en el responsable del fichero o encargado de tratamiento respecto al tratamiento de datos personales. Ahora bien, esta supervisión, teóricamente está basada en el principio de transparencia, pero no específica de qué forma el responsable y encargado deberían hacer frente a esta potestad otorgada al interesado. ¿Dicha supervisión podría hacerse efectiva a través del principio de información o a través de códigos éticos o a través de organigramas visuales? En caso que dicho derecho pudiere ser ejercitado ¿Cómo sería el procedimiento para poder ejercitarlo? ¿A través de qué medios o canales se debería hacer efectivo dicho derecho: mediante enlace a Página Web disponible y sin limitación de acceso; con limitación en base a la identificación de interesado? ¿Podría ser ejercitado por cualquier interesado, estuviere o no identificado?

Otro de los misterios, nada baladí, hace referencia a la aplicación del Reglamento a aquellos responsables o encargados establecidos fuera de la Unión Europa, como así reconoce el propio GDPR en su Considerando (23) y (24)[ii]. Pero, ¿qué ocurrirá con aquellos servicios de suscripción basados en el análisis comportamental y utilización de dicha información para la puesta a disposición de publicidad dirigida a residentes en la Unión Europea desde fuera de la misma? Estoy pensando en servicios gratuitos dirigidos en base a la obtención de información mediante de APIS donde el responsable y encargado indistintamente utilizan la data desde fuera de las fronteras de la Unión Europea, no solamente mediante publicidad programática sino mediante la nueva modalidad publicitaria -header bidding.-

Llegamos a uno de las grandes incógnitas regulatorias, los denominados profiling de opiniones políticas en procesos electorales, que abre la puerta a los partidos políticos a efectuar un análisis de los interesados durante el proceso electoral, expresamente dispuesto en el Considerando (56)[iii].Ya no sólo van a poder utilizar el censo para remitir, sus ya clásicas correspondencia electoral, sino que, a partir de ahora, podrán efectuar un target, especialmente, a través de las redes sociales, con el fin de obtener una data que le permita dirigir a un público determinado dicha propaganda. Según el GDPR debe ofrecerse garantías, pero desconozco cuáles y de qué forma se procederá a regular dicha posibilidad y si la utilización de dicha target caducará o vencerá al finalizar el proceso electoral.

Otra incógnita, ésta en base a la interpretación del GDPR, es la que afecta al apartado 5 del artículo 30[iv] en cuanto a la obligación de registrar las actividades de tratamiento, dado que, bajo la perspectiva de quien suscribe, la apariencia de interpretación podría ser sencilla, considero que la redacción de la excepción contemplada en dicho apartado no es del todo clara. Según dicho apartado, las empresas u organizaciones de menos de 250 empleados no tendrán la obligación de llevar a cabo el registro de actividades de tratamiento, pero dicha excepción se basa en tres requisitos, no siendo éstos opcionales

más que en el último caso cuando utiliza expresamente la conjunción “o” separando claramente las denominadas categorías especiales de datos personales, es decir, estaríamos ante una excepción difícil de albergar, puesto que operaría solamente, si el tratamiento de datos no supone riesgo para los derechos y libertades fundamentales así como el requisito que dicho tratamiento no sea ocasional. Por lo que esta parte entiende nunca podrá darse la excepción en categorías especiales ni en tratamientos no ocasionales y, por la expresión ocasional, es clara la referencia contemplada en el RDLOPD cuando expresamente alude a ella en el artículo 81.5 b)[v].

Para concluir la nave del misterio, aunque no las incógnitas que plantea el GDPR, es interesante las tipologías de, llamémoslas auditorías o controles de cumplimiento. Hay que rascar un poco el GDPR para encontrarnos con cinco tipos: dos, tres o cuatro en virtud del tratamiento y las especialidades de los responsables y encargados, y una última la correspondiente a las que realizaran las autoridades de control. Por una parte, las empresas tendrán que efectuar como mínimo, la denominada privacidad por diseño y la auditoría de comprobación. A estas habrá que sumarles en caso de transferencias internacionales las adscritas a dicho tratamiento y, las EIPD´S o PIA´S como control preventivo. Un sinfín de controles preventivos y legales a través de múltiples metodologías a considerar por los responsables y encargados. Igualmente, significativo es cómo efectuarán las PYMES la adecuación a dichos controles y, si temporal o definitivamente, pueden ampararse en la metodología ya establecida en el Título VIII del RDLOPD.

Hasta aquí, la nave del misterio del GDPR, todo un sinfín de incógnitas y de situaciones complejas que dará lugar para múltiples opiniones, pero este breve artículo, equivocado o no, simplemente se ha redactado para, al menos, “adentrarse en variantes que, a fecha presente, considero que no se han puesto de manifiesto” y que, probablemente, la adecuación regulatorio tendrá sus complejidades a la hora de abordarlas. Hasta la próxima nave del misterio, sigan creyendo o al menos no renuncien a lo sobrenatural.

 

Efrén Santos Pascual
Socio – Abogado TIC
ICEF Consultores
www.icefconsultores.com
@efrensantos_tic    

 

                                                                                

[i] (78) […] Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad […]

[ii] (24) El tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

[iii] (56) Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

[iv] 5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

[v] En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

Empresa y trabajadores: Productividad, control y privacidad.

/0 Comentarios/en /por

Caso de estudio:
Empresario preocupado por la productividad de sus trabajadores en su empresa quiere implantar una serie de medidas de control. Plantea prohibir el acceso a redes sociales y el uso de los ordenadores de la empresa con tareas que pueden perjudicar la productividad.
Premisa:
Planteamos al empresario reflexionar sobre el hecho de que limitar ciertos servicios o accesos podría incluso ser contraproducente para su actividad. La información obtenida en internet es importante en cualquier empresa, por lo que limitar a los trabajadores estas herramientas de trabajo podría tener mas inconvenientes que beneficios. Además, un trabajador avezado puede saltarse esas limitaciones sin dificultad, frustrando el propósito del empresario.
Solución propuesta:
A nivel técnico.
Para controlar la productividad de los trabajadores se debe empezar por conocer en detalle las capacidades y alcance de los medios tecnológicos de la empresa. Entenderemos por Medios Tecnológicos cualquier dispositivo hardware o software que pueda estar implicado en el proceso de producción de la misma.
En líneas generales, recomendamos realizar un inventario de todos los medios tecnológicos propios de la empresa, identificarlos de manera unívoca y conocer sus capacidades.
Igualmente, se deberá crear y mantener un registro en que figure a qué trabajador se le ha asignado cada medio (ordenador, tableta, cuenta de correo, móvil, etc.).
A nivel legal. Cumplimiento normativo (Compliance).
Realizado tal inventario, se deberá asegurar tener correctamente implementadas las medidas en materia de Protección de Datos (que no serán objeto de este estudio) perfectamente adecuadas a la actividad de la empresa. Como sugerencia, estas medidas deberían orientarse conforme al Reglamento Europeo de Protección de Datos, que comenzará a aplicarse el 25 de mayo de 2018.
Previamente a la entrega o asignación de los medios tecnológicos, deberá notificarse a todos los trabajadores que:
1. Tales medios son propiedad exclusiva y excluyente de la empresa.
2. Está prohibido utilizarlos con fines privados (prohibición avalada por Tribunal Supremo, Constitucional, Europeo de Justicia y la Agencia de Protección de Datos).
3. Tales Medios pueden ser monitorizados por la empresa con fines de controlar la productividad y el regular funcionamiento de la misma, evitar la comisión de delitos, etc, en definitiva, asegurar la continuidad del negocio.

El cauce para notificar todo esto debe ser, obligatoriamente, un contrato específica y meticulosamente diseñado para no infringir ninguno de los derechos de los trabajadores y acorde a la jurisprudencia.
Pero no basta con firmar un contrato, sino que el empresario debe conocer las características de los medios tecnológicos y los límites legales y, en función de aquellos, disponer las medidas necesarias para que tales límites no se vean superados (niveles de usuario, controles de acceso, etc).
A este respecto, dado que cada empresa tiene un esquema de medios tecnológicos propio, requerirá un contrato confeccionado ad hoc, por lo que no es recomendable la fórmula del copy and paste. En la práctica se están dando casos donde la utilización de un contrato extraído de Internet, aplicado sin criterio en una empresa ha acabado en sanciones de la Agencia de Protección de Datos o, en los casos más graves, en sanciones penales por la comisión de delitos de violación del secreto de las comunicaciones.
Errores frecuentes: que “un contrato salva cualquier situación” o que “la tecnología por sí sola es suficiente”. El mejor contrato no sirve de nada sin un adecuado uso, configuración y control de los medios tecnológicos. Los mejores medios tecnológicos estarán fuera de la ley si no son correctamente auditados y adaptados al marco legal concreto (leyes y contratos). Las consecuencias podrían llegar a acabar con la empresa.
El contrato debe especificar, de manera muy concreta, qué medios tecnológicos se está poniendo a disposición del trabajador, qué actividades están prohibidas y cuales permitidas, enumerando unas reglas de uso claras y transparentes.
Intimidad del trabajador y control de medios tecnológicos. Límites.
El Tribunal Constitucional, en Sentencia de 7 de octubre de 2013, ha señalado claramente: no hay violación de la privacidad cuando la titularidad de la herramienta comunicativa es del empresario, el momento en que se utilice es la jornada laboral o se utilice el correo corporativo, además de que todo esto haya sido correctamente notificado al trabajador.
Limitaciones: ningún contrato puede suponer la renuncia a derechos fundamentales, pues tal renuncia sería nula y por tanto se tendría por no firmada.
Precaución: la Sentencia del Tribunal Supremo de 16 de junio de 2014, Sala de
lo Penal, señaló que el control por parte del empresario de los medios tecnológicos de la empresa no puede vulnerar el secreto de las comunicaciones, siendo necesaria la autorización judicial para acceder a material sujeto a tal secreto.
Aplicación práctica: ante un problema con un trabajador, la obtención de la prueba debe tener en cuenta estas premisas, so pena de incurrirse en un delito de violación del secreto de las comunicaciones. Por regla general, se entiende que ha existido violación (y por tanto un delito) en caso de accederse a un correo no abierto por el trabajador.
Cuestión técnica: demostrar que el correo intervenido fue leído, pero se devolvió al estado de “no leído”, requiere la adecuada obtención de la pertinente prueba, a cuyo fin ayuda la propia Sentencia al establecer que el secreto de las comunicaciones no abarca los datos de tráfico y los mensajes recibidos y abiertos por su destinatario, porque no forman parte de la comunicación. Los logs de registro juegan en este caso un importante papel, pero, siempre que nos encontremos ante un excelente dimensionamiento, configuración y control (tecnológico y legal) de los medios tecnológicos.
En todo caso deberá atenderse a que la obtención sea proporcional al fin perseguido, porque, por ejemplo, no haya otra medida más adecuada de obtención de pruebas, según la ocasión.
BYOD (Bring Your Own Device). Utilización de medios tecnológicos privados del trabajador para la actividad de la empresa.
Nos referimos al uso por parte del trabajador de sus propios dispositivos con aplicación laboral.
Regla genérica: Jamás se podrá acceder sin autorización judicial a tales medios tecnológicos (teléfonos móviles, ordenadores, tabletas, etc).
Sin embargo, no se considerará vulneración del secreto de las comunicaciones si el trabajador ha sido debidamente notificado, como se ha explicado anteriormente, y se ejerce control sobre una cuenta de correo (por ejemplo) que es propiedad de la empresa pero que ha sido configurada en el terminal propiedad del trabajador.
Una buena recomendación en este caso es que la empresa tenga correctamente diseñadas, explicadas y notificadas las reglas de uso de cuentas de correo de la empresa configuradas en terminales privados.
Y la mejor de las recomendaciones es actuar siempre con sentido común, proporcionalidad y responsabilidad.

Francisco Rico
Twitter: @Curro_Rico
Abogado especializado en Derecho Tecnológico y Seguridad Informática. Bufete MERCURE·HUB.

«Robolución» y Responsabilidad Social del sector TIC

/0 Comentarios/en /por

Es innegable que las cifras de negocio del sector de las TICs se han visto incrementadas en los últimos años, tanto en volumen como en actores implicados, siendo un relevante indicador económico de la globalización de los mercados, con la aparición en la última década de grupos empresariales de notable capacidad de influencia y decisión sobre todos los stakeholders, incluidos los organismos reguladores.

No parece tampoco cuestionarse el proceso expansivo de la llamada “robolución”, distinta a las anteriores revoluciones industriales por la velocidad y virulencia de sus cambios disruptivos, con efectos también en otras áreas como la agricultura, el transporte, la asistencia sanitaria, la seguridad o, en general, reconfigurando los servicios comunes de las ciudades (smatcities); también el sector legal, tanto en las técnicas del management de despachos, como en los contenidos de las áreas de práctica y formas de relacionarse con los clientes. Las amplias consecuencias de la “ola robótica-inteligencia artificial” se extienden hasta el ámbito público, abocado, parece al fin, por imperativo legal, a la transformación en verdadera administración electrónica.

En este contexto de grandes innovaciones, pero mayores incertidumbres, se detectan algunas paradojas (S. Zamagni) como el aumento de las desigualdades extremando  las diferencias entre clases sociales (Branko Milanovic); la creación de nuevas ocupaciones tecnológicas y el desempleo endémico (la categoría de los Not in Education, Employment or Training); o la destrucción del medio ambiente, con sus graves implicaciones en el desarrollo de generaciones futuras, respecto de las que la pujante actividad de las TICs no se encuentra al margen.

Una muestra del debate y preocupación por los importantes cambios actuales, es el ampliamente divulgado Informe del Parlamento Europeo con las recomendaciones a la Comisión sobre robótica, con propuestas como la creación de una personalidad electrónica, o un código ético para robots, y que reflexiona sobre los inmediatos impactos negativos, en particular, en la destrucción y precariedad del empleo y la difícil transición hasta que se haya consolidado el nuevo modelo productivo; advertencia para los países desarrollados formulada también desde otros organizaciones como las Naciones Unidas.

Ante estos tiempos de “modernidad líquida” (Z. Bauman), muchos son los que claman por superar el esquema del empresario, en particular el boyante TIC, obligado exclusivamente a no causar estrictamente perjuicios directos o indirectos según establezcan los mínimos de la legalidad aplicable. Así la evolución ideológica de la dirección estratégica ha caminado desde el individualismo libertario al personalismo; de la economía política (separada de la Ética y la Política) a la economía civil; del negocio bajo la premisa de la maximización de la ganancia (homo homini lupus) a ser un instrumento contribuyente del bien común (homo homini natura amicus).

En este último sentido, podemos destacar especialmente, entre las diversas estrategias y acciones recientemente adoptadas, los Diez Principios del Pacto Mundial de las Naciones Unidas, referentes a los derechos humanos, laborales, el medio ambiente y la lucha contra la corrupción;  los 17 Objetivos de Desarrollo Sostenible, el Acuerdo de París sobre el Cambio Climático, la Estrategia Española de Desarrollo Sostenible, por citar solo algunas, con multitud de líneas y planes de actuación, que sitúan a la empresa en el epicentro de las medidas que deben contribuir a paliar las desigualdades de la Revolución 4.0 y la mejora de la sociedad con la que interactúa.

Pero también deben enfatizarse las oportunidades y ventajas que supone la implicación en políticas y prácticas socialmente responsables, dando así respuesta a las demandas de transparencia de empleados, accionistas, proveedores y clientes, muchos dispuestos a pagar un extra por aquellos productos o servicios que provengan de compañías que han implementado programas que retribuyen a la sociedad; igualmente atendiendo a las expectativas de la ciudadanía digital y los grupos sociales interesados en conocer no sólo cómo se invierten los beneficios de los negocios, sino de dónde se obtienen; cooperando a la lucha contra la corrupción, la sostenibilidad ambiental y la solidaridad; o diferenciando los productos y servicios de otros competidores en los valores que se perciben en la reputación de la marca y en la organización que los produce o presta, con su compromiso con el entorno local y global del que forma parte.

Esos beneficios para las empresas responsables se expanden aún más al sector TIC, proclive a la internacionalización de sus negocios, donde es vital lograr organizaciones eficientes y rentables, mediante acciones que facilitan el acceso a mercados nacionales, con resultados de percepciones positivas reputacionales, lo que conlleva la atracción de inversores, partners, consumidores y talento laboral. Para ello se deben implementar políticas de aportación de valor, por ejemplo, en transparencia financiera y tributaria, rendición de cuentas, diligencia debida con proveedores locales, atención del cliente, inclusión de la diversidad y protección del medio ambiente (economía circular).

Desde el ámbito de la consultoría jurídica, con independencia de la recomendable y propia implicación, se abre la posibilidad de apoyar esa necesaria reorientación del negocio con servicios enfocados desde la perspectiva de integrar la responsabilidad social desde la misma estrategia corporativa. Como ejemplo de áreas de práctica en esta materia, dirigidas al sector privado, en especial el de las TIC y startups, pero también para las administraciones públicas, se pueden mencionar:

  • Guías para la acción empresarial y la implantación de los Principios del Pacto Mundial y Objetivos de Desarrollo Sostenible, elaboradas por Global Reporting Initiative, Pacto Global de las Naciones Unidas o el Consejo Empresarial Mundial para el Desarrollo Sostenible.

Estándares certificables:

  • IQnet SR10, basado en la Norma ISO 26000, los Principios del Pacto Mundial, los Convenios de la Organización Internacional del Trabajo, las directrices de la Unión Europea, etc.
  • SA 8000, para el establecimiento o la mejora de los derechos de los trabajadores y las condiciones del lugar de trabajo.
  • SGE 21 (Forética – España), para la gestión ética y socialmente responsable.
  • Sello BEQUAL (Fundación Bequal – España), referente en identificación y visibilidad de organizaciones socialmente responsables con las personas con discapacidad.

Subsistemas de gestión, para la implementación de determinadas actuaciones exigidas por los estándares anteriores, con ventajosa posibilidad de integrar los mismos en un marco de directrices comunes (Norma ISO 19600):

  • Prevención de riesgos penales: sistemas de gestión de compliance penal (Norma UNE 19601), sistemas de anticorrupción (Norma ISO 37001), prevención del blanqueo de capitales, seguridad de la información (Norma ISO 27001) y protección de datos personales.
  • Gestión ambiental (Norma ISO 14001) de la calidad (Norma ISO 9001).
  • Prevención de riesgos laborales (Norma OHSAS 18001).
  • Accesibilidad universal (Norma UNE 170001).
  • Legislación y prácticas de ámbito internacional, nacional, autonómica y local sobre transparencia y buen gobierno.
  • Memorias de sostenibilidad, bajo estándares como el Global Reporting Initiative, para aquellas organizaciones que desean o tienen la obligación de informar sobre los aspectos económicos, medioambientales y sociales de sus actividades, productos y servicios.

Todos los instrumentos anteriores tienen en común la necesidad de ser promovidos e impulsados en particular por los directores de responsabilidad social (dirses) que se constituyen como segunda línea de defensa de sus organizaciones y palanca de transformación empresarial, liderando los programas sociales y mejorando el engagement con los stakeholders; también en sintonía con las últimas tendencias en intangibles, que señalan como principales preocupaciones de los directivos la gestión de la confianza, la digitalización, la sostenibilidad o la transparencia mediante nuevas formas de comunicar, pasando del puro reporting al storytelling.

Es aquí donde los dirses deben trabajar junto con los compliance officers y otras funciones internas de la empresa, para asegurar y asumir la gobernanza del cumplimiento de todos los compromisos derivados de las políticas de responsabilidad social y la mitigación de restantes riesgos reputacionales.

En definitiva un importante reto para todos el de la “robolución” y a la vez una gran oportunidad, seguramente bajo la premisa machadiana de “repensar lo pensado y de saber lo sabido”.

Mauricio Rodríguez Bermúdez
Abogado – Codirector de “R&B = a+c”
www.rbac.es

¿Qué esperamos de la futura regulación de privacidad?

/0 Comentarios/en /por

Una de las preguntas más sonadas en los últimos tiempos es si necesitamos una ley mundial que proteja la privacidad en la red. La información de las personas que circula por Internet es más valiosa de lo que se puede pensar, por lo que no sería descabellado ver cómo en 2018 tenemos una regulación de la privacidad mundial.

La necesidad de una ley mundial que cuide nuestra privacidad en la red.

Redes sociales como Facebook, sin ir más lejos, han sido acusadas en muchas ocasiones de asaltar la privacidad de los usuarios. ¿Qué han hecho que se ha considerado tan grave? Compartir la información de algunos usuarios con empresas; es su modelo de negocio. Digamos que estas aplicaciones web nos ofrecen un servicio y se lo “pagamos” con nuestra información.

¿Preferirías pagar por usar Facebook o que sea gratis y a cambio la red social pueda hacer uso de tu información personal? En Internet, nuestra información es lo más valioso que tenemos y muchas personas se han cuestionado la posibilidad de pagar por conseguir esa protección legal de la información.

Estamos en un momento en el que la protección de la información es más importante que nunca y son muchas las compañías que guardan datos de los usuarios en Internet sin ningún control ni directrices.

Por tanto, necesitamos una legislación de Privacidad en la Red. Términos como privacy by desing and by default o el derecho al olvido se han hecho muy relevantes en los últimos años porque los usuarios queremos usar determinadas aplicaciones con total garantía de que no hay nadie detrás espiando o vendiendo nuestra información a terceros.

Es el momento de empezar a cambiar las cosas y regular expresamente la privacidad en Internet. Los usuarios tienen derecho a eliminar su información personal de cualquier página de Internet, no sólo si se considera intrusiva o molesta (derecho al olvido), sino también sin necesidad de alegar ningún motivo (un verdadero derecho de cancelación).

Los usuarios no son conscientes de la información que comparten.

Toda la información que compartimos en Internet queda registrada para siempre y será tratada, analizada, segmentada y utilizada por las grandes compañías (Big Data). Estas empresas trabajan con nuestra información para ofrecernos algo a cambio: anuncios en Facebook, productos que podrían interesarnos comprar en Amazon…

A nivel internacional, en los últimos años, se está haciendo hincapié en el hecho de crear nuevas normativas dirigidas a proteger nuestra información en la red. De esta manera, habría un control para las compañías que se hacen con la información de los usuarios.

Joseph Cannataci, primer relator especial de la ONU sobre derecho a la privacidad, considera que es el momento de proteger nuestra información por medio de una normativa, porque seguimos sin ser conscientes de todo lo que ciertas empresas pueden saber de nosotros. Entre sus declaraciones, compartía: “son necesarias nuevas reglas para asegurar nuestra privacidad. La mayor parte de las personas no es consciente de la cantidad de metadatos que genera cada día”.

Joseph Cannataci ya había criticado en muchas ocasiones la legislación de vigilancia de Reino Unido, y considera que es el momento de poner fin a esta situación y que no se vuelva a repetir, ya que es mucha la información personal que está en juego.

Incrementar la seguridad de los países no es vigilar constantemente.

Es importante tener claro que el hecho de incrementar la seguridad de los países, no tiene que ver con una vigilancia constante, lo suyo, es contar con distintos niveles de protección.

La seguridad es importante, pero no debe primar sobre la privacidad y, en todo caso, debe protegerse de manera acorde a la normativa vigente, que es la encargada de marcar los límites para estar protegidos ante cualquier tipo de situación.

Esta normativa internacional de privacidad es más que necesaria. Es la protección de un derecho que todas las personas tenemos y que las páginas web, herramientas online y aplicaciones web, deben aceptar, para cuidar nuestra información y no facilitarla de cualquier modo a terceros.

Es preciso por tanto, no solo una normativa más, sino una que otorgue una mayor protección y seguridad jurídica a los datos de los usuarios. Necesitamos sentirnos más seguros cuando navegamos por Internet, poder confiar y saber que nuestra información no está en manos de cualquiera.

¿Qué países están más avanzados en la regulación de la privacidad?

En estos momentos, dentro de la Unión Europea, tras la aprobación del Reglamento General de Protección de Datos, Alemania destaca como el país más avanzado hasta la fecha a la hora de implantar la nueva normativa. España, por su parte, le sigue de cerca.

Los cambios en la Ley Orgánica de Protección de Datos se llevarán a cabo pronto. Los últimos rumores ya hablan de una posible fecha para esto en marzo del próximo año para que se pudiera tramitar antes de mayo de 2018, fecha en la que entra en vigor el Reglamento europeo.

Abel Loeches Márquez
Abogado especializado en Derecho Digital
Twitter: @AbelLomar

Premios enaTIC 2016: responsabilidad social

/4 Comentarios/en /por

¿Qué entidad considera que merece ser reconocida por su responsabilidad social durante 2016?

  • Pantallas Amigas (51%, 696 Votes)
  • EducaInternet (Fundación Orange y MacMillan) (26%, 353 Votes)
  • Forética (13%, 171 Votes)
  • Policía Nacional y Guardia Civil (ex æquo) (9%, 119 Votes)
  • EuroCloud España (2%, 28 Votes)

Total Voters: 1.355

Su voto ha sido registrado. Muchas gracias

Cargando ... Cargando ...

Para volver al listado de categorías, pulsa AQUÍ

Premio enaTIC 2016: investigación jurídica

/en /por

¿Quién considera que merece el premio a la investigación jurídica en 2016?

  • Miguel Recio Gayo. Abogado e investigador. (55%, 141 Votes)
  • Joaquín Delgado Martín. Magistrado. (13%, 33 Votes)
  • Fernando Carbajo Cascón. Profesor de Derecho Mercantil, Universidad de Salamanca. (13%, 32 Votes)
  • Lorenzo Cotino Hueso. Profesor de Derecho Constitucional, Universidad de Valencia. (11%, 28 Votes)
  • Juan Franch Fluxà. Profesor de Derecho Mercantil. Universitat de les Illes Balears (9%, 22 Votes)

Total Voters: 256

Su voto ha sido registrado. Muchas gracias

Cargando ... Cargando ...

Para volver al listado de categorías, pulsa AQUÍ

Premios enaTIC 2016: mejor jurista digital

/en /por

¿Quién considera que ha sido el jurista que más ha aportado al Derecho Digital en 2016?

  • Alejandro Touriño. Abogado. Socio, Écija. (36%, 1.353 Votes)
  • Alejandro Sánchez del Campo. Regulatory counsel, Telefónica Digital. (34%, 1.270 Votes)
  • Iñaki Vicuña de Nicolás. Director del Centro de Documentación Judicial (CENDOJ). (19%, 708 Votes)
  • Elvira Tejada de la Fuente. Fiscal de Sala Coordinadora en materia de Criminalidad Informática. (5%, 195 Votes)
  • Julián Valero Torrijos. Profesor titular de Derecho Administrativo, Universidad de Murcia. (4%, 148 Votes)
  • Manuel Marchena Gómez. Magistrado del Tribunal Supremo. (1%, 32 Votes)
  • Giovanni Buttarelli. Supervisor Europeo de Protección de Datos. (0%, 13 Votes)

Total Voters: 3.719

Su voto ha sido registrado. Muchas gracias

Cargando ... Cargando ...

Para volver al listado de categorías, pulsa AQUÍ