Dic 15, 2018 | legislación, ciudadano, negocios, sanciones
Ha llegado la nueva Ley de Protección de Datos y Garantía Derechos Digitales 3/2018 que sustituye al provisional Reglamento General de Protección de Datos UE 2016 /679 y deroga la Ley de Protección de Datos de carácter personal 15/1999. Las principales diferencias entre LOPD y LPDGDD se basan en una ampliación de la anterior Ley, corrigiendo muchos aspectos en relación a la defensa de los datos de los ciudadanos
Todo lo que hacemos día a día, tiene algún efecto sobre nuestra privacidad aunque no seamos conscientes de estos detalles. La existencia de un nuevo reglamento que regule todo lo que ocurre con nuestros datos a nivel internacional, debido al carácter transfronterizo que tiene Internet, da respuesta a nuevos retos que hasta ahora no estaban contemplados.
¿Qué es la LPDGDD?
El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos (RGPD), que ha estado vigente de manera transitoria hasta la publicación en el BOE de la Nueva Ley de Protección de Datos y Garantía de Defensa Digital 3/2018 el pasado 7 de Diciembre.
La LPDGDD introduce nuevos elementos, que suponen nuevas obligaciones para las empresas y organizaciones de la UE.
Una de las principales novedades que plantea el nuevo reglamento, es en materia de sanciones, que son las sanciones de hasta un 4% de la facturación global anual o 20 millones de euros que se establecen, y por la relevancia de que para muchos negocios de publicidad digital, por vez primera, será necesario cumplir con las normas de protección de datos.
-
Obligaciones para la empresa
El primer paso que todas las empresas deberían ejecutar, es identificar y analizar las áreas de riesgo y documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. Este enfoque exige una proactividad por parte de cada organización para analizar estos aspectos, determinar los riesgos y en función de su nivel, establecer las medidas necesarias para minimizarlo.
En los casos en los que se detecten tratamientos con un alto riesgo cara a los derechos y libertades de los interesados, deberá realizarse adicionalmente una Evaluación de Impacto sobre la Protección de Datos (EIPD) e introducir las medidas necesarias para la mitigación de los mismos.
Esta obligación también se extiende a lo que conocemos como brechas de seguridad, que pueden tener importantes consecuencias, por lo tanto, las empresas deben asegurarse de poner en marcha todos los procedimientos que permitan detectar, informar e investigar una brecha de seguridad.
-
Derechos para los usuarios.
La LPDGDD amplía los derechos con la limitación de tratamiento a los datos indispensables para prestar un servicio y una vez acabado tendrán que dejar de utilizarlos, pero también regula una serie de derechos adicionales a los tradicionales ARCO, de tal forma que los usuarios tendrán: (1) Consentimiento libre, específico, informado e inequívoco. No se aceptará el consentimiento tácito o por omisión; (2) Derecho de acceso: Se puede ahora obtener una copia de los datos personales que se estén tratando. (3) Derecho al olvido. (4) Los interesados pueden solicitar que cesen las operaciones de tratamiento de sus datos. (5) Portabilidad. Los interesados podrán recibir los datos personales que han proporcionado a un responsable del tratamiento, en un formato estructurado, de uso común y legible.
Finalmente, el Reglamento introduce una figura nueva que es el Delegado de Protección de Datos (DPD). La LPDGDD estipula que uno de los criterios para decidir si es necesario designar un delegado de protección de datos es cuando las actividades principales del responsable o del encargado requieran una “observación habitual y sistemática de interesados a gran escala”.
El DPD puede ser, sin ir más lejos, un trabajador de la entidad o un consultor externo, encargado de comprobar y registrar el tratamiento que se realiza de los datos personales dentro de la organización.
Para ayudar en este tema, la Agencia Española de Protección de Datos ha puesto a disposición de todas las organizaciones, guías y herramientas para ayudar en la adecuación a La LPDGDD
Dic 15, 2018 | legislación, ciudadano
Nuestra imagen, bien sea una foto o aparezca en un vídeo, es un dato personal. La difusión de imágenes o vídeos publicados por internet sin nuestro consentimiento, sobre todo redes sociales, es un tema muy debatido y sobre el que existe un gran desconocimiento.
Tenemos derecho a que nuestros datos personales (fotos y vídeos), si son mostrados de manera inadecuada o excesiva, se supriman si lo solicitamos adecuadamente.
Podemos requerir la eliminación de fotos o vídeos publicados en internet, dirigiéndonos al responsable donde aparezca nuestra imagen, y tras acreditarnos debidamente, ejercer nuestros derechos ARCO.
Si el responsable no responde o dicha respuesta no es la adecuada, podremos solicitar amparo a la Agencia Española de Protección de Datos, la cual podrá abrir expediente al presunto infractor.
Qué podemos hacer
- Como primer paso, ejercer el derecho de cancelación si somos afectados directos o padres o tutores legales en caso de menores de 14 años.
- Para ello, lo aconsejable es contactar con la persona o responsable que subió el contenido solicitando que elimine nuestra imagen. En este caso, al dirigirnos a la empresa u organismo que está mostrando nuestra imagen (la red social o página web en la que se han publicado), debemos acreditar nuestra identidad e indicar los enlaces que contienen los datos que queremos cancelar (las url o direcciones web).
- Nos deben responde en un plazo máximo de diez días. Si transcurre ese plazo sin que nos respondan de forma expresa, concreta y fehaciente, o consideramos que esa respuesta no satisface nuestros derechos, podemos solicitar una reclamación de tutela ante la Agencia de Protección de Datos, aportando el justificante de haber solicitado antes la cancelación de nuestra imagen.
- Es fundamental haber reclamando antes a quien haya utilizado nuestra imagen, ya que si no ejercemos el derecho de cancelación ante quien está tratando/difundiendo nuestras imágenes o vídeos, la Agencia no podrá ayudarnos.
Las redes sociales que todos utilizamos, disponen de protocolos para que podamos comunicar vulneraciones de privacidad o contenidos inapropiados mediante sus propios formularios o enlaces:
Facebook
Ofrece un servicio de ayuda para avisar de fotos o vídeos que puedan vulnerar el derecho a la protección de datos y ofrece varias opciones en función de las circunstancias de cada caso concreto. Podemos denunciar una conducta abusiva mediante el enlace Denunciar, que aparece situado junto a la mayoría de los contenidos publicados en Facebook.
Google
Dispone de un enlace web desde la que se puede solicitar la retirada de información de sus diferentes servicios. En el caso de YouTube, se ofrecerán diferentes opciones si existiera abuso o acoso, vulneraciones de privacidad, contenidos sexuales y/o violentos.
Youtube
Si creemos que un vídeo colgado en YouTube incluye contenidos inapropiados, podemos utilizar el icono con forma de bandera (Denunciar) para avisar a Google y que así proceda a su revisión.
Twitter
Nos permite utilizar diferentes opciones para informar sobre aspectos como la publicación de información privada, la usurpación de identidad, el acoso o la publicación de vídeos ofensivos.
Instagram
Cuenta con una página desde la que se puede denunciar contenido publicado por terceros sin nuestro consentimiento y que pueda estar incluyendo información personal. También nos permite informar si observamos conductas abusivas o casos de acoso.
Por último, tenemos derecho a solicitar, bajo ciertas condiciones, que los enlaces a nuestros datos personales no figuren en los buscadores como Google, Bing, etc.
La sentencia del Tribunal de Justicia de la UE confirmó, que tenemos derecho a limitar la difusión universal e indiscriminada de nuestros datos personales en los buscadores, bien porque la información es obsoleta o carece de interés público, aunque la publicación original en boletines oficiales está permitida.
Nov 27, 2016 | legislación, ciudadano
En cada Comunidad de Propietarios existe al menos un fichero de datos personales: el de los propios integrantes de la Comunidad.
No importa si es un bloque de 20 pisos, casas adosadas, si la forman 40 vecinos o únicamente 2. La Ley Orgánica de Protección de Datos (LOPD) establece que donde haya nombres de personas, existe un fichero de datos aunque no se encuentren en un ordenador.
En el caso de los bloques de pisos, existe la figura del Administrador de Fincas, y aunque no está obligado, es quien debe ocuparse que la Comunidad cumpla con la Ley de Protección de Datos, ya que cobra por asesorarla.
Las Comunidades gestionan datos de carácter personal, como cualquier otra organización o empresa (nombre de los propietarios, teléfono de contacto, dirección particular, DNI., email, etc.) y cada uno de los vecinos que ostentan el cargo de Presidente, es responsable de dichos datos (Art. 3 de la LOPD).
En resumen:
El Presidente (cada vecino que lo haya sido) es : RESPONSABLE DEL FICHERO de los datos de los vecinos.
El Administrador de Fincas es: ENCARGADO DEL TRATAMIENTO de dichos datos
¿Esto puede repercutir legalmente? Por supuesto que si. La Comunidad de Propietarios puede ser demandada incluso por un mismo vecino, si los datos de los propietarios aparecen por algún lado que no deban. Lo más habitual, es que el propio Administrador se encargue de su custodia en sus oficinas y contar con las medidas de seguridad adecuadas, las cuales deben constar por escrito en el momento de su contratación, sin olvidar que la Comunidad debe tener obligatoriamente, por Ley bajo pena de ser sancionada económicamente, su propio DOCUMENTO DE SEGURIDAD, que deberá estar a disposición de la Agencia de Protección de Datos en posibles reclamaciones y/o denuncias.
Más adelante, repasaremos los dos grandes motivos por los que las Comunidades de Propietarios son denunciadas:
- las convocatorias de Asamblea de vecinos donde aparecen los nombres completos de los morosos
- las cámaras de videovigilancia.
Debemos recordar que la Comunidad de Propietarios, tan sólo por no estar inscrita en la Agencia de Protección de Datos, puede ser sancionada con importes que superan los 900€, al margen del motivo de la posible denuncia, lo cual incrementaría la cuantía de la sanción.
¿Está su Comunidad registrada en la Agencia de Protección de Datos?
¿Tiene el Documento de Seguridad?
¿Sabe lo que es?
¿Su Administrador de Fincas le ha dicho donde está?
Como Presidente, usted es RESPONSABLE
Nov 24, 2016 | sanciones, ciudadano
Las comunidades de vecinos desconocen las obligaciones de protección de datos. Protege tus datos
Las comunidades de vecinos desconocen las obligaciones que tienen que cumplir en materia de protección de datos. Las convocatorias publicadas en el tablón de anuncios o pegadas en los cristales de la entrada, así como el uso indebido de cámaras de videovigilancia, pueden suponer que un vecino pueda denunciar a la comunidad. No cumplir con la Ley Orgánica de Protección de Datos (LOPD), les puede acarrear sanciones económicas de hasta 600.000 euros.
Tablón de anuncios
Uno de los incumplimientos más recurrentes, es la publicación en el tablón de anuncios de datos de los propietarios morosos. Los propietarios tienen derecho a conocer quién tiene deudas con la comunidad y únicamente se puede informar de morosos en la convocatoria de la junta, ya que la Ley de le Propiedad Horizontal les impide votar durante su celebración, pero dichos datos no pueden ser expuestos en lugares donde pueden ser vistos por cualquier persona.
La publicación de la convocatoria en el tablón de anuncios con datos de morosos sólo estará justificada si no se ha podido notificar la deuda o el acuerdo de liquidación de la misma en el domicilio que tiene designado el propietario en España o, en su defecto, en el piso o local perteneciente a la comunidad, y se acredite este intento de comunicación.
Cámaras de videovigilancia
Las comunidades de propietarios que cuenten con sistemas de videovigilancia en sus zonas comunes (portales, jardines, garajes), deberán cumplir con lo estipulado en la LOPD y en la Instrucción 1/2006 de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
No se pueden instalar cámaras de videovigilancia sin inscribir el fichero correspondiente, se deben de colocar los carteles obligatorios donde se informa que la zona está siendo controlada por cámaras y las personas autorizadas a visualizar las grabaciones, deben estar autorizadas y registradas en el obligado Documento de Seguridad.
Nov 20, 2016 | ciudadano, legislación, noticias
Las empresas que emitan comunicaciones comerciales en donde aparezcan datos de carácter personal (carta nominativa, llamada telefónica, email, etc.), deben tener en cuenta que, el consentimiento que exigen la Ley Orgánica de Protección de Datos (LOPD) y la Ley de Servicios de la Sociedad de la Información (LSSI), ha de estar claramente definido y ser previo, específico e inequívoco.
La Ley de Protección de Datos de carácter personal, regula los derechos del ciudadano como receptor de dichas comunicaciones comerciales para evitar publicidad abusiva, y la posibilidad de solicitar al anunciante, el acceso, rectificación, cancelación y la oposición al uso de los mismos, es decir, protege a los ciudadanos ante el uso que las empresas puedan hacer de sus datos de carácter personal a la hora de enviar información comercial e impedir que continúe su recepción.
Por otra parte, la Ley de Servicios de la Sociedad de la Información regula la claridad que dichas comunicaciones comerciales deben cumplir, ya que deben estar plenamente identificados el anunciante, la actividad o el producto que se anuncia, las condiciones de la adquisición, incluso las de devolución aún siendo productos virtuales. Entre otros aspectos regula:
- La adquisición o contratación de bienes o servicios vía internet.
- El control de subastas por medios telemáticos en tiendas virtuales.
- Las compras en internet por particulares o grupos de personas.
- El envío de comunicaciones comerciales.
- El suministro de información por vía telemática (internet, sms).
- La transmisión de datos por internet o por telefonía.
Nov 17, 2016 | ciudadano, noticias
Cualquier usuario que gestione un blog, debe cumplir la Ley Orgánica 15/1999 de protección de datos de carácter personal (en adelante LOPD), en el momento que exista un formulario donde se recojan datos de carácter personal que puedan identificar a las personas.
Muchos bloggers, piensan que al no ejercer una labor comercial, están exentos del cumplimiento de la LOPD. Nada más lejos de la realidad.
¿Qué es un dato de carácter personal?
Según la definición de la LOPD, un dato de carácter personal, es cualquier información relativa a persona física identificada o identificable.
Si en un Blog se recogen únicamente direcciones de email para enviar publicaciones, comentarios o información no comercial, no se podrá saber a quien pertenece dicha dirección, por lo que en esos casos, no se debe cumplir con la obligación de inscribir el fichero de datos en la Agencia Española de Protección de Datos.
¿Pero que ocurre cuando en el formulario que existe en la web se solicita nombre, dirección y teléfono? ¿Y si en nuestro Blog los usuarios además de identificarse por su email, utilizan fotografías propias y son visibles para el resto de usuarios?
Entonces ya estamos hablando de datos personales mediante los cuales podemos identificar a personas físicas.
Se excluyen de la aplicación de la normativa de protección de datos y por tanto no serán considerados datos personales aquellos datos referidos a empresas, sociedades, asociaciones, organismos o a los propios trabajadores de una empresa.
¿El correo electrónico es un dato de carácter personal?
En este punto hay que tener un especial cuidado a la hora de tratar direcciones de correo electrónico. Si mediante dicho correo, puede identificarse a una persona física, entonces tendrá la consideración de dato personal. Obviamente entre todos los suscriptores a un blog o a una web, no podemos saber si seremos capaces de identificar a personas, si solo se está solicitando la dirección de email.
En cualquier caso, aun sin tener la obligación de inscribir nuestra base de datos de direcciones de correo electrónico en la Agencia Española de Protección de Datos, hay algunos aspectos fundamentales que estamos obligados cumplir si no queremos ser denunciados:
- No podemos hacer un uso indiscriminado de las direcciones email que disponemos.
- Estamos obligados a informar a nuestros suscriptores, que pueden darse de baja de dicha suscripción en cualquier momento y debemos facilitarle los enlaces para ello.
- No podemos ceder a terceros, sin consentimiento de nuestros suscriptores, las direcciones de email que hemos recabado mediante nuestra Web o Blog.
- No podemos hacer un uso comercial de dichas direcciones sin cumplir con la Ley que regula el comercio electrónico LSSI 34/2002 de servicios de la sociedad de la información y de comercio electrónico.
Requisitos legales que debe cumplir un Blog
Si no queremos tener problemas y evitar ser denunciados por cualquier usuario de nuestro Blog, siempre que los datos que se manejen en nuestro Blog puedan considerarse de carácter personal porque permitan identificar a una persona, aconsejamos cumplir con los trámites de adaptación de nuestra página web a la Ley de Protección de Datos 15/1999 aunque no ejerzamos actividad comercial.
Debe estar conectado para enviar un comentario.