Nueva normativa de protección de datos
En mayo de 2018 entrará en vigor el Reglamento General de Protección de Datos (RGDP) con importantes cambios para las empresas.
l nuevo reglamento europeo ofrece a los consumidores un mayor control sobre su información privada al eliminar el consentimiento tácito, garantizando un acceso más fácil del interesado a sus datos personales y regulando el derecho al olvido. También le permite la posibilidad de oponerse al uso de datos personales para crear perfiles o solicitar la portabilidad de los datos de un prestador de servicios a otro.
Además, amplía el concepto de dato personal a prácticamente todo tipo de información, incluidos los identificadores únicos (como las cookies) y la dirección IP. E incrementa las sanciones para quienes incumplan las normas: las más graves pueden alcanzar los 20 millones de euros o el 4% de la cifra de negocio anual total de la empresa. Estos son los principales cambios que conviene tener en cuenta para no incurrir en sanciones.
Consentimiento previo
Como hemos dicho, el nuevo reglamento ya no permite el consentimiento tácito, por lo que las empresas tendrán que explicar de forma más clara las condiciones y los términos en los que se hará uso de su información personal. El usuario debe dar su consentimiento expreso a través de un contrato (que podrá revocar en cualquier momento) y la empresa debe garantizar que los datos sólo se utilizarán para los fines para los que fueron recabados. Ese consentimiento expreso se exige, incluso, para elaborar perfiles comerciales, por lo que “la nueva normativa tendrá un impacto significativo en la publicidad digital”, tal y como advierten desde IAB.
Delegado de protección de datos
Otro cambio fundamental es que el nuevo reglamento especifica claramente las obligaciones de los responsables y de quienes tratan datos personales en su nombre. La empresa se hace responsable de la información con la que trabaja y debe evitar cualquier uso indebido o pérdida de datos. Las que traten datos personales que requieran un seguimiento periódico y sistemático de los interesados a gran escala tendrán que contratar a un data protection officer o delegado de protección de datos que será el encargado de aplicar las medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos que realicen.
Fallos de seguridad
En el caso de que se produzcan violaciones de datos personales, los responsables deben comunicarlo a la Agencia Española de Protección de Datos (AGPD) en un plazo de 72 horas; y a los afectados cuando exista algún riesgo para sus derechos.
Ventanilla única
La normativa unifica las exigencias de protección de datos en toda la Unión Europea y establece una única autoridad para resolver los conflictos transfronterizos (cuando se vean implicadas varias autoridades nacionales de supervisión...LEER NOTICIA COMPLETA.
Movistar: multa por utilizar “supercookies” sin permiso.
Hasta septiembre del año 2015, Movistar ha mantenido activado en todos sus clientes y para toda navegación que realizaran desde sus terminales móviles, una “supercookie” o identificador único que se enviaba en las cabeceras de navegación a cualquier página web que el cliente visitara, actividad que le ha supuesto una multa de 20 000 euros de la Agencia Española de Protección de Datos (AEPD por no informar ni obtener el consentimiento de sus clientes, informa Samuel Parra.
Esta iniciativa permitía la identificación técnica del cliente durante la navegación tanto para Movistar como para la web de destino, y Samuel Parra explica que utiliza el término “supercookie”, aunque no es el término técnico preciso en este caso, porque es la que utilizan en la resolución sancionadora a Movistar, y porque es el término que utilizó la persona que lo descubrió y denunció.
Desde un punto de vista técnico, no nos encontramos ante una “cookie” especial sino ante un “enriquecimiento de cabeceras” (header enrichment).
Cuando navegamos por páginas webs, ya sea desde un terminal móvil (un smartphone) o un ordenador de sobremesa, se producen numerosas comunicaciones entre la página web de destino que queremos visitar y nuestro dispositivo, comunicaciones que pasan también por nuestro proveedor de acceso a Internet. Entre esas comunicaciones están las “cabeceras” o headers en inglés, que se sitúan al inicio de la comunicación y que son necesarias para que ésta se establezca de forma correcta.
Estas cabeceras son de muy diversa índole y pueden servir para muchas cosas, por ejemplo, se pueden utilizar para indicar en la comunicación el idioma de trabajo y la web podrá mostrarme la versión española (si existe), en lugar de la versión inglesa que mostraría por defecto....LEER NOTICIA COMPLETA
La nueva regulación de protección de datos se adapta al mundo digital-Farmacia
AEPD regulacion datos en farmacias.
Aún faltan dos años para que entre en vigor la aplicación del nuevo Reglamento Europeo de protección de datos (RGDP), el 25 de mayo de 2018, pero los expertos recomiendan que las oficinas de farmacia ya comiencen a adecuarse a los nuevos requerimientos.
Esta nueva normativa sustituye a la Directiva del año 1995, cuando el uso de Internet no estaba tan extendido como ahora. Así, el objetivo del reglamento es armonizar y actualizar la legislación en torno a la protección de datos en los países de la Unión Europea, adaptándola a las nuevas tecnologías actuales, y dotar a los ciudadanos de un mayor control sobre su información privada, según indica a Diariofarma COFM Servicios 31 SLU, a través de De Lorenzo Abogados.
Por tanto, a partir de 2018, existirá un mayor control sobre la información privada de los ciudadanos, “quedando regulados, además, soportes y herramientas que hasta ahora no han tenido respaldo legal, como es el caso de los teléfonos inteligentes, las redes sociales, la conservación de la información confidencial que esté almacenada en la ‘nube’ y otro tipo de transferencias internacionales”, explican desde la consultoría Asefarma. En consecuencia, la nueva norma afectará sobre todo a las farmacias con presencia en el mundo digital.
Uno de los principales propósitos del Reglamento es la ‘responsabilidad activa’ por parte de las organizaciones, es decir, que lleven a cabo una prevención efectiva y haya una mayor implicación y grado de compromiso para la protección de datos, apunta Cristina Ribas, abogada directora del Departamento de Protección de Datos y nuevas tecnologías de la consultoría Aspime. Este objetivo se pretende conseguir “haciendo que las empresas, en este caso, las farmacias, adopten las medidas oportunas para que puedan asegurar de forma razonable que están en condiciones de cumplir el reglamento cuando traten los datos de los ciudadanos”.
Novedades en torno a los derechos de los interesados
Cumplir con la nueva ‘responsabilidad activa’ pasa por que las farmacias implanten medidas adicionales a las ya dispuestas en la Ley de Protección de Datos (LOPD) en cuanto a las estructuras, procedimientos y formas de tratar la información. Así, entre las novedades cabe destacar el refuerzo del consentimiento informado, de modo que ya no valdrá el consentimiento tácito. “Lo que se pretende es que el ciudadano sea consciente y entienda de qué forma y para qué la oficina de farmacia le pide sus datos personales”, subraya Ribas.
Para ello, se exigirá que dicha información se ofrezca de un modo conciso y con un lenguaje claro y sencillo. Además, en dicha información, se deberán indicar los datos de contacto del delegado de protección de datos (DPO) que la farmacia haya designado, que será una persona con conocimientos jurídicos y técnicos en materia de protección de datos que se encargará de supervisar y garantizar que la farmacia cumple con el reglamento. También deberá especificarse el plazo durante el cual se conservarán los datos y la posibilidad de que el interesado pueda presentar una reclamación ante una autoridad de control, entre otros. En definitiva, concluye esta experta de Aspime, “las oficinas de farmacia deberán revisar la forma en la que obtienen y registran el consentimiento de sus clientes”.
Medidas que afectan al ámbito digital
Respecto a internet, el RGDP incorpora nuevas herramientas de control para los titulares de los datos como el derecho al olvido, por el que los titulares pueden solicitar que sus datos personales sean suprimidos de los buscadores web, según precisan desde De Lorenzo Abogados, asesores de COFM Servicios 31 SLU. También se ha añadido el derecho a la portabilidad, que implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable.
También se establecen pautas respecto al desarrollo o implantación de programas informáticos, entre los que se encuentran los de gestión farmacéutica. En consecuencia, se exige una observancia de la privacidad desde el diseño y por defecto, es decir, que cualquier aplicación deberá contar con un cumplimiento estricto de la protección de datos desde el momento inicial del proyecto (desde el diseño) y, además, sólo podrán acceder a la información las personas físicas que lo requieran para el ejercicio de sus funciones. Para la directora del Departamento de Protección de Datos y nuevas tecnologías de la consultora Aspime, que la privacidad esté presente desde el diseño y por defecto es un aspecto especialmente importante para las farmacias que dispongan de página web, ya sea informativa o, más aún, si también vende productos a través de Internet.
“Por la categoría especial de los datos que se tratan en una farmacia, relativos a la salud, se deberá ser muy cuidadoso, y las farmacias con página web y con presencia en la red especial deberán tener especial atención”, afirma Ribas. En consecuencia, “habrá que revisar y adecuar dichas páginas que ya estén en activo y las que se vayan a crear”, concluye....LEER NOTICIA COMPLETA.
¿Quieres instalar una cámara en tu coche? Esto es lo que dice la ley sobre ellas
Instalar una cámara en el coche que grabe lo que ocurre mientras conduces y luego utilizar las imágenes para limpiar las calles de maleantes es una de esas ideas que quizá te haya rondado la cabeza. Pillar in fraganti al que te ha hecho una pirula en la calle, tener la escena metida en una tarjeta de memoria, y luego... que el peso de la Ley caiga sobre los hombros de ese irresponsable .
La idea mola, y es poéticamente justiciera. Sin embargo, dependiendo del caso puede que ese peso de la Ley nunca llegue a rozar al tipo ese que te la jugó en una rotonda o en un Stop. Incluso te podría suceder una movida digna de los Looney Tunes: que ese peso de la Ley rebotara en una cama elástica (un juicio) y hasta se te viniera encima... a ti. Todo eso, si no tienes en cuenta qué dice la Ley sobre las cámaras on board, cámaras a bordo del coche o dashcams. ¿Es legal o ilegal montar una cámara en el coche?
La pregunta es clara y directa, pero no parece existir una respuesta concisa. El terreno que pisamos es, aún en 2016, tan pantanoso como lo podía ser hace un decenio, por ejemplo. Ante la falta de respuesta por parte de la Agencia Española de Protección de Datos (AEPD), nos hemos puesto en contacto con dos abogados especializados en este ámbito: Joaquín Muñoz Rodríguez, del bufete Ontier, y David Maeztu, del bufete Abanlex.
Ante la cuestión sobre si son o no legales las cámaras a bordo, Maeztu se remite a las ocasiones en las que la AEPD se ha pronunciado, para deducir "que no, dado que se entendería que es una cámara que capta imágenes de espacios públicos". Lo ilustra con un ejemplo real que, dada su complejidad, veremos más adelante. De todas formas la conclusión, siguiendo la lógica de la AEPD a través de sus actuaciones, es que "no se puede poner una cámara para grabar la calle, pues se tomarían datos personales de terceros", según concreta Maeztu.
El criterio de la AEPD no va en la línea de lo que podríamos pensar intuitivamente cuando hablamos de las grabaciones particulares que realizamos con nuestra propia cámara.
Precisamente la complejidad que rodea a este asunto es la característica que destaca Joaquín Muñoz en primer lugar. Por buscar un poco de luz, también basándose en las ocasiones en las que la AEPD ha actuado, explica que en su opinión "la clave está en si la dashcam realiza una grabación continuada o bien es activada y desactivada puntualmente a decisión del usuario".
En el primer caso, con una cámara que grabara incluso con el coche aparcado, hablaríamos de videovigilancia. En el segundo, hablaríamos de una cámara que grabara sólo puntualmente y a petición del usuario, como quien quiere guardar para siempre el recuerdo de una excursión. Ese uso de las cámaras a bordo "se asemejaría más al uso de una GoPro o unas Google Glass", detalla Muñoz.
Ambos abogados coinciden en interpretar como usos domésticos y privados los que uno hace con una cámara hasta que utiliza las grabaciones de un modo concreto que trasciende esa esfera privada; por ejemplo, subiendo los contenidos a internet o utilizándolos para denunciar una infracción de tráfico. Sin embargo, tal y como añade Maeztu en referencia a los casos que se conocen hasta la fecha, "no parece que el criterio de la Agencia fuese por ahí".
La delgada línea roja entre la grabación privada y la videovigilancia El problema básico es que la AEPD no tiene publicado un criterio oficial. De hecho, están trabajando en ello y quizá un día consigamos una legislación clara. Pero mientras no la tengamos casi se hace necesario consultar caso por caso qué ocurre cuando uno lleva montada una cámara de este tipo en el coche. Una cámara que queda, según ilustra Muñoz, "justo al límite de la línea roja que separa una grabación de videovigilancia y lo que sería una grabación doméstica".
La AEPD se pronuncia cuando una grabación se sale del ámbito privado y entra de lleno en el terreno de la videovigilancia. Pero también se encarga de determinar si una grabación está en uno u otro ámbito, de manera que, a la práctica, se declara competente o incompetente ante cada caso que se le pueda presentar. Si la grabación es privada, la AEPD no tiene nada que comentar. En cambio, si se trata de videovigilancia, el responsable de la grabación tiene que cumplir con una serie de condiciones que, normalmente, el dueño de una dashcam no tiene en cuenta.
El asunto plantea dos cuestiones principales, por tanto, desde el punto de vista de la protección de datos de carácter personal y de la protección de la intimidad y la propia imagen. En primer lugar, habría que ver si la instalación de este tipo de cámaras es asimilable a una instalación de videovigilancia y, por tanto, si debe cumplir con los requisitos establecidos en la LOPD y, en concreto, en la Instrucción 1/2006 de la AEPD. Luego, en el caso de que no se considerase una grabación de videovigilancia sino una grabación doméstica o privada, habría que ver qué podría hacer el usuario con las imágenes captadas.
Maeztu explica que, empleando un criterio por el cual hacemos un uso particular de la cámara, "podríamos usar esas imágenes para un procedimiento judicial (demostrar la responsabilidad en una infracción, etcétera), pero no para ponerlas en internet o así. Los tribunales admiten como prueba las grabaciones en las que uno ha sido parte". Sin embargo, "con el criterio de la Agencia, tendríamos que considerar que las pruebas se han obtenido con vulneración de derechos fundamentales", ya que se han tratado datos personales sin autorización, por lo que podrían anularse en un juicio. "Es un asunto complicado y no especialmente bien resuelto", remata el abogado de Abanlex....LEER NOTICIA COMPLETA.
Las telecos quieren ser el guardián de tus datos (y por qué es una terrible idea)
Telefónica y Vodafone quieren convertirse en los máximos defensores de tu privacidad. ¿Cómo? Ayudándote a bloquear (si quieres) a Facebook, WhatsApp y compañía. Suena a broma, pero es real
"Se respira mucha frustración por aquí, ¿no?". La pregunta (retórica) provocó risas ayer entre la audiencia del 30 Encuentro de Telecomunicaciones de Santander. La hizo la periodista de Breaking Views Fiona Maharg-Bravo, quien moderaba un encuentro con los jefazos de las tres grandes operadoras del país: José María Álvarez-Pallete, presidente de Telefónica, Vittorio Colao, consejero delegado de Vodafone, y Stèphane Richard, de Orange. Era una reacción ante la embestida que se acababa de escuchar en la sala: el plan de Telefónica para erigirse en intermediario (no solicitado) entre Facebook, WhatsApp, Google y tú con el fin de proteger tu privacidad. Sí, la idea es tan descabellada como suena.
"Devolver los datos a los clientes". Telefónica y Vodafone, que se ha subido al carro de forma improvisada, repitieron ayer esta frase de forma recurrente para explicar su nueva estrategia. Ya que han perdido la esperanza de cobrar a los OTTs (WhatsApp y compañía), ahora van a intentar poner al usuario de su parte y convencerle de que no comparta con ellas su valiosa información. ¿Qué se supone que gana el usuario? Proteger su privacidad. ¿Y la operadora? Ahogar a sus rivales. Sin datos, sin información de los usuarios, no pueden personalizar la publicidad, y sin publicidad desaparecen.
Ya lo avisaba antes: es todo muy loco. En su afán de poner trabas a las tecnológicas, el planteamiento de Telefónica se lleva por delante de nuevo cualquier lógica de mercado. La operadora asegura que a finales de año dará más detalles sobre su 'master plan', que debería estar en marcha en algún punto de 2017. Mi apuesta: nunca funcionará. ¿Por qué?
WhatsApp, Facebook, Airbnb... YA son útiles
Ha sido uno de los argumentos de Álvarez-Pallete para justificar el desarrollo de la 'cuarta plataforma': "queremos que sea el cliente quien decida si comparte o no sus datos con terceros; para decidirlo, los OTTs tendrán que dar algo a cambio, no necesariamente un pago, sino un servicio adicional de valor", explicó ayer ante los medios.
Yo creía que eso era justo lo que venía ocurriendo desde hace años: a cambio de ceder parte de nuestros datos de forma anónima, WhatsApp es gratis, Facebook me conecta con amigos a miles de kilómetros y Google me deja trastear con sus fantásticos mapas. A juzgar por los millones de dólares que amasa Facebook, la popularidad de Instagram, o los ingresos de Google, el planteamiento es redondo. Por eso los operadores están frustrados. Otro tema muy diferente es que las tecnológicas se excedan en la cantidad de datos que recaban o en cómo los utilizan. Pero eso ya debería ser asunto de las agencias de protección de datos, no de las telecos.
¿Por qué se empeñan en decir que lo que ofrecen hoy los OTTs no es útil ni suficiente cuando millones de personas los usan justo porque les parece que sí? Es negar la evidencia y quedar al descubierto: lo que en la superficie se vende como un plan para proteger la privacidad de los clientes, en realidad está diseñado para utilizarlos como rehenes en su absurda trifulca con las tecnológicas.
Y esto, ¿cómo se hace?
Imposible encontrar una respuesta (de momento). Álvarez-Pallete dejó caer las grandes pinceladas de qué es lo que está haciendo ahora mismo Telefónica para poner en marcha esa mágica 'cuarta plataforma', pero faltan los detalles...LEER NOTICIA COMPLETA.