Dos años para hacer los deberes en protección de datos.
El nuevo Reglamento General de Protección de Datos ya es una realidad. No entra en vigor hasta el año 2018 pero los expertos en Derecho Digital aconsejan a las empresas que empiecen a hacer los deberes para no llevarse un buen susto en un par de años.
Porque el nuevo reglamento contiene novedades que afectan a todas aquellas empresas que traten datos de carácter personal, desde la pequeña consulta de un dentista hasta una multinacional de cualquier sector. ¿Podemos concretar estas novedades? “Fundamentalmente se trata de un cambio de cultura, huyendo de formalismos y hacia una verdadera cultura de la privacidad de la protección de datos”, explica Paz Martín, directora del departamento de Derecho Digital de Herrero & Asociados. “Se traduce en un cumplimiento real de la transparencia en el tratamiento de datos. Cómo se recogen estos datos, qué se hace con ellos, para qué se utilizan y cuál va a ser su destino. Precisamente para evitar que el fenómeno del ‘big data’ sea utilizado sin el consentimiento y conocimiento de los interesados”, apunta Martín.
Está claro que si todos pensábamos que esta ‘transparencia’ y ‘protección’ en nuestros datos ya se hacía a día de hoy estábamos equivocados. De ahí el nuevo reglamento, que se endurece en cuestiones como el consentimiento tácito, las cláusulas de información o las evaluaciones de impacto, entre otras.
Llama la atención el consentimiento tácito porque, hasta ahora, según Martín, “el que se admite en algunos casos en nuestra legislación actual ya no va a servir, el nuevo reglamento se aleja de él y convierte este consentimiento en inequívoco, expreso, en un acción afirmativa y clara del usuario dando el consentimiento para que se haga el tratamiento de datos que la empresa también tendrá que especificar”. Esta es otra de las novedades: no es lo mismo que una empresa recoja nuestros datos para vendernos un producto que para construir una base de datos. “Esto el usuario lo tiene que saber. Todos somos consientes de que la gente en general no se lee los avisos legales pero va a ser muy difícil simplemente con eso demostrar que se está cumpliendo con esa nueva legislación”, asegura Martín.
Esta separación de finalidades y su inclusión en la web es una de las cosas que las empresas pueden empezar a crear en sus sites. También las cláusulas de información, esa primera barrera donde las empresas le están diciendo al usuario o, atención, al empleado, qué va a hacer exactamente con sus datos. Solo con cláusulas claras, podremos dar nuestro consentimiento inequívoco al uso de nuestros datos.
Antes, sin embargo, las compañías deberán realizar las llamadas evaluaciones de impacto. “La evaluación de impacto es un análisis previo, una especie de revisión o de auditoría antes de hacer cualquier tratamiento de datos en determinadas circunstancias o que afecten a una gran cantidad de datos o a unas categorías que el propio reglamento establece sobre qué impacto va a tener ese uso de datos en la privacidad del usuario que los cede”, cuenta Martín...LEER NOTICIA COMPLETA.
Implicaciones del Brexit en materia de protección de datos y transferencias internacionales de datos.
El resultado del referéndum sobre la permanencia de Reino Unido en la Unión Europea ha suscitado dudas a las empresas en cuanto al panorama regulatorio en la situación que se aproxima, sobre todo en lo que respecta a la adaptación de las compañías de Reino Unido al nuevo Reglamento General de de Protección de Datos.
Teniendo en cuenta que quedan menos de dos años para que se empiece a aplicar el Reglamento General de Protección de Datos (RGPD) y que Reino Unido aún no ha activado el mecanismo previsto en el artículo 50 del TUE, momento tras el cual se inicia un periodo de negociaciones de hasta dos años para la salida de la UE, tendremos un periodo en el que el RGPD será de aplicación en Reino Unido, por seguir siendo parte de la UE. Si el artículo 50 no se activa hasta octubre de 2016, como se está diciendo, este periodo de aplicación será de al menos seis meses y las empresas en Reino Unido deberán cumplir con las obligaciones del RGPD. Además, una vez se produzca la salida de Reino Unido de la UE y aunque se derogue el RGPD, habrá empresas que tendrán que seguir cumpliendo con las obligaciones del RGPD por serle éste de aplicación en el caso en que ofrezcan bienes o servicios en la UE o bien controlen el comportamiento de ciudadanos de la UE.
En definitiva, las empresas del Reino Unido deben seguir preparándose para la entrada en vigor del RGPD, ya sea para cumplir con sus obligaciones en el periodo que vaya desde el 25 de mayo de 2016 y hasta la salida efectiva de Reino Unido de la UE, o para cumplir con sus obligaciones tras la salida de la UE si el RGPD les sigue siendo de aplicación.
Pero las dudas relacionadas con el mundo de la protección de datos de carácter personal tras la victoria del leave en el referéndum no solo han surgido para las empresas de Reino Unido, sino que también han surgido en las empresas españolas que realizan transferencias de datos a Reino Unido, ya que una vez se produzca su salida de la UE pueden ser consideradas como transferencias internacionales de datos fuera del EEE y por lo tanto solo estarán permitidas si el país de destino ofrece una protección adecuada de los datos de carácter personal con la autorización previa de la Directora de la Agencia Española de Protección de Datos (AEPD), a no ser que la Comisión Europea confirme que Reino Unido ofrece un nivel adecuado de protección.
Teniendo en cuenta que lo más probable es que Reino Unido abandone la UE después del 25 de junio de 2016, desde este momento y mientras sea de aplicación el RGPD, las transferencias de datos se pueden realizar sin necesidad de solicitar autorización de la Directora de la AEPD. Desde el 25 de junio de 2018 y hasta la salida de Reino Unido de la UE, las transferencias de datos podrán realizarse también sin mayores requisitos a Reino Unido al ser de aplicación el RGPD. Una vez salga Reino Unido de la UE, si la transferencia de datos está basada en una decisión de adecuación de la Comisión Europea, también podrá realizarse sin más requisitos.
Es indudable que Reino Unido pretende ser considerado como un país que ofrece un nivel adecuado de protección por la Comisión Europea. Para que la Comisión Europea considere que Reino Unido ofrece tal nivel de protección, éste debe ser similar al nivel de protección que ofrece el nuevo RGPD, pero es bastante improbable que Reino Unido empiece a redactar una nueva ley de protección de datos, teniendo en cuenta que se aproxima uno de los momentos legislativos más ajetreados de su historia, solamente para ser considerado como un país que ofrece un nivel adecuado de protección de los datos de carácter personal. Será mucho más sencillo, eficiente, y también más probable que Reino Unido adopte el nuevo RGPD y sea así considerado como un país que ofrece un nivel adecuado de protección a los datos de carácter personal.
El escenario por tanto más complicado para que las empresas en España realicen transferencias de datos a Reino Unido será aquel que va desde su salida de la UE hasta que la Comisión Europea dicte una decisión de adecuación respecto de Reino Unido. Pero no todo son malas noticias para las empresas en España en cuanto a las transferencias internacionales de datos a Reino Unido. El RGPD establece que no se podrán exigir autorizaciones por parte de los Estados Miembros para realizar transferencias internacionales de datos, si la transferencia se realiza mediante las garantías adecuadas que enumera el propio reglamento.
Los mecanismos más comunes para aportar las garantías adecuadas a las transferencias internacionales de datos a las que se refiere el RGPD, que además ya se utilizan en España para facilitar la autorización de la transferencia, y que a partir de mayo de 2018 serán suficientes para realizar la transferencia sin autorización, son las Normas Corporativas Vinculantes, un instrumento desarrollado y favorecido por la UE para legitimar las transferencias internacionales de datos entre las empresas que conforman un mismo grupo, y las Clausulas Tipo de la Comisión Europea, ya que se considera que los contratos celebrados de acuerdo con lo previsto en estas cláusulas establecen las garantías adecuadas para proteger los datos transferidos.
Pero en el RGPD se incorporan también otros mecanismos que aportan las garantías adecuadas a las transferencias internacionales de datos, como son, entre otros, los códigos de conducta o los mecanismos de certificación y que, una vez sea de aplicación el RGPD, serán suficientes para realizar transferencias internacionales de datos sin necesidad de autorización por la AEPD.
Teniendo en cuenta lo anterior se pueden dar dos situaciones en las que las empresas deberán prestar especial atención a la hora de realizar transferencias internacionales de datos a Reino Unido. La primera y más improbable, es aquella en que la salida de Reino Unido de la UE se produzca antes del 25 de junio de 2018, en cuyo caso, desde la salida de la UE y hasta la aplicación del RGPD las transferencias internacionales de datos de España a Reino Unido requerirían autorización de la Directora de la AEPD, a no ser que se aplicase alguna de las excepciones previstas en la Ley Orgánica de Protección de Datos (incluso si se aportan Clausulas Tipo o Normas Corporativas Vinculantes).
La segunda situación en la que las empresas deberán prestar atención a la hora de realizar transferencias de datos a Reino Unido es aquella en la que la salida de la UE de Reino Unido se produzca después del 25 de mayo de 2018; en este caso, entre el momento en que Reino Unido salga de la UE hasta que la Comisión Europea dicte una decisión de adecuación respecto de Reino Unido, se deberán aportar las garantías adecuadas a través de los mecanismos que establece el RGPD como son las ya mencionadas Normas Corporativas Vinculantes, Clausulas Tipo, códigos de conducta o mecanismos de certificación, entre otros. En este caso, siempre que se utilicen los mecanismos establecidos en el RGPD, la AEPD no podrá exigir autorización para la transferencia...LEER NOTICIA COMPLETA.
El sistema operativo, investigado en Europa Vuelve la pesadilla de privacidad a Windows 10: cómo proteger tus datos de Microsoft.
Las agencias europeas de protección de datos están investigando cómo Windows 10 usa tus datos personales. Mientras exigen cambios, deberías hacer estos ajustes de privacidad en tu ordenador
Windows 10 cumple el próximo día 29 de julio un año de su lanzamiento y Microsoft vuelve a estar en el punto de mira por no respetar tu privacidad. Las críticas a la compañía por recabar demasiados datos de los usuarios surgieron por primera vez poco después del lanzamiento. Microsoft logró capearlas a finales del año pasado explicando por qué recolectaba tantos datos y prometió mejoras a la forma en la que puedes gestionar tu privacidad. Las mejoras, sin embargo, no han llegado como se esperaban y ahora Europa pide explicaciones. Hasta que Microsoft reaccione, hay algunos ajustes que puedes retocar en Windows 10 para proteger un poco más tus información.
Las agencias de privacidad de media Europa tienen a Microsoft en el punto de mira por dos motivos principales: por recabar demasiada información de los usuarios y por no pedir permiso expreso antes de hacerlo. En lugar de hacerlo, la compañía entierra en los términos de uso de Windows 10 explicaciones clave que debería resaltar por separado. La agencia de protección de datos francesa, CNIL, ha pedido directamente a la compañía que cese su recolección masiva de información personal, y en España la AEPD también está investigando a los de Redmond, aunque no ha anunciado todavía medidas ni exigencias concretas.
¿Qué se puede hacer mientras tanto? Si no lo has hecho ya, deberías retocar algunas configuraciones tanto antes como después de instalar Windows 10.
Antes de la instalación
Si eres de los que todavía no te has decidido a instalar Windows 10 y tienes el 7 u 8.1, date prisa: Windows 10 dejará de ser gratis el próximo viernes 29 de julio. Cuando comiences la instalación verás una pantalla para "Comenzar rápidamente" que te permitirá hacer una instalación 'exprés'. No aceptes. Dale a la opción de "Personalizar configuración" y asegúrate de que todo lo que aparece (todo) está desactivado.
Al seleccionar "Personializar configuración", verás todas las opciones activadas por defecto. Opciones como enviar a Microsoft detalles de contactos y calendarios, permitir a las aplicaciones que usen tu identificador de publicidad, o conectarse automáticamente a las redes WiFi abiertas sugeridas. Desactiva todo. Es también recomendable que no te des de alta con una cuenta de Microsoft, si no que esquives ese paso directamente y utilices tu correo actual (personal o de trabajo). Cuantas menos cuentas "conectadas a la nube" tengas, mejor.
Si ya has instalado Windows 10
Es probable que ya tengas instalado Windows 10 en tu equipo, por lo que en este caso toca ir a la sección de Configuración y, en esencia, comenzar a desactivar opciones si no las tienes ya desactivadas por defecto. No te llevará más de 10 minutos, pero es importante para que tu ordenador no se convierta en un emisor constante de datos hacia los servidores de Microsoft.
Tendrás que ir al Menú de inicio > Configuración y seleccionar la opción de Privacidad, la del candado. Lo mejor es empezar por la pestaña de "General", en la que deberías desactivar todo. Lo único que puedes dejar sin marcar con tranquilidad es la última opción, "Dejar que los sitios web ofrezan contenido relevante a nivel local", pensado para ofrecerte información localizada en otros idiomas. No hay peligro de transferencia de datos personales
Lo siguiente: Ubicación. Lo miso: desactiva todas las opciones. Windows 10 necesita conocer tu localización para "personalizar" la experiencia que ofrece, sobre todo a nivel de aplicaciones. Desde el portátil (o el PC) esto no es tan relevante (es más útil desde el móvil), por lo que puedes desactivar la opción general de "Ubicación" y luego comprobar aplicación por aplicación si realmente vas a sacar partido a esta opción. Por ejemplo, si utilizas Bing como buscador o los mapas de Microsoft, puede tener sentido que lo dejes activado. Si no, todo fuera
El siguiente paso es uno de los principales, ya que controla el funcionamiento de Cortana y las búsquedas en Windows 10. Tendrás que ir a la pestaña de "Voz, entrada manuscrita y escritura" y, una vez allí, verás la opción "Dejar de conocerme", que es básicamente cómo se desactiva el dictado de voz en Cortana, el asistente virtual de Windows 10. Además de este paso, es importante que hagas otros ajustes relativos a Cortana y las búsquedas en el sistema operativo. Solo tienes que hacer clic en la barra de búsqueda junto al menú de inicio, seleccionar el icono de engranaje en el menú vertical izquierdo y, de nuevo, desactivar todo lo que aparece allí. Con esto anulas para siempre Cortana y evitas que Microsoft rastree tu historial de búsquedas para ofrecete (en teoría) mejores resultados. Esto último es algo que Google también hace y que, si utilizas Bing, puedes plantearte activar, pero si no, puedes dejarlo inoperativo sin problema.
De vuelta al menú de Privacidad general, deberías hacer otros ajustes extra en la pestaña de "Comentarios y diagnóstico". En la primera opción de "Windows debe solicitar mis comentarios", lo ideal es seleccionar "Nunca"; y en el apartado inferior de "Envío de datos de diagnóstico y uso a Microsoft", selecciona "Básico".
Hay otros aspectos fuera del bloque de "Privacidad" que también es importante ajustar. Sobre todo las opciones de conexión a redes WiFi. Tendrás que ir de nuevo al Menú de inicio > Configuración > Red e Internet y, allí, seleccionar "Administrar configuración de WiFi". Una vez dentro, desactiva ambas opciones, la de "conectarse a zonas con cobertura inalámbrica abiertas sugeridas" y la de "conectarse a las redes que mis contactos comparten"....LEER NOTICIA COMPLETA.
A Coruña:El 091 denuncia al Ayuntamiento ante Protección de Datos por el despliegue de San Juan.
El 091 informa a la Agencia de Protección de Datos de que personas que no eran policías ni de seguridad privada visualizaron las grabaciones
La Policía Nacional ha denunciado al Ayuntamiento ante la Agencia de Protección de Datos porque sostiene que incumplió la ley de videovigilancia durante el dispositivo de seguridad de la noche de San Juan. El 091 comunicó a la Agencia y a la Comisión de Videovigilancia de Galicia la infracción que asegura que cometió el Ayuntamiento al permitir que personas que carecían de autorización tuviesen acceso a las imágenes en directo que grababan las cámaras instaladas en el paseo marítimo para prevenir la comisión de delitos, principalmente hurtos, y facilitar la intervención de la Policía Judicial de la Policía Nacional en caso de ser necesaria.
La Policía Nacional indica en su informe que la unidad donde se encontraban las pantallas de visualización carecía de control de accesos y que la puerta estaba "permanentemente abierta". En el documento que el 091 remitió a la Agencia Española de Protección de Datos señala que entraba "ocasionalmente" personal ajeno a las Fuerzas y Cuerpos de Seguridad y a los servicios de seguridad privada, los únicos que por ley tienen derecho a visualizar las imágenes. Además, subraya que en su interior se encontraban "casi permanentemente" tres personas observando las pantallas, quienes fueron identificadas por la Policía Nacional, que comprobó que no pertenecían a los colectivos a los que la normativa autoriza a ver las grabaciones.
El 091 apunta al Concello como responsable porque, según el pliego de condiciones del contrato firmado con la empresa encargada del sistema de videovigilancia, es quien debería haber controlado que no se cometiese ninguna infracción. En caso de que la Agencia de Protección de Datos concluya que el Ayuntamiento incumplió la normativa dictaría una resolución en la que indicaría el tipo de falta...LEER NOTICIA COMPLETA.
Microsoft, en el punto de mira de la AEPD por la dudosa privacidad de Windows 10.
Microsoft, en el punto de mira de la AEPD por la dudosa privacidad de Windows 10
Francia ha exigido al gigante informático que cumpla la normativa europea respecto al tratamiento de datos privados. Y la agencia española lo está estudiando
La Agencia Española de Protección de Datos (AEPD) tiene a Microsoft en el punto de mira. ¿El motivo? Existe preocupación relacionada con Windows 10 y el tratamiento de los datos de los usuarios. "La AEPD está estudiando el funcionamiento de Windows 10", explican fuentes de la agencia después de que su homólogo francés, la Commission Nationale de l'Informatique et des Libertés (CNIL, en sus siglas en inglés), haya exigido a Redmond en las últimas horas que debe acatar las leyes francesas de protección de datos en un plazo máximo de tres meses.
La vigilancia de la AEPD sobre Microsoft surge de las dudas sobre la información que recoge el sistema operativo. La agencia asegura que este es un proceso que se pone en marcha de manera "habitual", cuando "surgen inquietudes con respecto al impacto sobre la privacidad y la protección de datos de los ciudadanos de determinados productos o servicios".
Esas inquietudes las ha materializado la Commission Nationale de l'Informatique et des Libertés, CNIL en sus siglas en inglés, que en las últimas horas ha publicado un comunicado en el que enumera algunos problemas de privacidad detectados en Windows 10: recolección de datos irrelevantes y excesivos, fallos de seguridad, ausencia del permiso expreso del usuario, imposibilidad de bloquear las 'cookies' así como el envío de información personal a Estados Unidos, un protocolo conocido como 'Safe Harbour', y que la Unión Europea prohibió en octubre de 2015.
Joaquín Muñoz, abogado especialista en protección de datos, recuerda que la directiva francesa y la española se rigen por "el principio de calidad de los datos". Esta idea se sustenta sobre la base de que "sólo se pueden recopilar los datos necesarios para cumplir con la finalidad del servicio que se presta". En el caso de Microsoft, esos datos deberían estar ligados al correcto funcionamiento del sistema operativo, Windows 10, y... poco más.
¿Qué dice Microsoft? Fuentes de la firma estadounidense aseguran a Teknautas que cumplen absolutamente "con los certificados de la AEPD". La compañía se vio obligada a lanzar un comunicado para salir al paso de las acusaciones de las autoridades galas en el que asegura que han implementado "fuertes medidas para proteger la privacidad de Windows 10" y se ofrece para colaborar de manera estrecha con la CNIL para encontrar soluciones que agraden a la comisión.
Si quieren recabar datos con una finalidad concreta, como puede ser el envío de publicidad, necesitan que el usuario acepte expresamente
Frente a la acusación de seguir transfiriendo información de Europa a Estados Unidos bajo el acuerdo anulado 'Safe Harbour', Microsoft también asegura que ha trabajado bajo ese marco legal hasta la fecha por los compromisos adquiridos pero recalca que siempre ha apoyado el nuevo acuerdo de transmisión de datos, llamado 'Privacy Shield', y aprobado el pasado 12 de julio. La compañía emitirá un comunicado en agosto en el que espera detallar su intención de adherirse a este nuevo protocolo de intercambio de información.
Información para enviar publicidad personalizada
El comunicado del CNIL deja entrever que la compañía estadounidense ha ido más allá en la recolección de datos. "Cuando Windows 10 se instala, se activa una ID vinculado a la publicidad que permite que Windows y otras 'apps' de terceros puedan monitorizar los hábitos del usuario para ofrecer publicidad personalizada sin haber obtenido el consentimiento del usuario", explica.
La normativa francesa "exige que el principio de calidad esté relacionado con el consentimiento del usuario", ilustra Muñoz. "Si quieren recabar datos con una finalidad concreta, como puede ser el envío de publicidad con fines comerciales, el usuario ha de aceptar expresamente que esos datos se traten así". Ese es uno de los puntos que ha hecho saltar las alarmas en Francia
El comunicado de la CNIL hacé hincapié justo en ese punto explicado por Muñoz y que quedará reforzado en 2018 cuando entre en vigor el nuevo reglamento europeo de protección de datos. "El propósito no es prohibir la publicidad sino que el usuario esté bien informado de sus derechos", prosigue Muñoz, que recuerda que uno de los puntos del futuro reglamento establece que "se presume que el consentimiento no se ha dado libremente cuando no se permite autorizar por separado las distintas operaciones de tratamiento de datos personales".
Dicho en otras palabras, Microsoft, y cualquier otra compañía, está obligada a presentar un documento en el que consiga autorización expresa para utilizar información con fines comerciales y no puede escudarse en haberlo escondido dentro de unos términos y condiciones de uso generales que ningún consumidor se detiene a leer al instalar un sistema operativo o un programa.
El propósito no es prohibir la publicidad sino que el usuario esté bien informado de sus derechos
Francia ha lanzado la primera piedra contra el tejado de Microsoft y la AEPD ya ha anunciado un estudio sobre el impacto del sistema operativo en la privacidad de los consumidores español...LEER NOTICA COMPLETA.