Entradas

La frase “El 25/05/2018, empieza a aplicarse el Reglamento General de Protección de Datos” últimamente se repite con cierto apuro. Quizá, nos falte explicar qué significa la frasesita, y porqué le debe importar a nuestros actuales y futuros clientes, y a todo aquel al que le afecte.

Empecemos por el principio. La normativa de protección de datos ha cambiado, así como suena. Ahora bien, ¡a Dios gracias’!, tenemos hasta el 25/05/2018, un plazo “prudente”, para cumplir con la novedad, el Reglamento General de Protección de Datos – 679/2016 UE, en adelante el RGPD.

Lo que conocemos hasta ahora, la Ley Orgánica, 15/1999, de protección de datos de carácter personal, y su reglamento de desarrollo el RD. 1720/2007, vienen de la una Directiva derogada por el RGPD, la 95/46/CE. Por tanto, el marco legal aplicable será el del RGPD. Todo de ahora en adelante, deberá modificarse para no contravenirlo. Es así como en este momento en España, estamos en medio del proceso de modificación de nuestra querida LOPD. En un post anterior, os comentamos las claves del anteproyecto de modificación.

Ok, todo cambia pero, ¿Qué es el Reglamento General de Protección de Datos?

El RGPD es una norma nacida en el seno de la Unión Europea, con el más alto rango normativo que puede tener una legislación comunitaria. El documento en que se publicó el contenido del RGPD se titula de la siguiente manera «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE» Ya con esto está todo dicho. O no.

El crear una nueva norma con forma de reglamento, no es casualidad. En primer lugar, se le quiso dotar de la superioridad normativa necesaria para ir por encima de las normas nacionales -que para aprobarlo todos estuvieron de acuerdo-. En segundo lugar, homogeneizar la normativa. Es decir todos los estados tenemos la misma legislación, o casi. En tercer y último lugar, se pretendía que la norma en su momento de en vigor, y en el inicio de su aplicación fuera directamente aplicable para todos, gobiernos y particulares.

El RGPD tiene como finalidad garantizar el derecho a la protección de datos de todos los ciudadanos.

¿A quién aplica el RGPD?

Como dijimos en el anterior párrafo, a todos. Ahora bien, a unos nos reconoce derechos, y a otros les impone obligaciones de hacer, o de no hacer. Por un lado, a los particulares, nos reconoce una serie de derechos, unos ya los teníamos, otros son casi nuevos. Por contra, a las empresas, profesionales y organismos públicos o privados, les impone una serie de obligaciones. Las obligaciones impuestas por el RGPD, pretenden proteger a las personas de las cuales las empresas tratan datos personales, garantizando sus derechos, y limitando sus usos y tratamientos.

Diferencias entre las obligaciones de la actual LOPD y el RGPD

Este post no pretende hacer un examen minuciosos de las reglas que cambian. Ya lo haremos luego, no os preocupéis. Así que a grandes rasgos, las diferencias entre lo que tenemos ahora, y lo que nos llega con el RGPD, son las siguientes:

Cumplimiento limitado a la Ley, vs. Cumplimiento activo.

Hasta ahora, para las empresas, cumplir la LOPD ha sido cosa de inscribir unos ficheros en el Registro General de Protección de Datos; poner las medidas de seguridad del RD 1720/2007 que nos apliquen; poner cláusulas, y firmar documentos. Y luego, que demuestren que he fallado.

Con el RGPD, se introduce el termino Acountability, o cumplimiento activo.  Se plantea el reto de la privacidad por defecto y por diseño. Son las empresas las que tienen que actuar proactivamente protegiendo los derechos de las personas de las cuales tratan, o podrían tratar datos personales. El cumplimiento del RGPD no se basa en una lista concreta de cosas para hacer, sino, de cosas para prever de forma activa. Ahora, se deberá demostrar el cumplimiento, si o si.

Medidas de Seguridad. Ahora, según evaluación de riesgos

Las medidas de seguridad que conocemos de nuestra LOPD y su reglamento de desarrollo, el RD 1720/2007, ya no estarán incluidas como tal en el RGPD. No habrá una lista concreta de medidas a aplicar, sino, que debemos llevar una gestión de riesgos de los datos personales que manejamos.  En este sentido se recomienda el uso, de los controles de seguridad de la familia ISO 27001.

Encargados de tratamiento. De menos a más responsabilidad.

Hasta ahora con la LOPD, se había establecido la obligación de firmar el contrato que exige el artículo 12, y alguna poca cosa más. Pero con el RGPD, las empresas deberán evaluar de forma activa el cumplimiento de sus proveedores. Deberán implementar un protocolo de contratación en el que el cumplimiento de la norma sea un requisito básico para contratarlos;  también el seguimiento de dicho cumplimiento, un requisito para el manteniendo del contrato. El contrato deberá ser más detallado a la relación concreta, los datos tratados, las finalidades y los tipos de tratamientos.  Por lo anterior, se trasladará una mayor parte de la carga del cumplimiento al prestador.

Registros de tratamiento en lugar de inscripción de ficheros. 

Ya no se notificarán ficheros a la AEPD. Ese tan conocido Registro General de Protección de Datos, al que las empresas notificaban los ficheros ; muchas veces era un mero tramite administrativo, vació de cumplimiento activo, ahora ya no existirá. La AEPD ha informado por activa y por pasiva, que pese a que tenemos que cumplir con esta obligación hasta el 24/05/2018, a partir de la entrada en vigor del Reglamento General de Protección de Datos, el 25/05/2018, ya no se deberá, ni se podrá seguir inscribiendo ficheros. 

Hay muchas más novedades, pero estas son las principales, y además, la idea era hacer corto este artículo. Así que seguimos

¿Cuando tenemos que empezar a cumplir?

Pues cuanto antes, en función de la actividad de la empresa, o de los datos que trate, o de las finalidades o cantidades de datos que tratemos. El caso es que el 25 de mayo de 2018, cuando el Reglamento General de Protección de Datos inicie su plena aplicación, todos los obligados deberán estár cumpliendo. En ese momento el RGPD será directamente aplicable y exigible a todos.

El día de inicio de aplicación del RGPD, o GDPR como son la siglas en inglés, todos los ciudadanos veremos alargada nuestra lista de derechos y herramientas para ejercitarlos, así que las empresas deberán estár listas para garantizar su respeto y ejercicio.

En resumen

El RGPD es el cambio más grande que hemos tenído en los últimos años, en matería de protección de datos. Estos dos daños que nos dierón desde su entrada en vigor, hasta el inicio de su aplicación ya se están agotando y hay que ponerse en marcha si ya no se ha hecho.

Esta norma se ha de afrontar en muchos casos como si de una norma ISO se tratara, o algo similar. Con mucho rigor, compromiso de la dirección y trazabilidad de todos los actos de cumplimiento. Ahora tenemos que demostrar que cumplimos; cumpliendo y registrando ese cumplimiento es como se consigue.

 

 

Comentario sobre la ST TEDH caso Barbulescu. Matices de la potestad de control laboral de recursos empresariales -informáticos o telemáticos-  por parte del empresario.

El pasado martes 5 de septiembre se publicó una Sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos, más conocido como TEDH. Hablamos del Caso Barbulescu VS Rumanía, que ya el año pasado, en enero del 2016, dio de sí muchos titulares.

En la Sentencia vemos la posición de la Gran Sala, luego de que en Abril del año pasado, el aplicante -Barbulescu- solicitára la revisión de la sentencia dictada por una de las salas del TEDH. La sentencia recurrida daba la razón al empleador que había despedido a Barbulescu por hacer uso de recursos informáticos de la empresa -el ordenador- para fines personales durante la jornada laboral.

Resumen. Consideraciones especiales del caso.

Distancia de los hechos y diferencias temporales

Tal como decía Xavier Rivas en una de sus publicaciones, hay que tener en cuenta que los hechos que suscitaron el pleito sucedieron en el año 2007. Hace 10 años, antes de que saliera el primer iPhone, antes de los dispositivos móviles casii ordenadores que tenemos hoy en día. Esta aclaración es importante debido a que entonces era mucho más difícil para un trabajador no hacer uso de los dispositivos de empresa para ver su correo, o para tener una conversación de chat. Hoy en día todos tenemos un móvil con conexión a internet, y con capacidad de lo antes dicho y mucho más. Con esto queremos decir que bueno, era una situación distinta.

El caso surgió por una cuenta de msn, no de correo electrónico

La mayoría de titulares que han comentado la noticia hablan del correo electrónico. Pero, el correo electrónico no es el único recurso de la empresa que es susceptible de ser usado para fines personales por parte de un empleado. También, y entre otros, entran ordenadores, móviles, tablets, impresoras, teléfono fijo, internet -sí, la wifi-, etc.

En este caso fue una cuenta de Yahoo msn personal, a la que el usuario accedió desde los dispositivos de la empresa. Por desgracia, debido a la monitorizacion de los sistemas informáticos que realizaba la empresa, como medida de controlar el absentismo presencial, esa última tuvo conocimiento de las conversaciones privadas del empleado. Y justo, ese carácter confidencial de las conversaciones a las que accedió la empresa es lo que suscito todo el lío.

Novedades a destacar sobre lo que ya se hacía en España

No hay muchas, salvo la de aclarar mejor el alcance en cuanto a recursos afectados, formas de monitorización y alcance de la misma. Por lo demás, en las sentencias que han venido saliendo de nuestro Tribunal Constitucional y del Tribunal Supremo queda claro que la ponderación de derechos, el juicio de proporcionaldiad, idoneidad, interés legítimo, etc. son requisitos indispensables.

Qué debemos tener en cuenta a la hora de aplicar el control laboral en el uso de recursos empresariales.

Diferenciación de dispositivos

La capacidad de control laboral referida a la monitorizacion, se refiere a los dispositivos y recursos de la empresa. No a los privativos de los trabajadores. Recursos tales, como correo electrónico, cuentas de mensajería, dispositivos móviles, ordenadores, impresoras, wifi, etc.

¿Cuándo podría verse afectado el trabajador?

Cuando utilice los dispositivos o recursos de la empresa con fines personales, sin consentimiento del empleador. Puede darse la situación que debido al cargo o las funciones del empleado, la empresa le permita el uso personal de los recursos. En esos casos la empresa debe marcar claramente el alcance y las excepciones de dicho control; o los permisos concedidos, da igual la formula. En situaciones de autorización, si hay monitorización de la actividad, es recomendable para el empleado usar carpetas identificadas como «Personal» para procurar su privacidad.

Requisitos antes para un correcto control laboral de recursos empresariales

Antes de poner en práctica una medida de control laboral o de uso de los recursos empresariales, se deben realizar una serie de juicios. Evaluaciones previas a la puesta en marcha de la medida. Se debe procurar de forma expresa la garantía de los derechos y libertades de los trabajadores; se debe evaluar la idoneidad, proporcionalidad, y mitigar al máximo posible las expectativas de privacidad del trabajador.

Cuando hablamos de expectativa de privacidad no nos referimos a matar derechos, sino a ser transparentes. Si el trabajador conoce los controles realizados por la empresa, también pondrá de su parte medidas para proteger su intimidad y privacidad. Concienciación, la llaman.

Juicios a realizar antes de poner en marcha una medida

  1. Derechos de los trabajadores. Es necesario conocer los derechos de los trabajadores, que podrían verse afectados con dicha medida. Valorar el nivel de afectación.
  2. Proporcionalidad. A partir del punto anterior, identificar si es proporcional realizar la medida prevista.
  3. Idoneidad. Si es idóneo, o si pudiera realizarse, una (punto siguiente)
  4. Búsqueda de medidas menos intrusivas, que garanticen la ponderación de los derechos del trabajador y las del empleador.
  5. Interés legitimo. Es necesario realizar un juicio de la identificación del interés en base al cual se toma la medida de control laboral. Especialmente de su correspondencia con la garantía de los derechos de los empleados.
  6. Modos de información previa. Pasados todos los juicios anteriores, habrá que identificar la forma idónea de informar a los trabajadores. Informar, formar y evitar las expectativas de privacidad son las claves de una correcta información a los usuarios. Cualquier modo encubierto podría dar problemas.

 Se debe informar:

  1. De la medida de control laboral de recursos empresariales que se realizará.
  2. El alcance concreto de la medida.
  3. Si existe monitorización de actividades, la forma en que se realizará, los contenidos, medios y recursos afectados.
  4. La base jurídica en el que se basa la realización de la medida. Hay que tener en cuenta, de forma especial lo relativo al artículo 20 del Estatuto de los Trabajadores.

¿Mi empresa puede ver mi correo electrónico?

Pues tal como aparece en una de nuestras preguntas frecuentes, sí. Al fin y al cabo es un correo de empresa, si te vas en muchos casos lo seguirá gestionando un compañero, o se redirigirán las comunicaciones a uno.

Bueno es aclarar que en la mayoría de los casos no hay alguien cotilleando todo el tiempo lo que hacemos, sino, que eventualmente podrían hacerlo. Es una de las facultades derivadas de la potestad de control que tiene la empresa. También por cuestiones de privacidad, protección de datos, y compliance.

Siempre que se informe adecuadamente, se lleve a cabo de forma ordenada, y no se vulneren los derechos, sí, lo pueden hacer. Eso sí, hablamos del correo de empresa, ese recurso tan valioso que te pueden asignar de forma personalizada, o genérica.

Finalmente

Estamos en cambio y evolución constante, la tecnología es lo que tiene. Avanza y avanza como si no hubiera mañana. En nuestras manos está proteger nuestra privacidad e intimidad. Conozcamos las reglas de nuestras empresas, enterémonos de nuestras limitaciones, y según sea el caso, si tenemos un móvil personal, manejemos desde ahí nuestras cosas personales.

Os recordamos que todos los lunes, siempre que no hayan cosas extraordinarias, estaremos al aire en Radio Club Ser Tenerife, hablando de internet, tecnología, privacidad, derechos, protección de datos, riesgos, ciberseguridad, consumo, compliance, reglamento europeo de protección de datos, LOPD, RGPD, GDPR, entre otros.

Comentario y explicación en la radio

Debido a la cercanía de las fechas, este contenido lo desarrollamos el pasado lunes 12/09/2017, en el inicio del curso escolar, de la radio. Por cierto, sí, volvemos a colaborar en una nueva temporada de Hoy por Hoy Tenerife, de Radio Club Ser Tenerife. En nuestro espacio de los lunes, Internet en Familia.

Os dejamos el audio, en el que comentamos con Juan Carlos Castañeda, lo relativo a la sentencia; también damos recomendaciones básicas para empresas, y claro, para los trabajadores.

 

El pasado 17 de mayo, fue el día mundial de las contraseñas. Sí, ahora todo tiene un día, seguro que alguno está haciendo una critica mental. Este día no es para festejar la existencia de las contraseñas, si no para concienciar a las personas de la necesidad imperiosa de usar buenas contraseñas. Contraseñas seguras, que a ser posible le pongan difícil la tarea a los ciberdelincuentes.

Es preciso recordar que en la actualidad, quien más y quien menos, usa herramientas digitales. No hablemos ya, de aquellas que se encuentran conectadas a internet, o directamente que dependen de ello; redes sociales, servicios en la nube, la aplicación del runing y el acceso a los móviles y demás gadgets. Todo o casi todo, requiere de una contraseña, si no, debería.

El problema está en el poco valor que le damos al uso de una contraseña, en el poco ingenio o esfuerzo que ponemos en configurarlas, y en la poca confidencialidad a la hora de tratarlas.

Sería una coincidencia, pero justo el mismo día de internet, los periódicos de todas las clases, tenían titulares como este «se filtran 560 millones de credenciales de correos electrónicos» y como os podéis imaginar, son titulares que se repiten cada X tiempo. Por eso este post, esperamos que os sea muy útil.

¿Qué cosas suelen necesitar contraseña?

Como dijimos antes, hoy en día, casi todo necesita de una contraseña. Otra cosa es que o no lo sepamos, o porque consideramos que es algo sin importancia, pasemos de ello. Esta es una lista de las cosas que solemos olvidar, pero que debemos proteger con contraseña:

  1. Los ordenadores. Sí, incluso en los personales.
  2. Los móviles. Son fáciles de perder ¿te gustaría que alguien accediera a la información de tu móvil, tan fácilmente como tocando la pantalla y ya? no, verdad. Pues pon una contraseña.
  3. Los pendrives y discos duros. Se pueden comprar de seguridad, o bien, crear una carpeta dentro y cifrarla. Así si se te pierde, mitigas el riesgo de que accedan a tu información.
  4. Las aplicaciones del móvil, o demás dispositivos, que almacenan datos personales o información confidencial.
  5. Los dispositivos de impresión y destrucción corporativas. ¿Sabias que ya traen una opción de destrucción o impresión segura? así solo quien ha enviado la impresión puede acceder a ella o quien ha puesto la documentación a eliminar, puede detenerla
  6. Los servicios online que por todos es conocido que requieren una contraseña. Banca online, cuentas de correo, perfiles en redes sociales, etc.

¿Internet como puerta a nuestros datos?

En este apartado hablamos de internet, pero ojo, no solo de internet vive el hombre. Si no ponemos una contraseña segura, puede que nuestro PC sea usado por todas nuestras visitas, y para eso, no necesitan internet, sino un ordenador desprotegido.

Bien, internet nos acerca a muchas cosas, conocimiento, lugares remotos, personas en otros paises, etc. Pero también es la puerta a través de la cual los ciberdelincuentes, que sin que nos demos cuenta, pueden hacerse con nuestros datos, acceden a nuestra privada, a nuestras finanzas y demás aspectos  de nuestra vida que se puedan gestionar vía online.

La utilidad de usar contraseñas seguras

El objeto de los delincuentes es obtener ganancias económicas, y resulta que nuestra información es muy valiosa. Bien porque tiene un precio en el mercado negro, bien porque con ella, se puede acceder a nuestras cuentas bancarias y otros tipos de inversión o ahorro. También pueden secuestrarnos servicios de internet, el pc, etc.

Las contraseñas son como una cerradura virtual, nos permiten poner una barrera de entrada. Es como la puerta de nuestra casa, al mantenerla cerrada, solo entra quien nosotros queremos. Ahora bien, si nuestra puerta fuera de papel de 100 gramos, de nada valdría. Pues con las contraseñas pasa lo mismo, si tu contraseña para casi todo es 1234, no está siendo la barrera que necesitas.

Es imprescindible configurar nuestras contraseñas, de tal manera que, no estén en la lista de contraseñas más fáciles, 1234, 12345, 123456, 123456789, QWERTY, password, y para que no sea fácil de adivinar, ni por una persona, ni por un algoritmo. Sí, un algoritmo puede procesar miles de combinaciones alfabéticas y numéricas y dar rápidamente con nuestra contraseña. Por eso, si la contraseña se diseña a conciencia, será mejor.

¿Cómo sé que debo mejorar mis contraseñas (test)?

Aun en este punto, seguro que muchos de vosotros os estáis diciendo que vuestra contraseña no es tan fácil, que a ver quién va a saber cuál es, etc. Para salir de dudas, os ponemos la lista de datos que primero se comprueban para conocer la combinación de contraseña de alguien:

  1. Edad
  2. Fecha de nacimiento
  3. Datos de la dirección de casa u oficina
  4. Edad de los hijos o la pareja
  5. Nombre de las mascotas
  6. Nombre de los hijos, padres, y familiares cercanos
  7. Marca del coche
  8. Número de móvil o teléfono de casa
  9. Por supuesto, no es una combinación pero es realmente útil. Si se tiene acceso físico, a veces basta con mirar debajo del teclado, o en un cajón.

Recomendaciones para una contraseña segura.

Los expertos recomiendan que a la hora de crear una contraseña, tengamos en cuenta las siguientes cosas:

  1. Ser creativos
  2. Usar contraseñas fáciles de recordar. Para eso recomiendan que se creen a partir de frases, uniendo palabras, haciendo secuencias de contraseñas para los distintos servicios. Usa trucos nemotecnicos.
  3. Crear combinaciones alfa numéricas.
  4. Incluir símbolos especiales *
  5. Evitar palabras del diccionario, a los algoritmos les es muy fácil llegar a ellas. Se pueden cambiar vocales por números, o incluso letras por vocales.

Otras recomendaciones

  1. Tener una contraseña por servicio y dispositivo.
  2. No compartir las contraseñas con nadie.
  3. Cambiar las contraseñas  periódicamente.
  4. Usar gestores de contraseñas.

En este vídeo de INCIBE podréis encontrar más información sobre cómo crear contraseñas seguras.

Conclusiones

Hay que estar más alerta y ser menos confiado, y hay que empezar a usar contraseñas seguras, de lo contrario estaremos ayudando a los malos a hacerse con nuestros datos, o nuestro dinerito, o las dos. La gestión de contraseñas es cuestión de empezar y ponerse, a partir de ahí, al crear hábitos de seguridad, todo irá rodado.

Tener una contraseña segura no es símbolo de seguridad absoluta, pero, es el primer  paso para ponérselo difícil a los ciberdelincuentes.

_______________________________________________________________________________

Con motivo del día mundial de las contraseñas, fuimos entrevistados por Puchi Mendez, en el Hoy por Hoy Tajaraste, de  Radio Club Tenerife  de la Cadena SER.  Hablamos de porqué  123456 es por tercer año consecutivo, la contraseña más usada, y dimos algunas recomendaciones adicionales.

Os dejamos el audio, salimos a partir del minuto 40:30.

Os invitamos a escuchar nuestra participación en la radio, todos los lunes a las 10:40 am, hora en Canarias. En el espacio Internet en Familia, del Hoy por Hoy Tenerife de Radio Club SER Tenerife. Solemos hablar de Internet, apps, seguridad, privacidad, tecnología, derecho tecnológico, seguridad de la información, protección de datos – LOPD, Reglamento Europeo de Protección de Datos – RGPD, compliance y muchos más temas de interés para el público en general.

En los últimos meses, hemos recibido varias consultas de padres, sobre protección de datos de menores. Todas las consultas tenían 3 puntos en común, datos de menores, internet y una institución o negocio que publica datos sin consentimiento.

No hay necesidad de contar cuales son las situaciones exactas. Pero os podéis imaginar,  que todas terminan con unos padres enfadados, y con un titular de ficheros, pidiendo disculpas, o lavándose las manos. Esperamos que con este artículo, quede claro cuáles son las obligaciones de las empresas, instituciones y/o profesionales; también que los padres sepan cómo pueden actuar, y qué derechos pueden ejercitar en defensa de sus hijos.

Normativa de protección de datos, aplicada a datos de menores

La normativa de protección de datos, reconoce derechos a las personas e impone obligaciones a los titulares de los ficheros (empresas, instituciones, profesionales). Todas las obligaciones de la Ley Orgánica 15/1999, de Protección de Datos Personales – LOPD,, así como su Reglamento de Desarrollo, el RD 120/2007, son directamente aplicables al tratamiento de datos de los menores. No podía ser de otra manera.

Lo primordial es respetar y garantizar este derecho, cumplimento con los principios de la protección de datos: calidad de los datos, información, consentimiento, seguridad de los datos, confidencialidad, entre otros. Está claro que por la especial vulnerabilidad, de los menores, algunos de estos principios se aplican de forma distinta, adaptándolos a su entorno, edad, capacidad de decisión, etc., de modo que se garantice, de verdad, su derecho a la protección de datos.

Principios a tener en cuenta

Como mencionamos antes, todos los principios de la normativa de protección de datos – LOPD 15/1999, y su reglamento de desarrollo, el RD 1220/2007, son aplicables también al tratamiento de datos de menores. En este apartado nos centraremos en los que tienen un desarrollo específico, relacionado con los menores.

El desarrollo específico, asociado al tratamiento de datos de los menores, lo encontramos en el artículo 13, del RD 1720/2007 

Artículo 13. Consentimiento para el tratamiento de datos
de menores de edad.

En este artículo vemos con claridad, como el principio de información, consentimiento y calidad de los datos, juegan un papel especial. En el caso de los menores, se adaptan para defender y garantizar el derecho a la protección de datos de los menores.

Información

En el caso de los menores, el principio de información se adapta a su edad, conocimientos del medio, y demás factores que hacen de los menores un colectivo vulnerable; se exige que toda información que vaya con destino a los menores, sea sencilla, clara y fácil de comprender por ellos.

Artículo 13. RD 1720/2007,

3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por ellos.

Consentimiento

El consentimiento suele ser la piedra angular en el tratamiento de datos. También lo es, cuando los datos son de menores. En el caso de los menores, el consentimiento podrá ser prestado por ellos mismos, o por sus padres; depende de la edad del menor y del tratamiento que se quiera realizar.

Artículo 13. RD 1720/2007,

1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento; salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.

Calidad – Proporcionalidad

Como a todo tipo de tratamiento de datos personales, el principio de calidad deberá aplicarse de forma rigurosa. Ahora bien, debido a la vulnerabilidad, inocencia y desconocimiento de los menores, se hace especial hincapié en lo siguiente:

Artículo 13. RD 1720/2007,

2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar.

Podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización.

Consultas sobre el consentimiento

Al iniciar el artículo os contamos, que el mismo, nació a colación de varias consultas recibidas, por parte de padres y madres. Así, que con permiso de los consultantes, aquí esperamos, poder aclarar algunas de sus situaciones:

¿Cuándo se debe solicitar el consentimiento de los padres

Es necesario, siempre que se trate de un menor de 14 años, con discapacidad intelectual, o en un caso de necesario ejercicio de la patria potestad o tutela.

¿De uno de ellos, o de los dos? En caso de padres separados o divorciados, siempre de los dos. Si solo uno de ellos, ostenta la patria potestad, este es quien debe dar el consentimiento.

¿Quién obtiene/recibe el consentimiento?

El consentimiento, en caso de prestarse, es para el titular de los ficheros. Es decir, la empresa, institución, o profesional, que decide sobre la creación y finalidad del fichero; No se da al director del colegio, ni a los profesores, ni dinamizadores del campamento, etc. 

  • ¿Puede un profesor del colegio publicar las fotos de mi hijo en sus redes sociales, personales? No, no puede. El consentimiento fue otorgado al colegio, no al profesor. En estos casos hablamos de un incumplimiento claro, por el que puede ser sancionado el colegio, e incluso el propio profesor. Hay varias sentencias al respecto.
  • ¿Si una empresa o profesional hace una actividad contratado por el colegio, puede tomar fotos y publicarlas en su web o redes sociales? No, si no ha solicitado el consentimiento de los padres. Al tratarse de un titular de fichero independiente al original, deberá recabar los consentimientos de los padres. El consentimiento dado al colegio, es solo para el tratamiento de los datos en el ámbito del msimo; no puede utilizarlo para ceder los datos, ni  puede extenderlo para que lo usen sus prestadores de servicios.
Alcance del consentimiento

Otra de las grandes dudas, de varios de nuestros consultantes  fue ¿Cuál es el límite del consentimiento que he prestado, luego pueden hacer lo que quieran? Sobra decir, que en algunos de los casos consultados, el titular de los ficheros se había extralimitado.

  1. Solo pueden tratar los datos de los menores, con las finalidades descritas en la información facilitada. Para nada más.
  2. Si un padre no autoriza la publicación de los datos de su hijo en internet, esto incluye, la web del colegio. Los datos subidos a las zonas privadas de la web, deben estar bloqueados para evitar su indexación por los motores de búsqueda. En caso contrarío, estarían realizando una comunicación de datos no consentida.
  3. El consentimiento es solo para la entidad, organización o profesional titular de los ficheros. No para sus empleados, colaboradores, o proveedores. Salvo en casos previstos en la legislación vigente, los terceros deberán solicitar el consentimiento para el tratamiento de los menores, fuera del desarrollo normal de la prestación de servicios.
  4. Si el padre se ha negado a la subida de fotografías del menor a internet, se entiende que se refiere a cualquier tipo de datos del mismo. No vale subir una foto, pixelar el rostro y luego poner el nombre completo del menor. 

    Si hay dudas sobre un consentimiento, debe solicitarse de nuevo.

 Y, si pese a no dar consentimiento para publicar datos del niño, lo hacen, ¿qué puedo hacer?

En estos casos, hablamos de una comunicación de datos no consentida. El padre, madre o tutor, puede dirigirse a la Agencia Española de Protección de Datos – AEPD, y poner en su conocimiento los hechos. En la mayoría de casos hablamos de denuncias, que deberán ir acompañadas de sus respectivas pruebas, y descripción de los hechos. Las denuncias son gratuitas, y se pueden hacer, incluso a través de la sede electrónica de la agencia.

Está claro, que si se prefiere, antes de denunciar, pueden ponerse en contacto con quien ha publicado los datos, y solicitar el cese de dicha comunicación. Hay que ver que en algunos casos, es posible resolver el tema por la vía amistosa, y otras, no. También, en función de la afectación del derecho, es mejor denunciar directamente. Caso a caso, hay que ver, cada caso.

En resumen

Las empresas o instituciones, o profesionales, que traten datos de menores, deben implementar las obligaciones que exige la LOPD, 15/1999; y las de su reglamento de desarrollo, el RD. 1720/2007. Si bien es cierto, que a la hora de tratar los datos de menores, deben adaptar algunos de los principios.

Los padres no tienen que sentirse culpables, por defender el derecho a la protección de datos de sus hijos. Ni tampoco, pensar que esto pueda perjudicar al menor, al contrario. Los colegios, institutos, y demás empresas, profesionales, organizaciones, etc. deben colaborar en este sentido. Sin excusas, ni dilaciones. Proteger los datos de los menores, es una obligación de todos. 

 

Ya para terminar, os dejamos el audio del programa de radio Internet en Familia, en el que colaboramos todos los lunes con Radio Club SER Tenerife. Justamente el pasado 27/03/2017, hablamos de este tema. Esperamos que os sea de utilidad.

Podéis escucharnos a partir  del punto, 1.37:50

Os invitamos a escuchar nuestra participación de todos los lunes, en esta emisora de Tenerife, en la que hablamos de internet, seguridad, privacidad, intimidad, protección de datos, comercio electrónico, propiedad intelectual, entre otros.

Hablamos de fotos de perfil en las que aparece el titular del perfil, su familia, o amigos. Sujetos protegidos por el derecho a la protección de datos, al honor, la propia imagen, intimidad personal y familiar. Para usar la foto, es obligatorio tener el consentimiento del titular, salvo en algunas, pocas, excepciones.

Este post nace a colación de la STS 363/2017. En ella vemos dos cosas, la primera, que el periódico actuó correctamente en el ámbito del derecho a la información. La segunda, que se olvidó del derecho a la intimidad personal y familiar, y a la propia imagen del afectado.

¿De verdad es tan nuevo que no se puedan usar fotos de perfil sin consentimiento?

No, no lo es. Pero se armó una polvareda ya que muchos medios sacan imágenes de las redes sociales, ilustran con ellas sus noticias, y al no tener una resistencia férrea, siguen haciéndolo. Pues bien, la sentencia viene a recordar lo que pocas veces llega a tan alta esfera de los tribunales. Hay que pedir consentimiento para usar la imagen de una persona en una publicación.

Luego, si no es nuevo, ¿dónde está la justificación para no poder usar las fotos de  perfil en una red social que se supone pública? Es sencillo, está en los derechos fundamentales que amparan a su titular.

Derechos de la persona que aparece en una fotografía

 

Derecho a la intimidad familiar, personal y a la propia imagen

Aprovecharemos parte del contenido de la sentencia para aclarar de qué va esté derecho:

El derecho a la intimidad personal y familiar garantiza a la persona un ámbito reservado de su vida personal y familiar, vinculado con el respeto de su dignidad como persona, frente a la acción y el conocimiento de los demás, sean estos poderes públicos o particulares. Este derecho atribuye a su titular el poder de resguardar ese ámbito reservado, tanto personal como familiar, frente a la divulgación del mismo por terceros y frente a la publicidad no consentida. Así lo ha declarado tanto el Tribunal Constitucional (entre las más recientes, sentencia 176/2013, de 21 de octubre ) y esta sala (sentencia 478/2014, de 2 de octubre )

Derecho a la protección de datos personales

Para ser precisos, usaremos el fundamento 7º de la ST. 292/2000 de 30/11/2000

Es un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de éstos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles este tercero puede recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión y usos.

El derecho fundamental a protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal.

 

Según la ST. 292/2000 de 30/11/2000 estos dos derechos comparten.

el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar

 

Pero, ¿las fotos de perfil no son públicas?

En realidad depende de lo que entendamos por público. Es pública, accesible a todos, en el ámbito de la red social en la que fue publicada. Ahora bien, aunque se vea desde un buscador, fuera de la red social, no se entiende de dominio público. La propia sentencia indica,

Que en la cuenta abierta en una red social en Internet, el titular del perfil haya «subido» una fotografía suya que sea accesible al público en general, no autoriza a un tercero a reproducirla en un medio de comunicación sin el consentimiento del titular

La finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de la cuenta en un medio de comunicación.

Por lo tanto, no es publica, de uso común y sin limitaciones del mismo, por cualquiera que tenga acceso a directo o indirecto a ella. Esto es así pese a que al estar visible en internet podamos llegar a tener esa sensación.

A este respecto, hay que aclarar que Internet no es una fuente accesible al público. Ver lista de fuentes en la LOPD 15/1999.

Excepciones

Hay excepciones, las fotos de personas con relevancia pública, en su esfera pública. También está el caso del material audiovisual del lugar de la noticia.

¿Subir una foto a internet, es consentir que los demás la usen?

Subir un contenido a internet, no es un consentimiento para que cualquiera lo use. Es así como en la sentencia encontramos un recordatorio al respecto.

Que una persona suba contenido y esté sea público,

«[…] esto no equivaldría a un consentimiento que […] tiene que ser expreso y, además, revocable en cualquier momento». sentencia 746/2016, de 21 de diciembre

En resumen

Es necesario contar con el consentimiento del titular de las fotos de perfil, o de las personas que en ella aparezcan, antes de publicarlas en un medio.

Lo que publiquemos en las redes sociales solo se puede usar en su ámbito, y en teoría, con la finalidad que lo hicimos. Esto último ya es otro jardín, para otro día, u otra sentencia.

 

En breve este tema lo mencionaremos en la colaboración que tenemos con Radio Club Tenerife, en el espacio Internet en familia, en el que participamos cada semana donde siempre tratamos  temas sobre internet, seguridad, privacidad, LOPD, protección de datos, comercio electrónico y otros de interés general para la familia.

Actualización 27.03.2017. Os dejamos el audio de la participación que tuvimos en Radio Club SER Tenerife, el pasado 13.03.2017. En el enlace, a partir del minuto 29.54, podréis escuchar el desarrollo de este tema.