Entradas

La nueva LOPD, ha llegó a nuestras vidas, por fin.  El pasado 6 de diciembre de 2018 se publicó en el Boletín Oficial del Estado, la nueva LOPD, la Ley Orgánica, 3/2018 de 6 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

En este artículo que pretende ser muy práctico y corto – para la materia de la que hablamos- esperamos aclarar varias dudas e inquietudes generales y hacer un micro resumen de los puntos que podrían afectar un proyecto de cumplimiento de RGPD/LOPD.

El resumen más amplió podrá encontrarlo en este otro post «Nueva LOPD 3/2018. Principales cambios y novedades» que publicaremos más adelante.

¿Entonces qué hay que cumplir, el RGPD o la nueva LOPD?

Así en plan directo, de ahora en adelante hay que cumplir con el RGPD y la nueva LOPD.

El marco normativo de protección de datos seguirá encabezado por el Reglamento General de Protección de Datos, RGPD UE 679/2016, que entró en aplicación el pasado 25 de mayo de 2018, motivo por el que se ha tenido que cambiar nuestra archiconocida LOPD 15/1999 por esta nueva Ley nacional.

Con la publicación de la nueva LOPD se cierra el primer paso del proceso legislativo a nivel nacional, asociado al Reglamento General de Protección de Datos, RGPD UE 679/2016.

Es posible que a futuro haya más regulaciones nacionales en materia de protección de datos. La propia ley prevé un desarrollo reglamentario posterior.

Si ya teníamos desde mayo el RGPD ¿Por qué ahora nos cambian la LOPD?

El RGPD es el marco, la base, el límite, es el que pone las reglas. Fue aprobado por unanimidad de los Estados miembros de la UE, pero como esa unanimidad no fue absoluta, se dejaron algunos puntos para que cada Estado los regulase con ciertos límites.

Cada Estado de la Unión ha tenido que actualizar su normativa de protección de datos. En nuestro caso dejamos atrás nuestra LOPD 15/1999 por la nueva LOPD 3/2018, o LOPDgdd 3/2018 como se le quiera llamar (Lo de las garantías digitales está en minúscula, cosa que ayuda a seguir usando la nomenclatura ya conocida, LOPD)

Este tema lo explicamos mucho mejor en nuestro post relacionado con el primer borrador del anteproyecto de LOPD.

Micro resumen de novedades que le pueden afectar a su proyecto de protección de datos.

A modo de mención estas son algunas de las novedades más importantes, y que podrían generar modificaciones en un plan de cumplimiento de protección de datos. Ojo, todo está a modo de mención, tiene excepciones y habrá que ver caso a caso:

1. Acceso a datos de fallecidos – Art. 3.

Se amplía la lista de sujetos que pued

e acceder a los datos de los fallecidos. No obstante habrá que evaluar caso a caso.

2. Edad para el consentimiento de menores – Art 7.

Se establece la edad de 14 años, para que los menores puedan consentir el tratamiento de sus datos. Siendo menores, es un consentimiento con limitaciones. Por debajo de esa edad se debe contar con el consentimiento del titular de la patria potestad o tutela.

3. Reducción de información en la primera capa informativa – Art. 11.

El artículo 11 prevé una disminución de puntos obligatorios a facilitar en la primera capa informativa. Ahora en una primera capa informativa, de datos recogidos directamente del afectado solo hay que informar:

  1. Responsable.
  2. Finalidad.
  3. Derechos.
  4. Enlace a la segunda capa informativa (toda la info)
4. Tratamiento de datos de personas de contacto y empresarios individuales – Art. 19.

Salvo prueba en contrario, se entenderá que el tratamiento de estos datos se realiza con la base del interés legítimo. Siempre que los datos se utilicen para fines estrictamente relacionados con el puesto o actividad profesional.

5. Sistemas de información crediticia – Art. 20.

Aumentan las obligaciones en caso de querer incluir a un cliente en sistemas de información crediticia. Si su empresa o negocio vende deuda, o incluye a sus pagadores morosos en listas de solvencia patrimonial (Asnef, por ejemplo). Lea el art. correspondiente de forma atenta.

6. Videovigilancia – Art. 22.

Se establece que la videovigilancia con fines de preservar la seguridad de las personas y bienes, así como de las instalaciones, se realiza con la base jurídica del interés público. También se fija el plazo máximo de almacenamiento de los datos, que es de un mes, y la información mínima que debe contener los carteles informativos.

7. Exclusión publicitaria – Art. 23.

Será obligatorio consultar las listas de exclusión publicitaria antes de iniciar una campaña de marketing online, salvo que se cuente con el consentimiento del interesado.

Luego claro, también regula varios puntos que deben tener en cuenta los gestores de dichas bases.

8. Denuncias internas – Art. 24.

Se define la forma, plazo y garantías para el tratamiento de datos dentro de los sistemas de información de denuncias internas de una empresa. Más conocido como sistema de Whistleblowing.

9. Tratamiento de datos relativos a infracciones y sanciones – Art. 27.

Se aclara que los abogados y procuradores podrán tratar estos datos siempre que sea en el ejercicio de sus funciones.

10. Corresponsabilidad – Art. 29.

La determinación de responsabilidades se debe atender y definir en función de las actividades que efectivamente desarrolle cada uno de los corresponsables. Debe existir un acuerdo de corresponsabilidad, que no se olvide.

11. Registro de actividades de tratamiento – Art. 31.

Se debe comunicar al Delegado de Protección de Datos cualquier adición modificación o exclusión de los RATs. También se incluye obligación de publicación para la AAPP y otros entes y órganos de derecho público.

12. Bloqueo de los datos – Art. 32.

En algunos casos en los que subsista una obligación legal, en lugar se suprimir los datos, estos serán bloqueados durante el tiempo que el responsable o encargado este obligado a mantenerlos.

13. Encargo de tratamiento – Art. 33.

Se considerará responsable al encargado que use los datos para sus propios fines, con sus correspondientes consecuencias. Con excepciones.

Nunca se considerara responsable del tratamiento a un encargado de tratamiento, de datos de los que sea titular una administración publica.

14. Delegado de protección de datos- Art. 34

Se define la lista de sujetos obligados a nombrar un DPO. Entre ellos, a modo de muestra:

a. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

b. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Hay excepciones para los profesionales independientes que tratan datos en su consulta particular.

c. Las empresas de seguridad privada.

d. Las federaciones deportivas cuando traten datos de menores de edad.

e. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

15. Garantía de los derechos digitales – Título X.

Aunque son bastantes, debido a que nos centramos en contenidos que podrían afectar directamente el proyecto de cumplimiento de la normativa de protección de datos de una empresa, profesional o AAPP, hacemos referencia solo a los que afectan el ámbito Laboral:

a. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
b. Derecho a la dexconexión digital en el ámbito laboral.
c. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
d. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

Todos ellos tienen en común la limitación del uso/ abuso por parte de las empresas y empresarios de acciones de control laboral que vayan en contra de los derechos de los trabajadores. También requieren la definición de una política interna al respecto.

16. Medidas de seguridad en el sector público. Disposición adicional primera.

Las medidas de seguridad que deben aplicar las AAPP, sus órganos, y demás entes de derecho público o a los que le sea aplicable, deben estar alineadas con el cumplimiento del Esquema Nacional de Seguridad.

17. Transparencia y acceso a la información pública. Disposición adicional segunda.

Se definen los datos que se pueden usar/publicar para cumplir con el principio de publicidad y transparencia, sin faltar al derecho de la protección de datos.

18. Prácticas agresivas (comerciales) en materia de protección de datos. Disposición adicional decimosexta.

Se lista una serie de prácticas que se considerarán competencia desleal. Entre ellas la intimidación, usurpación de identidad de la AEPD, u oferta de servicios con cargo a los fondos de Fundae (antes Fundación tripartita).

Así que ojo antes de aceptar una oferta de esas de «coste 0», o «50 euros más formación por Fundae». Son un timo, una práctica desleal y pueden llevarle a cometer un fraude a la SS y a hacienda.

Conclusiones

El marco normativo de protección de datos ahora está compuesto por la nueva LOPD, la LOPDgdd 3/2018, y  el Reglamento Europeo de Proteción de Datos. Esta claro que habrá que tener en cuenta los cambios que la nueva LOPD ha introducido en distintas normas, y luego los futuros desarrollos legislativos que se prevén.

Es necesario revisar el cumplimiento actual de la normativa aplicable de su empresa, negocio, ong, federación, asociación, etc. Todo lo que se haya hecho para cumplir la LOPD 15/1999 ya no vale, y lo que se haya hecho para cumplir RGPD, puede que necesite algún ajuste conforme la nueva LOPD. Como dice el principio del RPGD, hay que tener responsabilidad proactiva.

El contrato de protección de datos es un acuerdo que deben formalizar las empresas o profesionales, con aquellos proveedores que les prestan servicios. Será obligatorio si la prestación de los servicios requiere acceso directo o indirecto a datos personales.

La obligación de este contrato está en el artículo 28 del Reglamento General de Protección de Datos -en adelante RGPD-, así como el artículo 33, de la nueva Ley de protección de datos, la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales – en adelante LOPD o LOPDGDD indistintamente-.

En este artículo le contaremos:

  1. Generalidades sobre  el contrato de protección de datos
    1. ¿Cuál es el nombre correcto, o cómo debemos llamarlo?
    2. ¿Qué es el contrato de protección de datos?
    3. 1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.
    4. ¿Qué características debe tener? Forma, medio y modo de formalización.
    5. ¿Quién debe facilitar el documento?
    6. ¿Qué persona debe firmar el documento?
  2. ¿Cuáles son las partes?
    1. ¿Quién es el responsable y quién el encargado de tratamiento?
    2. OJO: Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.
  3. ¿Qué contenido mínimo debe tener el contrato?
  4. Otros contenidos frecuentes, y algunos a los que hay que estar atento.
  5. Consecuencias de no formalizar el contrato de protección de datos.
  6. Beneficios. Además de cumplir con el RGPD y la LOPD.

1. Generalidades sobre el contrato de protección de datos

1.1. ¿Cuál es el nombre correcto o cómo debemos llamarlo? 

Es importante saber que no hay un nombre único, y siempre que cumplan con el RGPD y la nueva LOPD, todos los nombres son correctos.

El nombre ha variado tanto como ha evolucionado la normativa de protección de datos. También tanto como profesionales deciden poner nombres «personalizados». Algunas de las variantes más conocidas son:

  1. Contrato o acuerdo de encargo de tratamiento de datos.
  2. Contrato de tratamiento de datos por cuenta de terceros.
  3. Contrato de acceso a datos por cuenta de terceros.

1.2. ¿Qué es el contrato de protección de datos?

El RGPD lo define como un «contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable«.

Total, que como ya dijimos antes, es un documento a formalizar entre las partes de una prestación de servicios, en las que el proveedor trate datos personales de los que sea responsable el cliente.

1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.

Pues eso, que el artículo 12 de la LOPD 15/99 ya exigía su formalización. La cuestión es que no era tan exigente con los prestadores de servicio con lo es el artículo 28 RGPD. Luego, si además le sumamos los añadidos del artículo 33 de la nueva LOPD 3/2018, se puede decir que los encargados/proveedores tendrán mucho más que hacer, y por lo que responder.

1.4. Formato, medio y modo de formalización.

1.4.1 Es un acuerdo que debe constar por escrito. Artículo 28.9 RGPD.

Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. Y debe estar por escrito. En este caso no valen los acuerdos verbales.

1.4.2. Puede ser físico o electrónico. Artículo 28.9 RGPD.

Puede estar en soporte físico, es decir en papel. También puede estar en formato electrónico.

1.4.3. Puede ser aceptado o firmado por medios electrónicos.

Si el acuerdo escrito puede estar en soporte electrónico, queda claro que también puede ser aceptado por ese medio. La firma electrónica será sin duda la reina, pero no será la única forma de aceptación.

1.4.4. Se podrá aceptar mediante marcado de casillas.  Siempre que se guarden los logs necesarios para trazar la voluntad de las partes y los datos asociados al acto del acuerdo.

También podrán tenerse como válidas otras formas de aceptación, por ejemplo mediante un correo electrónico en el que se acepte el contenido. Entre otros.

1.5. ¿Quién debe facilitar el documento?

El documento es obligación de ambas partes, aunque quien tiene la obligación principal de escoger un prestador que cumpla la LOPD y el RGPD, y formalizar el acuerdo previamente a la prestación de los servicios es el responsable.

Aún así, cualquiera de las partes puede facilitarlo, siempre que queden plasmadas las instrucciones del responsable, es decir el cliente; también las particularidades de la prestación del servicio y las medidas de seguridad, o incluso medidas de apoyo al responsable que debe cumplir en encargado (el proveedor).

Total, que en primer lugar debería ser un documento facilitado por el responsable, pero si no, debería como mínimo ayudar a configurar el contenido y la forma. En definitiva, no debe ser un contenido impuesto por el proveedor, en propio beneficio.

1.6. ¿Qué persona debe firmar el documento?

El contrato debe ser firmado o aceptado por una persona con capacidad de vincular a la empresa o empresario individual, con su proveedor. Puede ser el propietario o titular, administrador, gerente, o cualquier otra persona con capacidad para realizar la vinculación, bien por motivos del cargo que ostenta o porque lo haga por encargo de un superior.

2. ¿Cuáles son las partes? ¿Quién es el responsable y quién el encargado del tratamiento?

2.1 Definiciones

El Reglamento General de Protección de Datos tiene las siguiente definiciones, que en sí son bastante claras:

Artículo 4 RGPD:

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;

8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

2.2. ¿Quién soy yo?

Depende de la posición que ostente en cada momento. Así en plan rápido:

  • El responsable suele ser el cliente de la prestación del servicio. 
  • El encargado suele ser el prestador/proveedor de servicios.
  • También existe el subencargado: el proveedor que presta servicios al encargado, y durante los cuales tiene o podría tener acceso a los datos de los que es responsable jurídicamente, el responsable.

2.3. Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.

OJO: El artículo 28.1. dice textualmente (y su inclumplimiento es una infracción grave de la LOPD 3/2018):

El responsable «…elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

3. ¿Qué contenido mínimo debe tener el contrato?

El contrato de protección de datos tiene un contenido mínimo definido por el artículo 28 RGPD, en particular su número 3. Si un contrato no lo tiene todo, podemos decir que o no es válido, o está incompleto.

Ahora bien, la nueva LOPD 3/2018, incluye algunas aclaraciones que deberán ser tenidas en cuenta durante el desarrollo y finalización del contrato.

3.1 El contrato debe contener conforme a lo que dispone el artículo 28 del RGPD lo siguiente:

  1. Objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga.
  2. Tipo de datos personales tratados
  3. Categorías de interesados de los que el encargado tratará datos directa o indirectamente.
  4. Obligaciones y derechos del responsable.
  5. Reglas para la subcontratación de servicios.
  6. Las obligaciones del encargado. Estas se listan de forma particular, y son:
    1. Tratar los datos solo siguiendo instrucciones del responsable
    2. Garantizar que el personal que tratará los datos está formada en protección de datos y respetará el deber de confidencialidad.
    3. Aplicará las medidas de seguridad técnicas y organizativas que resulten de la evaluación de riesgos que le corresponde.
    4. No acudirá a otro encargado sin informar y ser autorizado por el responsable.
    5. Asistir al responsable en el ejercicio de derechos (o no, según contrato).
    6. ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36.
    7. Suprimir o devolver los datos personales una vez finalice la prestación de los servicios. Con excepciones según obligaciones legales.
    8. Poner a disposición del responsable información para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 RGPD.

3.2. Otros contenidos frecuentes, y algunos a los que hay que estar atento.

La AEPD tiene una guía con directrices para elaborar contratos entre responsables y encargados, y contiene una plantilla que está siendo muy utilizada y que contiene contenidos adicionales tales como:

  1. La obligación de llevar el registro de actividades de tratamiento que se realizan como encargado.
  2. Una lista de medidas de seguridad conforme el art. 32 RGPD
  3. Toda la información sobre violaciones y brechas de seguridad
  4. Obligaciones del responsable: en las que incluye la realización de las Evaluaciones de impacto en la privacidad cuando sean necesarias, la supervisión del encargado, etc.
  5. Destino de los datos, en los que se incluye la opción de pasarlos a otros encargados.

5. ¿Qué consecuencias tiene no formalizar el contrato de protección de datos?

La no formalizacion del acuerdo de encargo de tratamiento de datos es infracción de la normativa de protección de datos. En España esta tipificada en la nueva LOPDgdd como:

Infracciones grave. Artículo 73:

«j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…»

«k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD»

«l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.» (Subcontratación)

m) La infracción por un encargado de lo dispuesto en el RGPD y en la LOPD, al determinar los fines y los medios del tratamiento…»

Infracción muy grave. Art. 74:

«j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…»

«k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo (varios)»

6. Beneficios. Además de cumplir con el RGPD y la LOPD.

El contrato de protección de datos no solo da cumplimiento a la normativa en cuestión, además es una forma de definir las responsabilidades entre las partes.

En muchas ocasiones, por desgracia, este el único documento que recoge de forma escrita y formal los servicios prestados, las obligaciones, y aunque parezca extraño, la responsabilidad y titularidad de los datos.

Para muchas pymes y profesionales cumplir con esta obligación es una salvaguarda ante sus prestadores de servicio que ahora ven como  el RGPD en su artículo 28 por fin exige a los encargados, más responsabilidad y definición de obligaciones.

Conclusiones

Formalizar el acuerdo de tratamiento de datos es una obligación legal de todos los responsables (empresas, ongs, asociaciones, comunidades de propietarios, profesionales, empresarios individuales, fundaciones, etc.) que subcontraten servicios durante los cuales el proveedor acceda a datos personales de su responsabilidad.

Por otro lado, su cumplimiento beneficia la formalización de acuerdos y responsabilidades de las partes, y es un punto de agarre y defensa entre las mismas.

En Dataseg te ofrecemos nuestro servicio de consultoría y asesoramiento en materia de protección de datos, estaremos encantados de echarle una mano con este y otros temas de su interés.

¿Te ha pasado que entras al facebook, no al chat, y de repente todos tus contactos empiezan a hablarte? No es brujería, es que tienes activado el Estado Activo.

El Estado Activo es una de las  herramientas recientes de facebook para facilitar la comunicación de sus usuarios a través del chat privado de la plataforma. Aunque es muy visible, muchos usuarios no saben qué es ese punto verde que sale al lado de su foto cuando entran en la app móvil, ni para qué sirve.

Aparecer activo o no en el chat de facebook o en sus otros servicios puede ser tan útil como perjudicial. Queremos explicaros qué es el Estado Activo y cómo activarlo o deshabilitarlo. ¿Qué porqué? Porqué somos los usuarios quienes tenemos que cuidar de nuestras relaciones personales, de nuestra privacidad, y de nuestro rastro digital en internet.

Cómo está activado por defecto, nosotros hacemos este post para enseñaros a desactivarlo y activarlo a vuestro antojo.

¿Qué es el estado “Activo”?

El estado “Activo” es una opción que muestra en el chat de facebook (mensenger), si un contacto está conectado o hace cuento tiempo se conectó por última vez. Es decir, si tu Estado Activo está activado cuando entres en facebook todos tus contactos podrán verlo.

Si bien es una opción útil para iniciar una conversación y contactar con otros, facilitando la inmediatez de las comunicaciones. También hay que reconocer que cuando no se quiere establecer contacto con nadie, por las razones que sean, ya no es tan idónea.

¿Cómo saber si esta habilitado el Estado Activo?

Cuando la función está activa aparece un punto verde al lado del nombre del usuario en el chat de facebook cada vez que este accede al messenger o directamente a la plataforma sea vía app o página web. Eso permite a todos los contactos saber que está conectado y disponible para hablar.

En cuanto el usuario salga de la plataforma, el sistema en lugar de presentar el punto verde, aparece el tiempo que ha pasado desde la última conexión del mismo.

¿Cómo saber si esta deshabilitado el Estado Activo?

Si se desactiva esta función, los amigos y contactos no podrán ver cuando el usuario realmente está dentro de la red social ni la hora de la última conexión.

Si la sesión de la cuenta está abierta en diferentes dispositivos, sólo cuando se deshabilita de todos ellos el usuario deja de tener activo el Estado Activo.

¿Cómo saber si mi estado está “Activo”?

Sigue los siguientes pasos para saber cómo está la cosa con tu Estado Activo:

  • 1, Entrar a messenger y seleccionar el icono donde esta la foto de perfil del usuario.
  • 2. Seleccionar “Estado Activo”
  • 3. En la nueva ventana emergente aparecerá si está o no habilitado. Como ya dijimos suele estarlo por defecto.

estado Activo

¿Cómo deshabilitar el Estado Activo?

Desabilitar la opción en cuestión no es tan complejo, aunque si requiere que actúes. Sigue estos pasos:

  • 1: Entrar a messenger y seleccionar el icono donde esta la foto de perfil del usuario.
  • 2. Seleccionar “ Estado Activo”
  • 3. Se deshabilita seleccionando el punto verde, llevandolo hacia la izquierda.

2 estado activo

Conclusión

Gestionar si aparecemos o no activos en la red social puede parecer poco urgente, pero es necesaria. Cada día perdemos muchas horas en internet y desactivar esta opción puede ser en parte una solución. Por otro lado, puede ser útil para no dejar a nadie con la palabra en la boca, o para que piense que no queremos hablarle; y por supuesto para cuidar nuestra privacidad y evitar el control o vigilancia por parte de terceros.

Facebook tiene que darnos herramientas requeridas para gestionar nuestra configuración de perfil, ahora es nuestro, tú turno, de ponerte manos a la obra y configurar tu privacidad de forma adecuada.

Autor: Adriana G.

Actualmente en  Facebook, eliminar y desactivar un perfil se ha vuelto un completo reto. Más si no se es consciente de la importancia de llevar a cabo estas acciones.

Por medio de este post queremos dar a conocer la diferencia entre desactivar una cuenta de facebook y eliminarla permanentemente, así como los malos resultados que se obtienen si uno de nuestros perfiles se vuelve una cuenta fantasma.

En la parte inferior de este post dejamos los pasos para que quien lo necesite pueda eliminar o desactivar un perfil de facebook.

¿Cómo funciona Facebook?

Facebook es una red social mediante la cual los usuarios pueden mantenerse en contacto continuo con un grupo de amistades e intercambiar con ellos cualquier tipo de contenido.  Actualmente cuenta con más de 2.167 millones de miembros en todo el mundo y está traducido a más de 70 idiomas. Caracterizandose como el sitio web predominante de la actualidad.

Según su propia definición, el objetivo principal de facebook es que haya una conexión de manera fácil entre personas de diferentes lugares del mundo.  Esta aplicación también permite la publicación y visibilidad de los datos a preferencia del usuario. Cabe resaltar que la protección y privacidad de estos datos es de vital importancia para no ser víctima de ciberdelincuentes. En un post del año pasado tratamos este tema.

¿Cuentas fantasma?

Existen millones de cuentas que por diferentes razones han sido abandonadas. La cuestión es que aunque hayan sido abandonadas no significa que dejen de exhibir los datos de sus dueños. Estas cuentas no desaparecen solo se vuelven cuentas inactivas, cuentas sin un capitán que las guié, y por tanto, sin nadie que configure los parámetros de seguridad y privacidad adecuados.

La exposición de los titulares de cuentas fantasma es alta, especialmente en aquellos casos en los que por perdida u olvido de la contraseña al persona se dedica a crear una cuenta tras otra, sin borrar los datos, o eliminar la cuenta. La exposición del titular de una cuenta abandonada puede acarrearle problemas de seguridad tanto física como online.

Este problema se presenta en el mayor de los casos por la reducida información que los usuarios tienen en cuanto a cómo eliminar o desactivar su cuenta.

¿Qué diferencia hay entre desactivar y eliminar una cuenta en facebook?

Muchos usuarios carecen de información sobre este tema en específico, unos por desconocimiento de la «facilidad» con que se puede hacer, otros directamente porque no piensan en esa opción, no le dan importancia. Pues henos aquí, que  lo consideramos de suma importancia, de ahí que pongamos el enlace directo a las instrucciones de Facebook,  aquí.

Los usuarios a veces desactivan la cuenta creyendo que la están eliminando permanentemente, o en el caso contrario, eliminado la cuenta permanentemente queriéndola solo desactivarla por un tiempo.

¿Cuál es la diferencia? es fácil, si se desactiva una cuenta de facebook, esta se puede volver a activar cuando el usuario quiera. En el otro caso, la cuenta y sus participaciones en chats y foros, desaparecerá también.

¿Cómo desactivar o eliminar una cuenta de facebook?

Importante: Hay que tener la contraseña de la cuenta, y activo el correo electrónico o número de teléfono asociado a ella. Cualquier solicitud requerirá, bien de ingresar la contraseña, bien de confirmar la solicitud mediante el acceso a un link que remiten vía correo o sms.

Pregunta más recibida ¿Qué hago si no me acuerdo de la contraseña o no tengo ya ese correo? .Si no tienes esos datos no podrás seguir los pasos que a continuación aparecen. Lo que puedes hacer entrar en el perfil, y denunciarlo. Esto hará que facebook inicie su procedimiento de comprobación y si lo que dices es cierto y la cuenta está sin movimiento, la elimine.

PASOS para desactivar

La opción temporal es la desactivación. Los mensajes y chats seguirán siendo visibles, la cuenta existe, y no se borra;  solo se oculta el perfil durante el tiempo que dure la desactivación. Podrá ser activada por el usuario cuando lo desee.

Desactivación de cuenta

 

PASOS para eliminar permanentemente una cuenta de facebook

Cuando se elimina permanentemente una cuenta en facebook los resultados son totalmente distintos.

Al finalizar la solicitud, Facebook da un plazo de 15 días, para cancelar la solicitud de eliminación. Si no se cancela la solicitud, a los 90 días eliminará los datos de su red social. El perfil desaparece, no es visible, ni accesible.

Como eliminar cuenta de facebook sin titulo

Conclusiones

Facebook como red social es una gran herramienta de interconexción, pero nos expone. Nos expone a nosotros y a los nuestros, y un perfil abandonado nos expone todavía más.

Es necesario eliminar las cuentas que no usamos, no es necesario facilitar las cosas a los malos. Por desgracia los malos no son solo los ciberdelincuentes, también tenemos a la gente indiscreta, los trolls, y muchos más. Un perfil abandonado siempre será una oportunidad para ellos.

Los mitos sobre el RGPD (GDPR, si preferís sus siglas en inglés), rayos, truenos y centellas, no dejan de aparecer a medida que se acerca el 25 de mayo. Muchos de nuestros clientes nos llaman asustados por lo que un comercial, de dudosa ética le ha dicho para intentar venderle -bajo amenaza de multas millonarias- un producto/servicio que no necesita o que ya ha contratado.

También hay muchos bulos, noticias sueltas y no contrastadas, mesías de la LOPD que publican verdades a medias, medias mentiras, y otras veces exageraciones o vaguedades. Pese a que hay muy buenos artículos y muy buenos abogados, asesores, consultores, etc. que publican información clara, vemos necesario aclarar dudas, confusiones, y desechar mentiras.

Esperamos que este post ayude a que tengáis información más clara, así como fuentes a las que acudir en caso de duda.

Mito 1. El RGPD entró en vigor el 25 de mayo de 2018.

¡Falso! el Reglamento entró en vigor el 25 de mayo del año 2016, sí, como lo lee, del año 2016. Ahora bien, será exigible, y aplicable a partir del 25/05/2016 (Aquí mini resumen de los puntos clave del RGPD). Esto significa que ha estado en vigor todo este tiempo, aunque se aplazó la exigencia de su cumplimiento 2 años.

Entonces, ¿En qué nos afectará en realidad la llegada del 25/05/2018? Fácil, que a partir de ese día, todos los sujetos obligados al cumplimiento del RGPD, deben cumplirlo. No hay periodo de carencia, no hay unos meses después de esa fecha para adecuarse, el tiempo para adecuarse ha sido el transcurrido desde su aprobación hasta ahora.

Mentira 2. El GDPR obliga a todo el mundo a tener un Delegado de Protección de Datos

Otra vez, ¡Falso! El Reglamento no obliga que todos los Responsables o Encargados de tratamiento de los datos, nombren un Delegado de Protección de Datos – DPD (Más conocido como DPO por sus siglas en inglés).  Deben asignar un delegado de protección de datos, aquellos que cumplan, como mínimo, una de las siguientes opciones:

Artículo 37 RGPD:

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público…
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

Eso dice el Reglamento, aunque es cierto que el proyecto de Ley Orgánica de Protección de Datos 2018 (Aquí resumen de los puntos clave), trae supuestos más directos y desglozados. Ahora bien, hasta que no esté aprobado y publicado el texto íntegro de la Nueva Ley de Protección de Datos, los supuestos son los que dice el RGPD, ni más, ni menos.

En caso de duda se pueden consultar los artículos de la Agencia Española de Protección de Datos sobre el tema (aquí), o sus preguntas frecuentes (aquí) o las directrices del Grupo del Artículo 29 (aquí).

Pregunta del millón ¿Una farmacia necesita Delegado de Protección de Datos? ¡Pues depende! ¿De qué? Del volumen de datos, número de afectados o del alcance geográfico. Por ejemplo, no es lo mismo la única farmacia del pueblo, que una de 20 en un mismo pueblo.

Mentira 3. Todo el mundo debe llevar un “Registro de Actividades de Tratamiento”

¡Falso! Pues oiga, tampoco. Al igual que el punto anterior, y sin perjuicio de lo que exija la futura LOPD 2018, este registro solo deben realizarlo una serie de Responsables o Encargados.

No deberán llevar un Registro de actividades de tratamiento, aquellos a los que aplique la siguiente excepción establecida en el art. 30 del RGPD:

Artículo 30 RGPD

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

Exageración 4. El RGPD hace que todos los Estados miembros de la UE exijan lo mismo en protección de datos.

Lamentablemente, ¡Falso!. Ya nos gustaría que ese principio y objetivo de la UE se hubiera alcanzado. No hubo consenso en todo el contenido del RGPD, y se dejó margen a los Estados para que regulasen internamente algunos puntos conflictivos, o muy “de país”.

Según Alejandro Padin (Garrigues), durante su comparecencia en el Congreso -en relación con el proyecto de Ley de Protección de datos 2018-, El RGPD obliga a los Estados a regular a nivel nacional entre 15 y 20 puntos, pero “permite” que regulen, o que se aplique el derecho nacional -si existe- hasta en 36 puntos más. Osea que podrían haber hasta más o menos 56 puntos de diferencia en la normativa de protección de datos de los Estados miembros de la UE.  Por lo que se ve en las leyes ya aprobadas (Francia y Alemania) y los proyectos de Ley en proceso, definitivamente no habrá homogeneidad.

Un ejemplo claro es lo relativo a la edad del consentimiento de los menores en el ámbito de la sociedad de la información. El RGPD establece la edad necesaria para consentir, en ese ámbito, en los 16 años, pero permite a los Estados poner una distinta -mínimo 13 años-. En España actualmente la edad para que los menores presten consentimiento son los 14 años, pero el proyecto de Ley de la nueva LOPD 2018, rebaja esa edad a 13 años (a ver cómo queda). El resto de Estados:

  • 13 años: Chipre, Letonia, Dinamarca, Suecia, Irlanda, Polonia, Noruega y Reino Unido.
  • 14 años: Austría y Bulgaría.
  • 15 años: Croacia.
  • 16 años: Alemanía, Hungría, Francia, Lituania, Luxemburgo, Reino Unido, Estonia, Holanda.

Mito 5. El 25 de mayo de 2018, dejará de aplicarse la LOPD 15/1999.

Sí, y no. Todo aquello en lo que la LOPD 15/99, sea contraría al RGPD, dejará de ser exigible y aplicará el RGPD. Ahora bien, todo aquello que no contravenga al RGPD, será en relación al Reglamento, «derecho del Estado», y en tal caso aplicará de forma complementaría.

Retomando el ejemplo de la edad del consentimiento de los menores, en caso de que la nueva Ley de protección de datos, no esté en vigor el 25/05/2018, la edad del consentimiento de los menores, en el ámbito de la Sociedad de la información, en España será 14 años, conforme nuestra LOPD 15/1999, y no de 16 años como establece el RGPD. Esta aclaración la hizo Agustín Fuentes, de la Agencia Española de Protección de Datos, durante su comparecencia en el Congreso con motivo de la tramitación de la nueva LOPD. La AEPD interpreta en sentido amplio la remisión del RGPD a «LEYES nacionales», y aunque la edad de 14 años se estableció mediante un Real Decreto será la que se aplique. 

En fin, que salvo que haya una nueva Ley de Protección de Datos, la actual no morirá el próximo 25/05/2018. Seguirá estando vigente en todo cuanto no contravenga al Reglamento Europeo de Protección de Datos.

Muchos mitos, pocas nueces

Las información está clara como el agua en el contenido del RGPD. No hay que creer inventos de vende humos, en caso de duda, hay que acudir a la fuente.

Si quiere información clara, acuda página del Grupo del artículo 29 -futuro Consejo UE de Protección de Datos-; a la página de la Agencia Española de Protección de Datos. En ellas encontrará información clara, concisa y apropiada. También, existen grandes profesionales, y empresas especializadas, que le podrán ayudar con la tarea de enfrentarse al RGPD.

Para más información, visite nuestros post relacionados:

1. Claves del Anteproyecto de Ley Orgánica de Protección de Datos (futura LOPD 2018)

2. Reglamento General de Protección de Datos ¿Qué es?, puntos más importantes a tener en cuenta.

3. Resumen1. 9AEPD. Primera parte de la sesión anual de la AEPD, especial sobre el RGPD.

4. Resumen2. 9AEPD. Segunda parte de la sesión anual de la AEPD 2017, especialmente dedicado al RGPD.

WhatsApp es la aplicación de mensajería instantánea que ha revolucionado las comunicaciones en la era de internet. Nació en el 2009,  y desde entonces, se ha hecho parte de nuestra vida. Sus funcionalidades, usos y usuarios crecen día a día, así como la cantidad de datos personales que se tratan a través de ella.

Usarla con fines laborales o dentro de las empresas es un dulce harto apetecible para muchos, y para otros parte de su día a día. Este post nació con el fin de acercar las reglas que «rigen»/»regirían» el uso de la aplicación a nivel empresarial. Como más adelante decimos, no la recomendamos, pero si la va a usar, por lo menos tenga en cuenta unas cuantas «cosillas».

[Nota actualización 22/03/2018] El  pasado 15/03/18 conocimos que la AEPD sancionó a Facebook y a WhatsApp con 300.000 c/u, porque se comunicaron datos mutuamente sin el consentimiento “libre, específico e informado” de los usuarios. A raíz de esto tenemos muchas consultas de nuestros clientes, y no clientes, y hemos decidido actualizar este post. Verá los cambios marcados con [Act 22/03/18] 

¿Porqué hay que tener en cuenta la LOPD al usar WhatsApp?

WhatsApp fue concebida para uso personal. Pese a lo anterior, cada día hay más empresas, profesionales y comercios, que hacen uso de ella para tratar con sus clientes, comunicarse con el personal, etc.

Por otro lado tenemos la opción de crear grupos, y todo sea dicho, a esta función la carga el diablo. Muchas veces los integrantes del grupo no se conocen entre ellos, otras, no han dado su consentimiento para ser incluidos en el grupo, entre otras más vías de complicaciones.

Finalmente está lo más obvio, pero no menos importante ¡la información!. Los datos que se comparten, la tipología, el consentimiento para transmitirlos por esa vía, o incluso, si se ha informado o no de dicha posibilidad.

¿Usar o no usar whatsapp a nivel empresarial?

Hasta ahora habíamos recomendado no usar WhatsApp en las empresasaún lo hacemos. [Act 22/03/18] No, no es recomendable usar whatsapp a nivel empresa, o para comunicarse con clientes, empleados padres, etc. pero, ya no podemos decir que está absolutamente prohibido.

Básicamente no podemos decir que está prohibido por varias razones. La primera es que la Agencia Española de Protección de Datos empezó a usar esta App en el canal joven. [Act 22/03/18] Es más, la menciona en su «Guía centros educativos» pág. 26, y da recomendaciones para su uso; la segunda, que en sus sanciones e informes, no la prohíbe sino que habla de la protección de los principios de la protección de datos durante su uso; la tercera  es que el cifrado end to end, da una cierta -no del todo- apariencia de seguridad; y ya la última  y la guinda, que  actualmente está en pruebas la versión para empresas, y seguramente cuando esté disponible muchas empresas se subirán al carro de whatsapp.

Total, que por lo dicho antes, no nos queda de otra, más que dar algunas directrices para que ya que se usa o se va a usar, se use de la forma más correcta y cumplidora posible.

La clave de las 5 claves: cumplir con los principios de la protección de datos

Si pretende usar WhatsApp en su empresa, institución o negocio, tenga en cuenta que debe cumplir los principios de la protección de datos. Hablamos del principio de calidad, información, consentimiento, confidencialidad, seguridad de los datos, entre otros.

Los principios de la protección de datos son críticos para que nuestro uso de whatsapp con fines laborales o comerciales sea relativamente correcto. Hablamos de los principios de calidad, información, consentimiento, datos especialmente protegidos, confidencialidad y seguridad de los datos. Hay más, y por esa razón no se debería usar para estos fines, pues por ahora no son fáciles de cumplir, en especial el relativo la firma del contrato de protección de datos con whatsapp. Hablamos de este contrato, aquí.  

Clave 1. Informe a los usuarios que usará con ellos esa aplicación.

Antes de usar whatsapp para tratar datos personales de una persona, debe informarle de las finalidades de dicho tratamiento. El tratamiento en este caso puede ser, comercial, informativo, de confirmación de citas, de vía de comunicación, o de envío de datos. En cualquier caso, el titular de los datos debe saber del uso de esta herramienta y del fin para el cuál se prevé.

Clave 2. Pedir el consentimiento para tratar los datos por esa vía

Uno de los principios que más quebraderos de cabeza da a las empresas, es el consentimiento. Salvo excepciones, es necesario el consentimiento del cliente. Osea, que para tratar los datos del cliente por ese medio, hay que informar y pedir consentimiento.

Especialmente aquí haremos hincapié en la finalidad comercial. Para remitir información comercial, es necesario conforme al artículo 22 de la LSSI, solicitar el consentimiento expreso del afectado. El consentimiento expreso no es otra cosa que una acción clara afirmativa, informada, libre e inequívoca de que sí, quiere recibir publicidad. Por ese medio. Si no tenéis ese consentimiento, no enviéis publicidad por whatsapp.

Preguntas orientadoras sobre su cumplimiento. Si una o todas es no, !póngase manos a la obra!

  1. ¿En caso de envío de publicidad. Tiene el consentimiento expreso de las personas?
  2. Pide consentimiento a los interesados antes de incluirles en un grupo?
  3. Solicita consentimiento para enviar información personal por esa vía?

Clave 3. Cuide la confidencialidad de los datos que trata en whatsapp

La confidencialidad es uno de los requisitos más especiales que se exigen a una empresa, negocio u organización. Debe garantizarse que esos datos que nos han facilitado, se mantienen a salvaguarda y confidenciales. Que solo los trata el personal autorizado y que no acceden a ellos terceras personas.

Preguntas orientadoras sobre su cumplimiento. Si la respuesta a una o todas, es no, revise y actualice su cumplimiento.

  1. ¿Controla el uso profesional de esta app por parte de su personal?
  2. ¿Ha comprobado que el whatsapp desde el que se comunica su personal con el cliente es de la empresa y no desde su número personal?
  3. ¿Ha informado a su personal que en los grupos con clientes deben evitar compartir datos personales?
  4. ¿Tiene una política de tratamiento de datos vía online? en ella se debería describir las reglas de uso de estas y otras aplicaciones en el ámbito de la empresa.

Clave 4. Ponga medidas de seguridad para proteger los datos enviados o almacenados.

En este caso lo que se puede hacer es limitado, ya que la seguridad de la aplicación como tal, corresponde a WhatsApp. Eso sí, siempre podemos poner medidas de seguridad asociadas al procedimiento de custodia de los dispositivos, que almacenan los datos; del control del uso de la aplicación, etc.. También podrá hacerse a través de medidas de gestión asociadas a una política de uso de la aplicación y protección de los datos personales.

Estás preguntas le darán una idea de las opciones. No las eche en saco roto.

  1. ¿Usa la aplicación para remitir datos de carácter personal? Es mejor no  hacerlo.
  2. ¿Ha dado instrucciones a su personal sobre el tipo de datos que pueden o no remitir a través de esta vía?
  3. ¿El número de whatsapp que se usa para comunicar con clientes, personal, u otros interesados es de la empresa, o de un empleado?
  4. ¿Ha dado instrucciones para no crear grupos sin consentimiento de la dirección?
  5. ¿Elimina el contenido de las comunicaciones cuando han dejado de ser necesarias?
  6. ¿Conoce de forma clara quién y qué grupos de trabajo, o comunicación con clientes hay creados en su empresa?

Sanciones y apercibimientos puestos por la AEPD por el uso de whatsapp

En principio como dijimos antes, la agencia todavía no ha sancionado por el hecho en sí de usar whatsapp. Lo que ha hecho hasta ahora ha sido en relación con los principios de la normativa de protección de datos, y del cumplimiento del artículo 22 de la LSSI, Ley de Servicios de la Sociedad de la información y comercio electrónico.

Primera sanción (Enero 2016). Incumplimiento del artículo 22 de la LSSI. Envío de publicidad sin consentimiento expreso del afectado. 600€.

Primer apercibimiento (octubre 2017). Inclusión en un grupo de whatsapp de un cliente, sin el consentimiento del mismo, incluso en su contra.

[Actualización 31/12/17] Declaración de infracción de AAPP (Noviembre 2017) Creación de un grupo de whatsapp por parte de un Ayuntamiento. En el grupo incluyó al denunciante y a todo el pueblo… Sin consentimiento, usando datos recabados para otros fines.

Actualizaciones importantes por hechos noticiosos

1ª. [Actualización 31/12/2017 con motivo de los apercibimientos y declaraciones de infracción por creación de grupos de whatsapp]

[1] En caso dado, no sería delito, sino una infracción de la normativa de #ProtecciónDeDatos
[2] Es una infracción de: (1) deber del secreto: en el grupo todos ven los datos de todos. Para añadir correctamente a alguien, se le deberá pedir el #Consentimiento, así no hay vulneracion del deber del secreto, ni del principio de #información y consentimiento.
[3] Esta infracción es exigible cuando el grupo NO entra en la EXCEPCIÓN doméstica. Es decir, si es un grupo personal, familiar, NO «salvo cosas raras» no sería sancionable.
[4] La LOPD y el RGPD/GDPR son exigibles a las empresas, negocios, profesionales, y demás tratamientos de datos, comerciales, filantrópicos, etc. que no tengan fines domésticos.
]

2ª. [Actualización 22/03/18, con motivo de las noticias que hablan de no usar whatsapp en la empresa, debido a la sanción a Facebook y Whatsapp]

[1] Ya mencionamos más arriba algunas indicaciones dentro del texto

[2]Cuando hablamos de las otras razones por las que no es recomendable usar whatsapp, y mencionamos el contrato de protección de datos, ahí, dábamos en la diana de lo se menciona en muchos de los artículos que han estado saliendo estos días. Whatsapp no cumple con la normativa de protección de datos, no se reconoce como prestador de servicio, y no sigue instrucciones de ningún responsable de fichero. Y, aunque firmara el contrato lo estaría incumpliendo al dar los datos a Facebook, sin consentimiento de la empresa, ni de los usuarios.

[3] Ah sí, al usar whatsapp estamos haciendo una transferencia internacional de datos… otra cosa es que no se transmitan datos personales… depende de cómo y para qué se use.

Conclusiones

Usar las herramientas que trae la evolución de la tecnología está muy bien, pero debe hacerse con precaución. Con la actual LOPD parece que la AEPD, no está siendo especialmente exigente en cuanto al uso de whatsapp, pero, ¿será igual cuando inicie la aplicación del RGPD, Reglamento General de Protección de Datos? No lo sabemos.

La recomendación principal es que siempre, siempre, siempre, se cumpla con los principios de la normativa de protección de datos. Que se proteja el derecho del usuario, y se prime este por encima de todo. A partir de ahí, se debe crear una política de uso de estas herramientas, darlas a conocer al personal, y poner medios para su cumplimiento.

[Act 22/03/18] Esto puede ser un cambio claro de línea por parte de la AEPD. Así que si ha decidido usar whatsapp en su negocio/empresa, pregúntese la razón que le lleva a ello y  si realmente es tan necesario; incluso puede buscar otras opciones menos «comprometidas»

Programa de radio asociado a este tema

El 16/10/2017, en el espacio «Internet en Familia» del Hoy por Hoy Tenerife, de Radio Club ser Tenerife, tratamos este tema. Os dejamos el audio, ya que ha algunas pinceladas que mencionamos durante el programa, y para no extener este post, aquí no las hemos tocado. Por ejemplo las implicaciones en protección de datos, del uso de whatsapp por parte de particulares… hay dato curioso, ¡avisamos!

,Ayer fue el primer día de la semana del Black Friday. Se supone que debería ser solo el viernes,»Viernes Negro», pero la teoría de la relatividad reinventada por el Corte Inglés -Su semana loca dura 15 días, y sus 24 horas de rebajas una semana- es ahora de uso general.

Esta iniciativa comercial estadounidense se ha expandido a nivel mundial, y, en España, desde hace unos años los comercios se aprovechan especialmente de ella. Aquí no es un día, es relativo, son dos, o tres, una semana. En general está plagada de ofertas, promociones, eventos, y mucha propaganda, pero hay que ir con cuidado si no queremos ser blanco de un timo.

¿Qué peligros hay en el black friday?

Este post ha sido escrito como ayuda para que los usuarios, eviten los peligros al hacer compras online. En el caso específico del Black Friday, el hándicap es que supuestamente todo son ofertas o promociones.  Lo anterior hace que los delincuentes lo tengan muchísimo más fácil para lanzar sus ganchos.

¿De qué forma nos engañan?

A través de ofertas y megachollos que no existen, y que pretenden lo más básico que cualquier delincuente quiere, robarnos el dinero, los datos, la identidad, etc. Para qué quieren nuestros datos? un motón de cosas, os hablamos de ello en este post anterior.

Si no tenemos cuidado, podemos perder el dinero, datos bancarios o personales; caer en una red de spam, phishing, etc. Mejor estar atentos.

Tres pasos para una compra segura durante el Black Friday

Para que este black friday sea realmente una oportunidad para realizar compras estupendas, seguid estos pasos. En general, os daréis cuenta que caen de cajón, pero a veces la emoción de una mega oferta, nos ciega.

1. Identificar la veracidad de la oferta

En cuanto encuentres una megaoferta -que podrá llegarte por cualquier vía, redes sociales, google, páginas web, etc.- revisa:

  1. El idioma y la ortografía. Si hay errores de ortografía llamativos, errores con las tildes o de formación de frases, huye. En estos casos es bastante fácil ver como es una traducción burda. Un gancho echado por algún ladrón de pasta o datos. Evita pinchar en enlaces de este tipo de publicaciones.
  2. Revisa el precio. Si bien estamos en una semana de descuentos, los precios de las cosas no se bajan a una tercera parte así porque sí. Compara precios con otras tiendas online.
  3. Verifica costos adicionales. Aunque es desleal, algunas páginas usan el truco de poner menos precio al artículo y más a los costos de envío, manipulación, aduanas, etc. Que no te engañen con los gastos adicionales.

2. Conoce a tu vendedor

Está claro que en internet puede vender cualquiera, y por lo tanto, no solo hay tiendas honestas. También hay delincuentes, y ese es el motivo de estas recomendaciones:

  1. Dominio web. Desconfía de dominios demasiado complicados, y especialmente de aquellos que intentan imitar un dominio de una marca o empresa conocida. En la mayoría de casos se trata de ofertas maliciosas.
  2. Verifica que es quién dice ser. Toda tienda online, debe facilitar por Ley –hablamos de ello aquíuna serie de datos, tales como nombre e identificación fiscal, datos de contacto, ubicación geográfica, entre otros. Si no dispone de esa información, ni el apartado de contacto, ni en su aviso legal, condiciones de venta, etc. No es una página de fiar.
  3. Revisa sus condiciones de venta. Toda tienda o negocio que venda o permita contratar a través de internet debe facilitar unas condiciones de compra o contratación. En ellas se establecen las reglas aplicadas a la venta; los derechos del usuario; los costos de envío; los plazos de entrega; el derecho de desistimiento, entre otros. Si una página no tiene este contenido, tampoco es de fiar,o dará problemas al ejercitar los derechos del consumidor.

3. Medidas de seguridad durante el proceso de compra.

Puede que estemos comprando en tiendas legítimas, legales, y que además tienen megachollos, pero, si no ponemos ciertas precauciones, los malos que siempre están al acecho, se podrán beneficiar de esa transacción. Ten en cuenta las siguientes recomendaciones de seguridad:

  1. No compres estando conectado a redes wifi públicas. Más claro, el agua. Las redes wifi públicas suelen ser el río en el que pescan los ciberdelincuentes. En ellos pescan nuestros datos personales, bancarios, etc. Si vas a comprar hazlo desde casa, a través de una vpn, o usando una red segura.
  2. Usa contraseñas seguras. Si tienes que crear un perfil en la tienda online, no subestimes la seguridad de la contraseña que pongas, al fin y al cabo te estás creando un perfil en un portal, y estás almacenando ahí tus datos. Usa contraseñas seguras, y apunta en una libreta, que ahora tienes un nuevo perfil en esa tienda. Más info sobre contraseñas seguras, aquí.
  3. Manten actualizado el software de tus equipos. Sí, la recomendación típica, pero necesaria para evitar que por el camino los delincuentes te roben los datos.
  4. Compra en tiendas que como mínimo, usen el protocolo https. Este protocolo cifra los datos para evitar que sean accedidos por terceros durante su transmisión.
  5. Usa plataformas de pago seguras, o tarjetas de compra online. Hoy en día los bancos dan muchas opciones para que los usuarios hagan compras online de forma segura. Consulta con tu banco, puede que tengan alguna opción que evite que te expongas menos.

Y la recomendación final

Está claro que todos tenemos un sexto sentido, y suele funcionar. Si dudas de la legitimidad de una oferta, busca, comprueba, no te lances, porque en lugar de un megachollo, te lleves una megaestafa.

También, recuerda que la seguridad de tus datos está en tus manos. Que depende de a quién le das tus datos, de dónde se encuentra ubicado -por tanto que legislación le aplica- y especialmente, de las precauciones que pones para evitar disgustos.

La frase “El 25/05/2018, empieza a aplicarse el Reglamento General de Protección de Datos” últimamente se repite con cierto apuro. Quizá, nos falte explicar qué significa la frasesita, y porqué le debe importar a nuestros actuales y futuros clientes, y a todo aquel al que le afecte.

Empecemos por el principio. La normativa de protección de datos ha cambiado, así como suena. Ahora bien, ¡a Dios gracias’!, tenemos hasta el 25/05/2018, un plazo “prudente”, para cumplir con la novedad, el Reglamento General de Protección de Datos – 679/2016 UE, en adelante el RGPD.

Lo que conocemos hasta ahora, la Ley Orgánica, 15/1999, de protección de datos de carácter personal, y su reglamento de desarrollo el RD. 1720/2007, vienen de la una Directiva derogada por el RGPD, la 95/46/CE. Por tanto, el marco legal aplicable será el del RGPD. Todo de ahora en adelante, deberá modificarse para no contravenirlo. Es así como en este momento en España, estamos en medio del proceso de modificación de nuestra querida LOPD. En un post anterior, os comentamos las claves del anteproyecto de modificación.

Ok, todo cambia pero, ¿Qué es el Reglamento General de Protección de Datos?

El RGPD es una norma nacida en el seno de la Unión Europea, con el más alto rango normativo que puede tener una legislación comunitaria. El documento en que se publicó el contenido del RGPD se titula de la siguiente manera «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE» Ya con esto está todo dicho. O no.

El crear una nueva norma con forma de reglamento, no es casualidad. En primer lugar, se le quiso dotar de la superioridad normativa necesaria para ir por encima de las normas nacionales -que para aprobarlo todos estuvieron de acuerdo-. En segundo lugar, homogeneizar la normativa. Es decir todos los estados tenemos la misma legislación, o casi. En tercer y último lugar, se pretendía que la norma en su momento de en vigor, y en el inicio de su aplicación fuera directamente aplicable para todos, gobiernos y particulares.

El RGPD tiene como finalidad garantizar el derecho a la protección de datos de todos los ciudadanos.

¿A quién aplica el RGPD?

Como dijimos en el anterior párrafo, a todos. Ahora bien, a unos nos reconoce derechos, y a otros les impone obligaciones de hacer, o de no hacer. Por un lado, a los particulares, nos reconoce una serie de derechos, unos ya los teníamos, otros son casi nuevos. Por contra, a las empresas, profesionales y organismos públicos o privados, les impone una serie de obligaciones. Las obligaciones impuestas por el RGPD, pretenden proteger a las personas de las cuales las empresas tratan datos personales, garantizando sus derechos, y limitando sus usos y tratamientos.

Diferencias entre las obligaciones de la actual LOPD y el RGPD

Este post no pretende hacer un examen minuciosos de las reglas que cambian. Ya lo haremos luego, no os preocupéis. Así que a grandes rasgos, las diferencias entre lo que tenemos ahora, y lo que nos llega con el RGPD, son las siguientes:

Cumplimiento limitado a la Ley, vs. Cumplimiento activo.

Hasta ahora, para las empresas, cumplir la LOPD ha sido cosa de inscribir unos ficheros en el Registro General de Protección de Datos; poner las medidas de seguridad del RD 1720/2007 que nos apliquen; poner cláusulas, y firmar documentos. Y luego, que demuestren que he fallado.

Con el RGPD, se introduce el termino Acountability, o cumplimiento activo.  Se plantea el reto de la privacidad por defecto y por diseño. Son las empresas las que tienen que actuar proactivamente protegiendo los derechos de las personas de las cuales tratan, o podrían tratar datos personales. El cumplimiento del RGPD no se basa en una lista concreta de cosas para hacer, sino, de cosas para prever de forma activa. Ahora, se deberá demostrar el cumplimiento, si o si.

Medidas de Seguridad. Ahora, según evaluación de riesgos

Las medidas de seguridad que conocemos de nuestra LOPD y su reglamento de desarrollo, el RD 1720/2007, ya no estarán incluidas como tal en el RGPD. No habrá una lista concreta de medidas a aplicar, sino, que debemos llevar una gestión de riesgos de los datos personales que manejamos.  En este sentido se recomienda el uso, de los controles de seguridad de la familia ISO 27001.

Encargados de tratamiento. De menos a más responsabilidad.

Hasta ahora con la LOPD, se había establecido la obligación de firmar el contrato que exige el artículo 12, y alguna poca cosa más. Pero con el RGPD, las empresas deberán evaluar de forma activa el cumplimiento de sus proveedores. Deberán implementar un protocolo de contratación en el que el cumplimiento de la norma sea un requisito básico para contratarlos;  también el seguimiento de dicho cumplimiento, un requisito para el manteniendo del contrato. El contrato deberá ser más detallado a la relación concreta, los datos tratados, las finalidades y los tipos de tratamientos.  Por lo anterior, se trasladará una mayor parte de la carga del cumplimiento al prestador.

Registros de tratamiento en lugar de inscripción de ficheros. 

Ya no se notificarán ficheros a la AEPD. Ese tan conocido Registro General de Protección de Datos, al que las empresas notificaban los ficheros ; muchas veces era un mero tramite administrativo, vació de cumplimiento activo, ahora ya no existirá. La AEPD ha informado por activa y por pasiva, que pese a que tenemos que cumplir con esta obligación hasta el 24/05/2018, a partir de la entrada en vigor del Reglamento General de Protección de Datos, el 25/05/2018, ya no se deberá, ni se podrá seguir inscribiendo ficheros. 

Hay muchas más novedades, pero estas son las principales, y además, la idea era hacer corto este artículo. Así que seguimos

¿Cuando tenemos que empezar a cumplir?

Pues cuanto antes, en función de la actividad de la empresa, o de los datos que trate, o de las finalidades o cantidades de datos que tratemos. El caso es que el 25 de mayo de 2018, cuando el Reglamento General de Protección de Datos inicie su plena aplicación, todos los obligados deberán estár cumpliendo. En ese momento el RGPD será directamente aplicable y exigible a todos.

El día de inicio de aplicación del RGPD, o GDPR como son la siglas en inglés, todos los ciudadanos veremos alargada nuestra lista de derechos y herramientas para ejercitarlos, así que las empresas deberán estár listas para garantizar su respeto y ejercicio.

En resumen

El RGPD es el cambio más grande que hemos tenído en los últimos años, en matería de protección de datos. Estos dos daños que nos dierón desde su entrada en vigor, hasta el inicio de su aplicación ya se están agotando y hay que ponerse en marcha si ya no se ha hecho.

Esta norma se ha de afrontar en muchos casos como si de una norma ISO se tratara, o algo similar. Con mucho rigor, compromiso de la dirección y trazabilidad de todos los actos de cumplimiento. Ahora tenemos que demostrar que cumplimos; cumpliendo y registrando ese cumplimiento es como se consigue.

 

 

Los titulares de páginas web deben realizar una adecuación legal web. La finalidad es cumplir aquellas leyes que se han erigido como garantes de los derechos de las
personas en internet.

Con la expansión de internet, cada vez somos más propensos a realizar transacciones a través de la red. Necesitamos seguridad jurídica, y estas leyes bien aplicadas nos ayudan a conseguirla.

Hay que recordar que en su momento parecía que internet era el Salvaje Oeste. Nada más lejos de la realidad. Pero, para evitar confusiones, y aclarar algunas
líneas muy delgadas, se creó la regulación especifica de los servicios de la sociedad de la información.

Nota: artículo actualizado el 04/11/2018 para incluir lo relativo a la adecuación web al RGPD – Reglamento General de Protección de Datos UE 679/2016.

¿Qué leyes se tienen en cuenta en una adecuación legal web?

El ecosistema jurídico aplicable a los negocios en interner, es el mismo que es de aplicación en su parte física. Tenemos al Código Civil, Código de Comercio, Código Penal, entre otros. Luego, las leyes especiales que imponen obligaciones concretas a aquellas empresas y profesionales que gestionan y explotan una página web.

Específicas de negocios en internet
Relativas al producto/servicio y actividad económica

Las anteriores para empezar. A partir de ellas hay que sumar la legislación específica relativa a la actividad que se realice. Así como la de los productos o servicios ofrezca. Esto para transacciones B2C (negocio a persona física)

Para transacciones B2B (negocio con negocio)  pues oye, que venga el Código Civil y la legislación mercantil y repartan cuantas reglas hagan falta.

En nuestros post hablaremos del caso que más se presta para generalizar. El B2C, y las leyes básicas aplicables a casi toda la generalidad de páginas web de negocios o profesionales.

Pero, ¿cuáles son las leyes que debo cumplir en MI web?

Sabiendo de antemano que existe una regulación de los servicios prestados u ofrecidos a través de internet, así como que es de aplicación todo el ordenamiento jurídico básico de nuestro país, le dejamos una pequeña tabla que le permitirá identificar fácilmente las leyes que debe cumplir.

Lista indicativa, una opción no excluye la otra. Lo más probable es que salga, LSSI y el RGPD, casi siempre.

 

Y, ¿De esas Leyes qué tengo que hacer?

Bueno, nuestro propósito inicial fue escribir un solo artículo que resumiera todas las obligaciones. Como iba a quedar tipo testamento -de lo largo- haremos, otros 3 artículos que cumplimenten este. Serán sobre la LSSI-CE, el RGPD y la LGDCU.

Para resumir, os ponemos lo que a nuestro juicio son los dos pilares de estas tres leyes. El principio de información y transparencia, y el de consentimiento. Los demás son completamente transversales en asociación con estos.

Principio de información y transparencia.

En nuestras transacciones online, sean gratiutas u onerosas nos interesa tener seguridad jurídica. Saber que nuestros derechos serán respetados y que quien está del otro lado, va a cumplir su parte del trato.

  1. En la LSSI, artículo 10, encontramos la obligación publicar toda la información del titular de la web. Datos identificativos, fiscales, de contacto, de localización y registro. En caso de profesiones reguladas también se piden información específica. Si en la web se ofrecen productos o servicios deben aparecer claramente los precios, impuestos aplicables y gastos de envío. Entre otras.
  2. El RGPD por su parte dispone en el artículo 5.1 en su apartado a) el principio de transparencia en relación al tratamiento de datos del interesado, y en su artículo 13 relativo al derecho de información, establece que se facilitará toda la información siguiente al interesado: la identidad y los datos de contacto del responsable, los fines a los que se destinan los datos personales, los destinatarios o las categorías de destinatarios de los datos personales, el plazo durante el cual se conservarán los datos personales, así como la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento.
    NOTA: En este apartado el artículo original hacía mención a las obligaciones de información de la LO. 15/1999 de Protección de Datos de Carácter Personal.
    Hace dos semanas la AEPD publicó su informe sobre ‘Políticas de privacidad en Internet. Adaptación al RGPD’. No quedó títere con cabeza, y definitivamente
    ese informe hecho de oficio por la Agencia deja claro que no se van a andar con chiquitas a la hora de evaluar el cumplimiento de los responsables. Puede ver el informe aquí https://www.aepd.es/media/estudios/informe-politicas-de-privacidad-adaptacion-RGPD.pdf
  3. La LGDCU, va más allá que la LSSI en lo relativo a los derechos de los consumidores y usuarios. Exige que todo tipo de información relativa a la venta o contratación, sea fácilmente accesible siempre para los consumidores. Así mismo que estos siempre tengan claro: cuál es el proceso de compra, los precios de los productos, del envío, la posibilidad del ejercicio del derecho de desistimiento, cancelación de la transacción, entre otros.
Principio del consentimiento.

Os podéis imaginar que, si estas leyes pretenden garantizar los derechos de los usuarios, uno de los puntos clave es priorizar la necesidad del consentimiento bien para recabar datos, para el envío de publicidad, o para la formalización de una transacción o cualquier otra finalidad que así lo requiera, así como la normativa aplicable: casos y leyes:

  • El Reglamento General de Protección de datos dispone que el consentimiento ha de ser inequívoco, es decir, se ha de prestar mediante una manifestación o una clara acción afirmativa del interesado.
  • Por otro lado la LSSI, en sus artículos 20, 21 y 22 exigen, no solo información, sino, la autorización expresa. Ojo, expresa, para el envío de publicidad. Claro, también hay alguna excepción, la más importante, y asociada a la pronto inicio de aplicación del RGPD, será la del interés legítimo.
  • En la LGDCU -por recordar, Ley General Para la Defensa de Consumidores y Usuarios- solo se podrán entender como realizadas aquellas transacciones que sean realizadas con el consentimiento y aceptación plena e informada del consumidor. Aquellas se realicen de forma engañosa, no tendrán validez.

Conclusiones

Tener una página web requiere de una visión de amplio espectro. Que no solo se vea por la consecución del fin de su puesta en marcha, sino también, de la defensa y garantía de los derechos de nuestros destinatarios del servicio o consumidores.

El cumplimiento de estas normas, no solo protege los derechos de los usuarios o consumidores, sino también de los del titular de la web. Con el cumplimiento de las normas en muchos casos limita su responsabilidad, así como evita incidencias mayores al poner en claro las reglas del juego. Las leyes están para cumplirlas, pero si además las cumplimos como valor añadido podremos conseguir que nuestro sitio web sea reconocido por su fiabilidad y cumplimiento.

Si necesitáis ayuda con la adecuación legal de vuestra web, ecommerce, palataforma Saas, o cualquier otro servicio de la sociedad de la información, no dudéis en contactarnos. Nuestro nuestro servicio de adecuación legal web, software y app, ha sido diseñado para eso.

PS/ Pronto publicaremos el siguiente artículo. Adecuación Legal Web (II). La LSSI.

La reforma de la Ley Orgánica de Protección de Datos es ya un hecho. El pasado viernes 23 de junio, el ministro de Justicia, D. Rafael Catala Polo, presentó ante el Consejo de Ministros, un informe sobre el anteproyecto de  Ley Orgánica de Protección de Datos para adaptarla al reglamento UE 2016/679.

[Actualización 28/06/2017] Hoy se ha publicado el Trámite de Audiencia de información pública del Anteproyecto de modificación de la Ley Orgánica de Protección de Datos. El plazo para presentar observaciones, finaliza el 19/07/2016.  [Actualización 14/01/17] Finalmente el 24/11/2017 el Consejo de Ministros, elevó al Congreso la propuesta de Proyecto de Ley de Protección de Datos. Vamos a ver las enmiendas… Aquí el doc.

Razones por las que se modifica la LOPD

La modificación de la Ley Orgánica de Protección de Datos, obedece a los cambios legislativos introducidos por la Unión Europea, con la aprobación del Reglamento UE 2016/679 (RGPD EU) que entró en vigor el 25 de mayo del 2016, y será de aplicación a partir del próximo 25 de mayo de 2018.

Como es sabido los Reglamentos EU no requieren de una transposición al ordenamiento jurídico interno de los estados. Son de aplicación directa. Pero, como el RGPD en su contenido ha dispuesto que algunos puntos polémicos sean legislados por los estados, por eso se modifica la LOPD. Ahora, no hay carta blanca para nuestro legislador, todo lo que haga debe estar siempre dentro de los marcos establecidos por el Reglamento.

En el caso de España, se ha previsto modificar nuestra actual Ley Orgánica de Protección de Datos. No se creará una regulación nueva, sino que se adaptará  la actual para que no contravenga el RGPD, y a su vez legisle aquellos puntos que están al arbitrio de nuestro legislador.

¿Porqué una Ley Orgánica?

Teniendo en cuenta que hablamos del derecho fundamental a la protección de datos, que se encuentra amparado en el artículo 18.4 de la Constitución española, nuestro ordenamiento requiere que su regulación se haga a través de una Ley Orgánica. Esto presupone una garantía adicional durante el proceso legislativo, ya que requiere una mayoría absoluta para su aprobación, así como para cualquier tipo de reforma.

Novedades de la nueva Ley Orgánica de Protección de Datos

Si nos basamos en el contenido del informe presentado por el ministro de justicia, hablamos de

  • Tratamiento de datos de personas fallecidas por parte de sus herederos.

  • La edad para el consentimiento, se reduce desde los 14 a los 13 años.

  • Aparece el principio de transparencia.

  • Se regulan los sistemas de información crediticia, videovigilancia, exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado (whistleblowing).

  • Se incide también en los derechos de:

    • acceso
    • rectificación
    • supresión
    • limitación del tratamiento
    • portabilidad
  • Se introduce la obligación de bloqueo.

Ahora bien, no son los únicos cambios que introducirá, también hemos de recodar que el Reglamento Europeo de Protección de Datos, nuestro querído RGPD, incluye una nueva forma de hacer las cosas. Ya no es «demuestra que no lo has hecho mal» ahora debemos demostrar que lo hemos hecho bien. Es el accountability, o cumplimiento activo.

Ya no tendremos una lista de medidas de seguridad, ahora hemos de hacer una evaluación de riesgos. Y a partir del resultado, hemos de implantar cuantas medidas de seguridad necesitemos, independientemente de su naturaleza.

Y claro, no podemos olvidarnos, en este recuento -genérico- de novedades, de las Evaluaciones de Impacto en la Privacidad. Esas que traerán un tanto de cabeza a las organizaciones que deban realizarlas; y tampoco podemos terminar este apartado sin nombrar al Delegado de Protección de DatosDPO/DPD.

Vamos, que novedades hay muchas, y nuestro antiguo proyecto de adecuación LOPD va a tener que evolucionar a la fuerza. Tendremos que mejorar nuestro cumplimiento de la Ley Orgánica de Protección de Datos para cumplir con el RGPD y evitar las sanciones, que ¡oh sorpresa! también será modificado el régimen sancionador.

¿Y cuál es el siguiente  paso?

Se deberá presentar la propuesta de modificación al Congreso de los Diputados acompañada de una Exposición de Motivos y de los antecedentes necesarios para  que se pronuncien sobre ella. Luego vendrán las enmiendas, las votaciones, los acuerdos, etc. Uff, nos queda un largo tramo, y al ser una Ley Orgánica y con nuestro parlamento tan fraccionado tenemos que cruzar los dedos para que llegue a tiempo.

¿Cuándo entrará en vigor la nueva LOPD?

La respuesta es «depende». Depende de que se cumplan los plazos que conocemos a día de hoy. Son los siguientes:

  • La directora de la Agencia Española de Protección de Datos, Dª. Mar España, el pasado 28 de mayo dijo que esperaban tener la nueva LOPD aprobada y publicada poco antes de que iniciara la aplicación del RGPD.
  • OJO: Hoy, 26 de junio gracias a el DiarioLaLey de WK hemos tenido acceso al documento en pdf del anteproyecto  y dice que la nueva Ley Orgánica de Protección de Datos entrará en vigor el 28 de mayo del 2018, el mimo día que el RGPD.

Lo que nos queda es empezar a cumplir el RGPD

Definitivamente no podemos dormirnos en los laureles esperando la nueva LOPD. Hay que iniciar un proceso de evaluación de nuestros sistemas de tratamiento de datos, para ir aplicando el RGPD. Iniciar cuanto antes nuestro proceso de adecuación es el plan más idóneo.

Si queréis podéis echar un vistazo al contenido del anteproyecto, que es un buen primer paso. Pero recordad que todavía quedan las enmiendas y todo lo relacionado con el proceso legislativo;  a día de hoy LA FUENTE es el Reglamento Europeo de Protección de Datos.

Si necesitáis ayuda para la adecuación a la normativa de protección de datos, no dudéis en contactar con nosotros. Estaremos encanados de prestaros nuestros servicios.