LOPD Proteccion de datos: mayo 2013

lunes, 27 de mayo de 2013

Incidencias de seguridad y LOPD

Veamos hoy otro de los cambios proyectados en la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en los que respecta al tratamiento de datos personales y a la libre circulación estos datos (Reglamento general de protección de datos.

En España, actualmente, existe una regulación sobre las incidencias de seguridad que afectan a datos de carácter personal. Así, en el artículo 90 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, se exige que exista un procedimiento de registro de notificación y gestión de las incidencias que afecten a datos de carácter personal. El Reglamento añade algunas exigencias más en el artículo 100 para los datos de nivel medio.

La cuestión es que se trata de un procedimiento básicamente de carácter interno, donde se realiza una comunicación interna de lo ocurrido.

La novedad del Reglamento Europeo de protección de datos es precisamente que la comunicación de la incidencia se dirigirá y hará llegar a una Autoridad de control (autoridad pública en materia de protección de datos: la AEPD, por ejemplo).

Esto es lo que plantea el artículo 31 de la propuesta de Reglamento:

Artículo 31

Notificación de una violación de datos personales a la autoridad de control.

1. En caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada y, de ser posible, a más tardar veinticuatro horas después de que haya tenido constancia de ella. Si no se hace en el plazo de veinticuatro horas, la notificación a la autoridad de control irá acompañada de una justificación motivada.

2. Con arreglo a lo dispuesto en el artículo 26, apartado 2, letra f), el encargado del tratamiento alertará e informará al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales.

3. La notificación contemplada en el apartado 1 deberá, al menos:

a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate;

b) comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales;

d) describir las consecuencias de la violación de datos personales;

e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales.

(…)

Y la incidencia de seguridad no sólo será notificada a esa Autoridad de control, sino que también se comunicará al interesado, a la persona afectada. Así lo propone el artículo 32 de la Propuesta de Reglamento:

Artículo 32

Comunicación de una violación de datos personales al interesado.

1. Cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales o a la privacidad del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 31, comunicará al interesado, sin demora injustificada, la violación de datos personales.

2. La comunicación al interesado contemplada en el apartado 1 describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas el artículo 31, apartado 3, letras b) y c).

(…)

Llama la atención de entrada, la brevedad extrema del plazo que se concede para hacer la notificación a la Autoridad de Control. Habrá que estar al plazo que finalmente se apruebe, pero probablemente se mantenga ese mismo.

Todo esto implicará la necesidad de que las empresas cambien su planteamiento de la gestión de incidencias que afecten a datos personales, con objeto de adecuarla a las nuevas exigencias legales.

martes, 21 de mayo de 2013

Google: responsabilidad por enlaces

La Sala de lo Civil del Tribunal Supremo, en su Sentencia nº 144/2013, de 04/03/2013 (Recurso de Casación nº 748/2010, Ponente Excmo. Sr. D.: Juan Antonio Xiol Ríos) ha desestimado un recurso contra Google Inc, y contra su director ejecutivo, planteado por el Sr. P., por la difusión en la web de artículos en los que el referido Sr. P. resultaba implicado en la conocida como Operación Malaya.

Google, en definitiva, permitía enlazar con una serie de noticias de páginas web de Telecinco, PRNoticias y Lobby per la Independencia, que versaban sobre la mencionada cuestión.

El Sr. P. pidió a Google en varias ocasiones que retirara los contenidos alegando que eran falsos, cosa que Google no hizo, entendiendo que el interesado debía dirigirse a los autores de las noticias.

Sobre esta materia, hay que tener presente el contenido del artículo 17 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y del comercio electrónico (LSSICE), según el cual:

Artículo 17 Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda.

1. Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que:

a) No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o

b) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.

Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.

2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el proveedor de contenidos al que se enlace o cuya localización se facilite actúe bajo la dirección, autoridad o control del prestador que facilite la localización de esos contenidos.

Google básicamente alegó no tener conocimiento efectivo de la ilicitud de la información a la que enlazaba.

Por su parte, el Ministerio Fiscal interesó la desestimación del Recurso de Casación, al entender que la responsabilidad de los intermediarios en la sociedad de la información (caso de Google) no se produce salvo que hayan originado la transmisión o modificado o seleccionado datos, y siempre que no tengan conocimiento efectivo de la ilicitud de la información.

Así resuelve, básicamente, el Tribunal Supremo la cuestión en el Fundamento de Derecho 5º de la Sentencia referida:

[…] de los hechos acreditados no puede inferirse de forma lógica, al alcance de cualquiera, que la información era falsa ni tampoco que se revelara de su contenido su carácter ilícito, supuesto en el que esta Sala ha declarado en otros casos la existencia de conocimiento efectivo. La circunstancia de que la persona que se consideraba ofendida se hubiera dirigido a Google para la retirada de la información por considerarla ilícita no es suficiente para que se produzca esta conducta, cuando, como aquí ocurre, la información por sí misma tampoco revelaba de manera notoria su carácter ilícito […] Por tanto, esta Sala coincide con la valoración fáctica y jurídica de la sentencia recurrida, sin que ninguna vulneración del artículo 17 de la LSSICE se haya producido, habiéndose realizado una aplicación correcta del mismo al excluir de responsabilidad a la entidad demandada por falta de conocimiento efectivo de la falsedad de la información.

martes, 14 de mayo de 2013

Derechos ARCO y computo plazos

El ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO, en fórmula abreviada) se regula con detalle en los artículos 23 y siguientes del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En lo que se refiere a los plazos, la norma fija los siguientes:

1. La solicitud de ACCESO ha de ser respondida en el plazo de un mes, y el acceso se facilitará en el plazo de 10 días a contar desde la comunicación de concesión del acceso.

2. En las solicitudes de RECTIFICACIÓN Y CANCELACIÓN , el responsable del fichero tiene un plazo de diez días para contestar, a contar desde la recepción de la solicitud.

3. En las solicitudes de OPOSICIÓN, el responsable cuenta con idéntico plazo de 10 días para responder.

¿Y cómo se han de computar estos plazos?

Aclaró este tema la propia Agencia Española de Protección de Datos, por escrito, en su 1ª Sesión Anual Abierta del año 2008. Así, a la pregunta “¿Cómo operan los plazos computados por días en el nuevo Reglamento (por ejemplo para el ejercicio de los derechos de rectificación, cancelación y oposición?”, se respondió que:

Los plazos se computarán en días hábiles, excluyendo los domingos y festivos en el lugar donde se encuentre quien deba resolver la solicitud de ejercicio de los derechos.

Y mucho ojo con el incumplimiento de alguno de estos plazos, ya que darán lugar con mucha probabilidad al inicio de un expediente sancionador contra ti o tu empresa.

lunes, 6 de mayo de 2013

Responsabilidad por comentarios en web

Hoy día es muy habitual encontrarnos con páginas web, blogs, u otros espacios en los que abundan los comentarios de lectores y usuarios.

Y la cuestión jurídica que se puede plantear muchas veces es: ¿quién resulta responsable ante la Ley por el contenido de esos comentarios, cuando atentan contra el honor de las personas?

En Sentencia reciente, de fecha 26 de febrero de 2013, el Tribunal Supremo mantiene que es responsable el administrador de la web, manteniendo la misma línea que ya se venía siguiendo hasta ahora por el referido Tribunal.

En esta materia, es necesario remitirse al artículo 16 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), que establece lo siguiente:

1. Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que:

a) No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o

b) Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.

2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control de su prestador.

Ya ha dicho el Tribunal Supremo en otras ocasiones (asuntos “alasbarricadas” y “putasgae”) que la expresión final de párrafo 2º del apartado primero de este artículo (“otros medios de conocimiento efectivo que pudieran establecerse”), conduce a que pueda entenderse que hay conocimiento efectivo cuando así se deduzca de la propia comunicación remitida como por la naturaleza de los contenidos.

Es decir, que el Tribunal Supremo sostiene que si en una web se publica una noticia con un titular atrayente y que es obvio que va a originar polémica y posibles comentarios lesivos, el responsable de la web tiene que vigilar especialmente los comentarios que allí se viertan. Literalmente, el citado Tribunal lo expresa así:

La entidad demandada, como titular de la página web y creadora del foro de debate abierto, debió extremar las precauciones y ejercer un mayor control sobre las opiniones y comentarios alojados, cuyas connotaciones despectivas y peyorativas para el demandante no podían pasarle inadvertidas.

Por tanto, al menos deberías tener precaución con los comentarios que publicas en tu web, ya que podrías acabar siendo considerado responsable de aquellos que lesionen la dignidad de otras personas.

¿Quien soy?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿Cuál es mi titulación?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero...).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

¿Tengo sellos?

Sin duda, a estas alturas de mi blog, te estarás preguntando si tengo un sello de calidad, medio ambiente o seguridad de la información, que como bien sabes garantiza la calidad de mis procesos de trabajo, contraseñas y lo limpia que tengo la escobilla del wáter, sobre todo el día que viene el auditor a renovarme el sellito, que es el único día que cumplo los procedimientos y los falsifico en un 99,9% para que el muy tonto me siga permitiendo exhibirlo y me cobre mi cuota anual ( y de paso él también pueda seguir cobrando)... Pues sí, tengo un sello (además, otorgado por el mismísimo Rey), por si quieres verlo:

¿Soy "miembrode"?

Y si eres de los que hila aún más fino, también te asaltarán las dudas sobre si soy miembro de alguna Fundación, Asociación, o ente corporativo que aúne a profesionales como yo.

Pues no. No soy “miembrode”. Lo he sido durante muchos años, pero ahora soy un "espíritu libre de".

Ser “miembrode” significa pagarle a otro X euros todos los meses a cambio de que te deje exhibir su logo, imagen y usar su sistema de trabajo y sus precios. Hablando en plata: una franquicia.

Me encanta la comida que ponen en montones de franquicias de restauración y me parecen negocios estupendos, en la mayoría de los casos.

Pero lo de los temas jurídicos es distinto, y los "miembrosde" y las franquicias no me convencen nada, la verdad. Ellos lo llaman cuestión de imagen, y calidad y excelencia de sus "miembrosde".

Yo lo llamo tomadura de pelo.

Sí. Otra.