Día Europeo de la Protección de Datos: Quedan 117 días para el RGPD ¿Está preparado para el cambio?

Ahora sí que sí. Este es el año. Y este día nos tiene que servir para reflexionar sobre qué estamos haciendo en nuestras organizaciones para cumplir con la nueva legislación de protección de datos: el nuevo Reglamento UE 2016/679 General de Protección de Datos (RGPD).

Hoy 28 de enero es un día especialmente importante porque en este año asistimos a un cambio normativo sin precedentes en la regulación de la privacidad. Todos, empresas y ciudadanos, debemos conocer su alcance.
La Agencia Española de Protección de Datos ha sido fértil en los últimos meses en la publicación de guías y documentos de ayuda. Con motivo de este día ha preparado, entre otras cosas, una infografía que resume los derechos de los ciudadanos.

Pero ¿y las empresas? ¿saben ya el alcance de las nuevas obligaciones? Recordemos sucintamente algunas de las obligaciones que toda entidad que realice tratamiento debe cumplir:

1.- El registro de actividades de tratamiento: ¿sabemos los datos que tratamos y cómo los tratamos? El RGPD obliga a llevar un registro de actividades de tratamiento con una información mínima.
2.- El cumplimiento del principio de responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que se preocupan de los datos que tratan. No es suficiente un cumplimiento formal: hay que demostrarlo día a día.
3.- La revisión de los consentimientos y de las cláusulas de información: los consentimientos por silencio o por defecto ya no son válidos. Ahora tienen que ser específicos para finalidades concretas. Además, ahora hay que informar de algunos nuevos aspectos del tratamiento. Esto exige una revisión de las cláusulas de información y de las formas de recogida de los consentimientos.
4.- La revisión de las relaciones y contratos con terceros con acceso a datos. La elección de un encargado de tratamiento es, en sí misma, una responsabilidad pues debe reunir unas condiciones mínimas y recogerlas en un contrato. Más que nunca debe revisarse y actualizarse la relación de encargados de tratamiento de las organizaciones.
5.- La realización de análisis de riesgos. El nuevo RGPD se enfoca sobre la base del riesgo de los tratamientos y si bien y según la propia Agencia Española de Protección de Datos, el 75% de las empresas españolas tienen datos de riesgo bajo, éstas tienen que ser conscientes de cuáles pueden ser sus riesgos a la hora de tratar datos (y por cierto, aquí el tamaño no importa sino la categoría de los datos y sus “circunstancias”).
6.- La creación de procedimientos para la notificación de brechas de seguridad. Si la organización sufre una “brecha de seguridad” habrá que notificarla a la Agencia Española de Protección de Datos a las 72 horas de haber tenido conocimiento. Esto exige crear un procedimiento de detección e identificación de las incidencias así como su gestión y comunicación y por supuesto, subsanación.
7.- La satisfacción de los nuevos derechos: limitación y portabilidad (además de los ya existentes). Nuevos derechos cuya petición debe atenderse. ¿Saben las empresas cómo? Tendrán que tenerlo previsto.
8.- La designación de un Delegado de Protección de Datos en los casos que establece el RGPD. No en todos los casos pero sí habrá organizaciones que lo necesiten y a ser posible acreditado.

¿Están las empresas grandes y pequeñas preparadas? Parece que no. Y quedan cuatro meses escasos…

Aunque suene a tópico las multas son muy elevadas (20 millones de euros o el 4% de la facturación mundial en los casos más graves). La propia Agencia Española de Protección de Datos ha afirmado que las nuevas exigencias se “aplicarán con flexibilidad pero con rigor” y es que el 25 de mayo está a la vuelta de la esquina. Ojo, no se trata de “empezar” el 25 de mayo sino que en esa fecha ya se debería estar cumpliendo… No hay régimen transitorio pues desde que se publicó el RGPD (en 2016) hemos tenido dos años para concienciarnos, sensibilizarnos y preparar nuestras organizaciones.

Ya no hay excusas: si hasta ahora en su organización no se ha afrontado el cambio, es necesario abordarlo. Recordemos que el derecho a la privacidad es un derecho fundamental y si cada de uno de nosotros reflexiona a título personal coincidiremos que en estos tiempos que corren agradeceremos que nuestros datos estén un poco más seguros.

Paz Martín

Legal Things Abogados

28 de enero de 2018

Día Europeo de la Protección de Datos

Comienza la cuenta atrás: Aprobado el Proyecto de nueva Ley Orgánica de Protección de Datos de carácter personal

El pasado viernes 10 de noviembre el Consejo de Ministros aprobó la remisión a las Cortes Generales el Proyecto de Ley Orgáncica de Protección de Datos (LOPD), el nuevo texto que sustituirá a la actual LOPD.

El propósito de este proyecto es adaptar la legislación española a las exigencias del Reglamento UE 2016/679 General de Protección de Datos, reglamento que como sabemos entrará en pleno funcionamiento el próximo 25 de mayo de 2018.

Destacamos a continuación algunas novedades significativas en el entendimiento de que esta Ley Orgánica no podrá legislar contraviniendo lo ya regulado en el Reglamento aunque sí matizar algunos aspectos. Recordemos igualmente que los reglamentos comunitarios no precisan de trasposición, por lo que esta nueva LOPD contemplará aspectos que el Reglamento no deja desarrollados o remite a la regulación de los estados miembros.

La mayoría de edad para los datos personales

Se adelanta la edad de consentimiento para el tratamiento de datos a 13 años. Un menor de 13 años podrá facilitar sus datos personales por sí mismo y sin el consentimiento de sus padres o tutores (actualmente la edad es de 14 años).

Tratamiento de datos de las personas fallecidas

Se toma en cuenta especialmente en lo que se refiere a la solicitud de los herederos (pensemos en las nuevas realidades de las redes sociales y la posible cancelación de los datos ejercitada lógicamente por los herederos de las personas fallecidas).

Consentimientos

Siendo este uno de los temas críticos del nuevo RGPD, se contempla igualmente en el proyecto eliminándose el consentimiento tácito y por silencio para dar paso a la acción afirmativa y expresa. Se acabó el “acepto” para múltiples finalidades o el “si no nos dice lo contrario”…

Principio de transparencia

Otro principio acuñado por el RGPD y que se traduce en el derecho de los afectados (los titulares de los datos) a ser informados sobre los tratamientos de una forma clara y sobre más aspectos de los que hasta ahora contemplaba el artículo 5 de la LOPD, además de contemplar los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.

Categorías especiales de datos

Se mantiene la prohibición de almacenar datos de ideología, religión, afiliación sindical, religición, orientación sexcual, origen racial o étnico y creencias. No basta con el consentimiento para el tratamiento de estos datos

Interés legítimo

El tratamiento de datos será lícito si se basa en el consentimiento, en una norma con rango de ley pero también en el interés legítimo de quien trata los datos (en determinadas cuestiones). La nueva LOPD contemplará situaciones en las que prevalece el interés legítimo del responsable del tratamiento como en los sistemas de intervención crediticia y probablemente alineado con el reciente pronunciamiento de la Agencia Española de Protección de Datos a través del Informe 0195/2017 del Gabinete Jurídico aclarando precisamente este aspecto.

El Delegado de Protección de Datos

La nueva LOPD recogerá obligaciones de esta nueva figura así como un catálogo no exhaustivo de responsables de tratamiento que estarán obligados a designar esta figura.

Otras cuestiones

Mecanismos de autorregulaciónnuevos derechos (limitación y portabilidad), la posibilidad de que los canales internos de denuncias puedan ser anónimos, coordinación con otras autoridades tanto autonómicas como de otros estados miembros a través de procedimientos de cooperación, serán algunas cuestiones que abordarán el nuevo texto.

Se nos plantean algunas incógnitas una vez el proyecto avance en sede parlamentaria ante el actual panorama político y la particular configuración parlamentaria. Recordemos que el derecho a la protección de datos es un derecho fundamental, recogido en el artículo 18 de nuestra Constitución y su regulación se hace imprescindible para garantizarlo.

Seguiremos informando pero desde luego es hora, si no lo han hecho ya, de ponerse manos a la obra para adaptarse a la nueva legislación pues la nueva LOPD no va a ampliar el Reglamento europeo sino en todo caso lo va a matizar. Esperar a su aprobación sería una temeridad para las organizaciones pues un cambio legislativo como al que nos enfrentamos no se aborda de un día para otro.

La idea es que la nueva Ley Orgánica de Protección de Datos de Carácter Personal entre en vigor a la vez que el nuevo Reglamento…

Es hora de reflexionar sobre lo que se está haciendo, cómo se tratan los datos, qué novedades nos exige el RGPD y empezar a hacer los cambios para que el 25 de mayo de 2018 estemos tranquilos.

Paz Martin

¿De quién es el código fuente de una App, web o software? Propiedad intelectual y contratos

Siendo un tema habitual no es por ello menos recurrente la consulta de a quién pertenece el código fuente de un programa de ordenador o de una app.

Ambos son objeto de propiedad intelectual y sus particulares circunstancias están reguladas en el Texto Refundido de la Ley de Propiedad Intelectual (Real Decreto Legislativo 1/1996, de 12 de abril).

El código fuente es una parte del programa de ordenador y pertenece como el resto de las partes, de entrada, a su autor, a su creador, en nuestra terminología: al desarrollador.

Los derechos de propiedad intelectual se transmiten (excepto los morales que son irrenunciables e inalienables).

Ahora bien, nada dice la Ley al respecto del código fuente (con excepción de los límites a la solicitud de consentimiento- véase artículo 100) y surgen algunas dudas sobre si el código fuente, esto es, el lenguaje de programación pertenece a su creador para siempre o si es transmitido a quien ha pagado, por ejemplo, por el desarrollo de tal programa (web, app, etc). Además, lo habitual es que quien haya desarrollado la web o la app se ocupe igualmente de su mantenimiento, actualización etc.

¿Qué sucede cuándo el cliente “exige” el código fuente?

En este punto utilizaremos una de nuestras palabras favoritas: “depende”.

Vaya por delante que este post no es un artículo doctrinal sino que pretende recoger unas líneas prácticas básicas de cuestiones reiteradamente planteadas por clientes: desarrolladores y clientes que encargan productos.

Pensemos en esos programas o aplicaciones por las que al pagar, en el fondo, estamos adquiriendo una licencia de uso. No encargamos un desarrollo, simplemente usamos algo que ha sido creado y es propiedad de otro (ojo que pueden ser personas distintas). En este caso, el usuario no tiene más derechos que los que se derivan de la propia licencia de uso.

Segundo escenario: una aplicación o programa comercial, necesita para adaptarse a nuestra empresa, una “personalización” o desarrollo específico para que funcione en nuestra organización. Hay una parte de desarrollo que el desarrollador vende a diferentes empresas y que supone la esencia de su propio negocio (y que por supuesto no estará dispuesto a entregar) y otra parte que implica un desarrollo muy personalizado de esa aplicación digamos “comercial”. De aquí surgen la mayoría de las consultas.

Tercer escenario: solicitamos “un traje a medida” un desarrollo específico siguiendo nuestras instrucciones e indicaciones precisas de lo que queremos, cómo lo queremos y cómo queremos que funcione. Digamos que el desarrollador es un “ejecutor” de las instrucciones del cliente.

Vaya por delante que en materia de aplicaciones, webs y software de gestión “personalizado” nos encontramos ante situaciones “híbridas” y ni el traje a medida es tan a medida ni el desarrollador es un mero “ejecutor” sino que parte de un know-how y desarrollos y conocimientos propios y previos.

Se trata de tres escenarios distintos en los que lo habitual, es que no medie ningún tipo de contrato en el que se especifique de quién son los derechos de propiedad intelectual. Quizás, sólo en el primer caso, en las licencias de uso o End-User Licence Agreement (EULA), la descarga o instalación suele ir acompañada de una aceptación de unos términos y condiciones donde se admite que estamos claramente ante una licencia de uso sin más derechos que los establecidos en la Ley de Propiedad Intelectual.

En el resto de los casos, la propuesta de trabajo, el presupuesto o los términos del desarrollo rara vez especifican claramente la propiedad intelectual del desarrollo y lo que es más importante, la obligación o no de entregar el código fuente al “cliente”, esto es, a quien ha encargado el desarrollo y/o lo va a utilizar.

Esta cuestión ha llegado a los tribunales y contamos de hecho con dos resoluciones, una de ellas del Tribunal Supremo que abordan claramente esta cuestión y que nos ofrecen una pauta de lo que debería ser: Nos referimos a la Sentencia de la Sala Primera del Tribunal Supremo17 de mayo de 2003 (num. 492/2003) en la que fruto de un conflicto entre desarrollador y cliente, se discute la obligación de la entrega del código fuente para realizar modificaciones para adaptarlo a las necesidades del usuario y actualizarlo.

En el caso de autos el programa se había encargado “a medida” y la Sala concluye que procede la entrega del código fuente al “cliente” porque “hay que tener presente que el programa informático objeto de autos, no se refiere a un producto standard, sino que ha sido un programa individualizado y además sobredimensionado; lo que pretenden hacer los demandados no es una reproducción del mismo, sino de una modificación para adaptarlo a las necesidades del usuario que encargó el programa de ordenador, lo que unido a la circunstancia de que se cumplen los supuestos del citado precepto -similar al actual artículo 100 de la Ley actual-:

  1. Los reconvinientes son los legítimos usuarios del programa.
  2. Que los actos de modificación son necesarios para la utilización del programa de ordenador con arreglo a la finalidad propuesta. Supuesto este último que se deduce de la propia prueba pericial acordada para mejor proveer, y del propio hecho de que los demandados reconvinientes tuvieron que adquirir de distinto proveedor nuevo programa, apenas utilizado el anterior y ello, por no haberles sido entregada una copia de las “fuentes” del programa de ordenador individualizado, ya que sin ella no se puede actualizar el programa hecho a medida ni por supuesto introducir posibles mejoras”.

De esta Sentencia y de otra posterior de la Audiencia Provincial de Valencia de 13 de marzo de 2006 (num. 164/2006) se infieren varias a cuestiones a tener en cuenta:

  1. Que es fundamental especificar en los contratos la entrega o no del código fuente y en su caso, el cobro de una cantidad adicional por aquel, para aclarar la posición de las partes y para evitar interpretaciones posteriores, especialmente si estamos ante desarrollos en los que ni el desarrollador parte de cero sino que utiliza como base desarrollos propios anteriores, es decir que el traje “a medida” es discutible.
  2. Que en función del tipo de desarrollo podemos estar o no obligados a dicha entrega pues de hecho los desarrolladores, como autores materiales del programa, aducen que “habitualmente no se entrega pues constituye el instrumento empresarial para la creación de las páginas web”.
  3. Las reglas de interpretación de los contratos tienen en cuenta en primer lugar lo pactado por las partes pero también la propia naturaleza del encargo (si es a medida o no) y que en el caso de haberse realizado a medida no se admitirían restricciones al respecto. Es especialmente ilustrativa a efectos de la interpretación de la voluntad de las partes en un contrato de estas características la Sentencia de la Audiencia Provincial de Málaga de 26 de diciembre de 2014 (num. 910/2014) que cita a su vez una consolidada doctrina jurisprudencial del Tribunal Supremo que afirma que “si la claridad de los términos de un contrato no dejan duda sobre la intención de las partes, no cabe la posibilidad de que entren en juego las restantes reglas contenidos en los artículos siguientes (al 1281 del Código civil) que vienen a funcionar con el carácter de subsidiarias.

Los supuestos comentados y objeto de sentencia tienen unas características concretas y las conclusiones a las que llegan los tribunales no son absolutas sino aplicadas a esos casos. En cualquier caso, sí apuntan, como se puede comprobar, a la voluntad de las partes desde el comienzo de la relación. El problema es cuando “la voluntad de las partes” no queda clara en ninguna parte y es contradictoria.

Por lo tanto y a modo de conclusión, consejos para desarrolladores, creadores y demás:

  • Recoger todos los aspectos en un contrato, más sencillo o más complejo, pero en el que queden definidas estas cuestiones que posteriormente pueden dar lugar a conflictos.
  • En el caso de desarrollos más o menos a medida, en lugar de una entrega inmediata del código fuente, se puede pactar su depósito en un tercero de confianza mediante la firma de un “contrato de escrow”, de forma que el código es recuperable por el cliente en los casos en los que el desarrollador desaparezca o se encuentre en posición de no poder garantizar el mantenimiento o el soporte de dicho desarrollo.
  • Y por supuesto consultar antes de entregar todo o de decir que no de forma taxativa, pues en estas cuestiones no reguladas específicamente en las leyes, más vale prevenir…

Paz Martin

¿Qué va a pasar con los ficheros de datos declarados ante la Agencia Española de Protección de Datos?

Como ya sabemos, el 25 de mayo de 2018 será de plena aplicación el nuevo Reglamento UE 2016/679 General de Protección de Datos (al que nos referimos ya como RGPD). Esta nueva legislación establece nuevas obligaciones y sobre todo exige un cambio de mentalidad en la organizaciones en lo que a la protección de la privacidad se refiere.

Sin embargo, una de las obligaciones que hasta la fecha era casi la “protagonista” del cumplimiento formal de la normativa de protección de datos, desaparece: nos estamos refiriendo a la obligación de declarar los ficheros de datos ante el Registro de la Agencia Española de Protección de Datos.

Esta obligación era considerada para muchos la única y principal en lo que a cumplimiento de la ahora vigente LOPD: nada más lejos de la realidad. Sin embargo sí ha servido durante estos casi dieciocho años para comprobar la estructura de los tratamientos en las organizaciones, la tipología de los datos tratados, las actividades e incluso la propia estructura interna de las organizaciones (si tienen o no canal de denuncias, si tienen o no cámaras de videovigilancia, etc).

El RGPD no contempla esta obligación y por lo tanto, a partir del 25 de mayo, ya no será necesario comunicar los ficheros ante la Agencia Española de Protección de Datos.

Hasta entonces ¿sigue siendo obligatorio declarar ficheros?

La respuesta es sí. La actual LOPD quedará sin efecto con la entrada en vigor del nuevo Reglamento que como sabemos deroga la Directiva 95/46/CE de la que deriva nuestra actual LOPD. Por lo tanto, y mientras tanto, será obligatorio declarar ficheros, actualizar lo que corresponda y cancelar los que ya no existan.

Pero además existe una nueva obligación contemplada en el RGPD para la que la declaración actual de los ficheros es clave: la obligación de registro de las actividad de tratamiento establecida en el artículo 30. Pero ojo, esta obligación no aplica en todos los casos:

  • No se aplica a empresas u organizaciones que emplee a menos de 250 personas
  • A menos que el tratamiento que realice pueda entrañar un reisgo para los derechos y libertades de los intereados
  • No sea ocasional
  • o incluya categorías especiales de datos personales
  • o datos personales relativos a condenas e infracciones penales

¿En qué consiste ese “registro de actividades de tratamiento” que establece la nueva legislación?

Pues se trata de llevar una relación de lo que se hace en materia de datos que incluya, al menos:

a) El nombre y los datos de contacto del responsable así como del Delegado de protección de datos

b) Los fines del tratamiento

c) Una descripción de las categorías de interesados y de las categorías de datos personales

d) Las categorías de destinatarios a quienes se comunicaron o cumunicarán los datos personales, incluidos lo que se encuentren en terceros países u organizaciones internacionales

e) las transferencias internacionales de datos

f) Los plazos previstos para la supresión de las diferentes categorías de datos

g) Una descripción, cuando sea posible, de las medidas técnicas y organizativas adoptadas

También los encargados de tratamiento deberán indicar las actividades de tratamiento realizadas para un responsable.

Al que haya declarado ficheros ante la Agencia Española de Protección de Datos, lo anterior no le resultará completamente ajeno por lo que los actuales ficheros podrán servir, sin lugar a dudas, como base para cumplir con la obligación de llevar un registro de actividades de tratamiento puesto que gran parte de la información ya está recogida.

No en vano, la propia Agencia Española de Protección de Datos acaba de habilitar recientemente una nueva funcionalidad en su sede electrónica precisamente para solicitar copia de los ficheros inscritos que será facilita en formato electrónico.

Lo que pase a partir del 25 de mayo de 2018 con ese registro, es, en principio un misterio pues al dejar de ser obligatoria la declaración, el Registro de la Agencia quedará desactualizado aunque no sabemos si se mantendrá un tiempo para facilitar a los responsables la “reconversión” de sus ficheros o si quedará sin acceso. No obstante, antes de la citada fecha, conviene hacer los deberes en los casos en los que la empresa u organización vengan obligados a llevar ese registro.

Por lo tanto y como recomendación:

1.- Revisar los ficheros actuales, actualizando y modificando lo que proceda pues nos van a servir de base para otras obligaciones que sí establece el RGPD.

2.- Solicitar en su caso a la propia Agencia Española de Protección de Datos esa copia para comenzar a confeccionar el registro de actividades de tratamiento descrita en el artículo 30 del RGPD.

3.- Reflexionar y abordar la transición al nuevo Reglamento para que el cumplimiento, llegada la fecha, sea adecuado y no “entren prisas”.

4.- Y sobre todo y no menos importante, no está de más, dejarse asesorar por profesionales cualificados que diseñen planes a medida y ayuden en el cumplimiento más adecuado para cada organización.

Paz Martin