Entradas

Diez cosas que toda empresa debe saber ahora sobre protección de datos

28 de enero: DIA EUROPEO DE LA PROTECCIÓN DE DATOS

Llevamos un año extraño, esto es indiscutible. Cualquier actividad económica, empresarial, profesional o personal se ha visto afectada por el Covid19.

En un año han pasado muchas cosas y una de ellas es que la privacidad sigue siendo muy (o más) importante.

La tecnología y los negocios digitales se han convertido en la tabla de salvación de muchos negocios y también de muchas personas que gracias a plataformas, videollamadas y chats se han mantenido conectadas con sus seres queridos a los que no pueden ver.

Por ello la privacidad está, más que nunca, de actualidad.

Y  también actualizados debemos estar los profesionales que no podemos bajar la guardia porque constantemente se producen novedades que afectan a grandes y pequeños. Es nuestra obligación transmitir, de la forma más transparente posible, el alcance de las obligaciones de aquellos que tratan datos. El tamaño no importa.

Proteger los datos y cumplir no admite “suspensiones” ni “confinamientos”. De hecho, es momento, más que nunca para ser ejemplares y transmitir a quienes hacen las cosas bien que este cumplimiento puede ser un plus frente a sus clientes y usuarios.

Ahora mismo hay una serie de aspectos que cualquier empresa -incluimos profesionales- o entidad (grande o pequeña) que trate datos tiene que saber:

1.- Las obligaciones de la normativa de protección de datos están ahí para cumplirlas y no hay excepciones

Muchas empresas simplemente están sobreviviendo. Algunas se están quedando por el camino. Pero ello no es óbice para darle la espalda a los derechos de las personas: trabajadores, clientes, usuarios, proveedores, etc

La pandemia ha convertido el teletrabajo en una alternativa al trabajo presencial (ahora por obligación y en el futuro, por opción) pero ello no puede suponer que se baje la guardia en la seguridad de los datos con las dificultades que para muchas empresas ello supone.

En 2020 se ha producido muchas brechas de seguridad algunas debido a incumplimientos de medidas básicas de seguridad o de una mala gestión de los datos personales. No ha sido fácil pero no hay periodos de gracia que puedan invocarse aquí.

2.- Que las autoridades de protección de datos no han dejado de sancionar

No hay más que echarle un vistazo a las últimas sanciones de la Agencia Española de Protección de Datos pero también de otras autoridades de protección de datos de los estados miembros de la Unión Europea.

Y no sólo se ha sancionado a empresas grandes (dos entidades financieras de primera línea recientemente con una sanción máxima de 6 millones de euros) sino también a empresas pequeñas, startups e incluso a particulares que no han cumplido la normativa.

3.- Que desde julio de 2020, parece que “de repente” existen las transferencias internacionales (no hay mal que por bien no venga)

En el mes de julio el Tribunal de Justicia de la Unión Europea dicta la ya famosa Sentencia Schrems II que declara inválido el Privacy Shield (protocolo que “bendecía” las transferencias internacionales de datos entre la Unión Europea y Estados Unidos).

Ello nos ha obligado a regular esas transferencias internacionales. En la mayoría de las empresas han aflorado transferencias a otros países que ya existían pero que no se había detectado, documentado y comprobado en términos de cumplimiento acorde con el RGPD.

4.- Que estamos hasta el gorro de las cookies pero no nos queda más remedio que hacerlo bien

Ya no hay medias tintas. Las cookies exigen consentimiento expreso. El usuario tiene derecho a saber y a elegir. Las fórmulas “a medias” o poco claras, no valen. La última modificación de la Guía de Cookies de la Agencia Española de Protección de Datos también en julio de 2020 ha obligado a revisar las cookies de todas las webs para identificar perfectamente qué cookies se utilizan y ofrecerle al usuario la posibilidad de seleccionar aquellas que quiere que se instalen.

Aunque ya se habla de un futuro sin cookies (ojo, pero con otros identificadores que hagan funciones similares) de momento las tenemos para rato y la Agencia Española de Protección de Datos es competente para sancionar, no tanto por el RGPD sino en aplicación de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

5.- Que Reino Unido ya no está en la Unión Europea (es decir, en principio que el GDPR no va con ellos…. Con matices)

Reino Unido ya no pertenece al conjunto de los países a cumplir con el RGPD y por lo tanto los datos que viajen a aquel país (por ejemplo el mero hecho de contratar un proveedor tecnológico en aquel país) deberá acogerse a las excepciones contempladas en el propio GDPR (una declaración de adecuación sería lo deseable y es lo esperado pero también existen las cláusulas contractuales tipo y otras alterativas válidas, entre otras soluciones). De momento, se ha concedido un periodo de seis meses adicionales.

6.- Que no sólo se sanciona a los grandes.

Ya lo hemos comentado antes pero conviene insistir. Que sancionen a un banco parece que aleja la preocupación de los pequeños. Pero ojo: ya hay sanciones por no informar adecuadamente en las políticas de privacidad de la web, por enviar correos electrónicos con copia abierta a otros destinatarios, por no haber adoptado medidas de seguridad y en el caso de particulares, por haber difundido contenidos ilícitos sin el consentimiento de los interesados, por poner un ejemplo.

Si bien la cuantía de las sanciones suele ser proporcional y se aprecian muchos «apercibimientos» como medida sancionadora muy utilizada, no es motivo para dejar de trabajar en modelos de cumplimiento normativo y de mejora continua.

7.- Que el Reglamento E-Privacy que va por la no-se-cuantas versiones está en el horno

Llevamos más de cuatro años esperando el texto que actualizará entre otros aspectos la privacidad de las comunicaciones electrónicas, el régimen de las comunicaciones comerciales electrónicas o las cookies.

Recientemente bajo la presidencia portuguesa se ha publicado una última versión que está siendo objeto de debate. Otro texto al que nos tendremos que adaptar y que será (como todo Reglamento) de directa aplicación en todos los países de la Unión Europea. A estos efectos es interesante conocer la declaración que recientemente ha realizado el Comité Europeo de Protección de Datos al respecto.

8.- Que nos hemos vuelto tecnológicamente más dependientes y por ello hay que extremar las cautelas

A veces asusta lo dependientes que somos de la tecnología. Ya hay muchas empresas  sin papeles lo cual medioambientalmente es muy sostenible pero también nos hace más vulnerables.

La seguridad cobra un papel fundamental no sólo como una cuestión prioritaria para proteger la información en general sino como una política «de la casa» que debe transmitir a sus empleados y colaboradores una forma de trabajar y unos hábitos de seguridad «saludable».

No invertir en ciberseguridad, no tener un sistema adecuado de copias, de detección de virus e intrusos, etc puede echar al traste con la información (y con los datos personales) de cualquier organización. Y aquí, el tamaño tampoco importa.

9.- Que los negocios online están triunfando “Digital businesses don´t stop”

Aquí hablamos desde nuestra experiencia. Aquel que ha llevado su negocio tradicional al mundo digital (o al menos su visibilidad) o al menos lo compatibiliza tiene más opciones de sobrevivir.

La pandemia nos ha enseñado que hasta un fisioterapeuta puede «reinventarse» ofreciendo sesiones «virtuales» u otras alternativas. Los bares y restaurantes se han apuntado a plataformas de «delivery» y empresas y profesionales que tradicionalmente sólo atendían presencialmente, han encontrado una alternativa a su negocio. Ello implica cumplimiento normativo trasversal (ecommerce, protección de datos, propiedad intelectual, derecho de los consumidores, etc)

10.- Que a veces somos paranoicos con la privacidad justo cuando menos hace falta: ejemplo, las aplicaciones de rastreo.

La mayor sensibilización poblacional sobre su privacidad siempre es buena pero, en este caso, no se ha puesto el ojo en el lugar correcto.

En la era del selfie y de las fotografías absurdas a todo lo que se mueve (y lo que no), cuando el propio individuo “vende” su alma al diablo tecnológico nos entran los escrúpulos con las aplicaciones de rastreo porque… “vete tú a saber qué se hace con los datos”. Como dice una amiga Meeeecccc, error. Qué útil hubiera sido poder detectar cómo nos estábamos contagiando, en qué lugares y circunstancias.

Tal vez se hubiera podido controlar todo mejor. Las aplicaciones de rastreo tienen sus pegas y pueden ser muy cuestionables en algunos aspectos pero cuando se trata de salud pública nos hemos convertido en los “tikismikis” de la privacidad.

En nuestra opinión, en estos momentos un poquito de solidaridad en este sentido ayudaría mucho a entender mejor un virus y una enfermedad que tampoco distingue entre grandes y pequeños, ricos o pobres, jóvenes y mayores (aunque lamentablemente estos últimos se están llevando la peor parte.

Y sin enrollarnos mucho más, conviene hacer una reflexión sobre el grado de exposición en las redes sociales y su influencia a todos los niveles en las personas, sobre todo en este último año… pero eso será objeto de otro post.

Echando la vista atrás, estamos mejor en privacidad. Queda mucho por hacer pero el GDPR ha calado y en general existe una mayor transparencia y se ha reforzado el poder soberano del individuo sobre sus datos (al menos en la Unión Europea). Felicitémonos por ello en este día europeo de la protección de datos sin dejar de trabajar.

#losdetallesimportan

Paz Martin

28 de enero de 2021

El Reglamento General de Protección de Datos cumple años. ¿Estamos mejor?

Estamos de celebración. El RGPD (o GDPR para los amigos) cumple dos añitos de pleno funcionamiento.

¿Quién nos iba a decir que dos años después media humanidad iba a estar confinada por un virus (no informático) que nos ha cambiado el orden de las prioridades?

Dos años en los que el RGDP tiene ya un cierto recorrido de aprendizaje, de aplicación y también de cuantiosas sanciones. Dos años que culminan con una prueba de fuego a la privacidad: datos de salud, pasaportes de inmunidad, aplicaciones de contacto, teletrabajo, teleenseñanza, sociedades hiperconectadas…

En estos meses, desde que la Organización Mundial de la Salud declaró la pandemia por Covid19 han sido muchos los temas en los que el RGPD ha estado muy presente. Todas las autoridades de control de la UE han emitido informes, documentos, posiciones y recomendaciones sobre temas diversos: desde la posible restricción de derechos en los declarados estados de alarma (o similares en los países de nuestro entorno) hasta la necesidad de recabar los datos de salud para entender cómo se está comportando el virus y poder atajar su propagación.

Pero el RGPD tiene mucho más recorrido y si miramos atrás, podemos decir que el que más o el que menos ha oído hablar de esta norma; que el que más o el que menos ha intentado aplicarla y el que más o el que menos conoce sus derechos.

Sin embargo y a pesar de los esfuerzos de las autoridades de control, en particular de nuestra Agencia Española de Protección de Datos y de los profesionales que nos dedicamos a ello, todavía queda mucho por hacer. ¿Por qué?

  • Porque todavía no todos aquellos que tratan datos conocen bien sus obligaciones
  • Porque los ciudadanos todavía no conocen bien sus derechos.
  • Porque todavía hay profesionales que no asesoran bien.

Respondiendo a la pregunta de nuestro titular y desde nuestro humilde punto de vista hemos obtenido muchos logros en la protección de este derecho fundamental:

  • Hemos ganado en transparencia:
    • Ahora nos informan mejor, sabemos qué hacen con nuestros datos, si están en la UE o fuera. Si hay terceros que acceden a ellos, cuánto tiempo se conservan, a quién nos tenemos que dirigir para ejercitar nuestros derechos y quién está verdaderamente detrás del tratamiento.
    • La figura del Delegado de Protección de Datos ha contribuido a esta transparencia supervisando actividades, velando por el cumplimiento, asesorando a las entidades y en definitiva convirtiéndose en una figura a la que acudir para cualquier cuestión relacionada con la privacidad. Como decía un antiguo compañero abogado del que mucho aprendí: si no hay nadie que específicamente se ocupe del asunto, el asunto no sale. El hecho de contar un DPO, ya en sí mismo, implica que la organización tiene claro que hay “alguien” a quien deben consultarse las cosas. Y ello se traduce en hacer las cosas mejor.
    • El hacer una reflexión sobre las finalidad, las bases de legitimación, los destinatarios, las transferencias internacionales y muy importante, sobre los riesgos, ayuda a las organizaciones a saber lo que tienen entre manos en términos de privacidad.
  • Hemos ganado en concienciación:
    • Es difícil encontrar ya empresas o profesionales que no les “suene” que existe una normativa de protección de datos que tienen que cumplir (todavía se encuentra algún “mirlo blanco” pero es excepcional.
    • En las organizaciones, a poco que hayan hecho los deberes, se sabe que “no todo vale”, especialmente los departamentos comerciales y de marketing que antiguamente eran los auténticos agujeros negros de los datos.
    • Los propios ciudadanos saben que tienen derecho a decidir sobre sus datos, a no recibir información comercial no deseada, a que no se haga tratamiento de sus datos si no lo han consentido…
    • Existe mayor reticencia a descargarse aplicaciones que piden permisos por encima de lo necesario o cuyo uso es dudoso.
  • Hemos ganado en homogeneidad:
    • Antes del RGPD teníamos veintiocho regulaciones de privacidad bajo el paraguas de la antigua Directiva. El RGPD nos igualó a todos. Hablamos el mismo lenguaje de “privacidad”. Los principios son los mismos para todos, las obligaciones, los derechos… Esto ayuda cuando una empresa u organización tiene presencia en varios países. No obstante, aquí todavía existe un principio de “lado oscuro” que exponemos más adelante.

Sin embargo, nuestra opinión es que hay algunos aspectos que quizás, de forma inevitable, van unidos a lo anterior y que podemos considerar como «menos positivos» (el lado oscuro del RGPD):

  • No nos hemos deshecho de documentación sino más bien todo lo contrario
    • Para demostrar el cumplimiento debemos hacer las cosas bien y ser capaces de probarlo. Para ello la documentación es esencial. Y son muchas las obligaciones que hay que probar: procedimientos, políticas, modelos, comunicaciones, instrucciones…. El volumen ha aumentado sin lugar dudas.
  • La responsabilidad proactiva y el enfoque desde el riesgo genera problemas a muchas empresas que no saben muy bien lo que tienen que hacer
    • El trasladar a las empresas la responsabilidad sobre lo que tienen que hacer en lugar de establecer “lo que tienen que hacer” de forma clara en una ley genera problemas. Todavía es difícil hacer entender que en ningún sitio de la Ley pone que hay que hacer copias de seguridad por ejemplo, cada semana y que la periodicidad dependerá de la organización. El “y donde pone eso” exige explicación exhaustiva que pasa por explicar el principio de accountability y la nueva perspectiva de cumplimiento desde el riesgo y desde el diseño y por defecto.
  • Los ciudadanos ejercen sus derechos pensando que la protección de datos es absoluta
    • No es extraño encontrar a un cliente que exige que se borren sus datos a pesar de que su pedido se encuentra pendiente. O que retira su consentimiento cuando la base de legitimación es otra…
    • Todavía al preguntar en las formaciones si los asistentes conocen sus derechos, existe confusión… de todas formas estamos mucho mejor en este punto.
  • A pesar de la homogeneidad en la regulación, cada autoridad de control está adoptando criterios propios que afectan a sus respectivos países y que al final vuelven a parcelar el mercado europeo
    • En estos días de confinamiento, las diferentes autoridades de control se están pronunciando sobre aspectos relativos a la privacidad relacionada con el Covid19 tales como la toma de temperatura, los controles de salud, pasaportes de inmunidad etc. Existen matices según el país y algunos no coinciden.
    • Lo mismo sucede en materia de cookies, sanciones etc. Cada país sigue sus propios criterios (bajo el paraguas del GDPR siempre eso sí) que provoca situaciones curiosas.

En todo caso los avances son indudables. Este derecho fundamental ocupa un lugar importante en la mente de los ciudadanos. Las empresas intentan hacerlo mejor que antes. Dos años de rodaje y el balance es positivo.

Que cumpla muchos más. Y que estemos aquí para ayudar a cumplirlo.

 

25 de mayo de 2020

 

Paz Martin

#losdetallesimportan

Cuantos más datos personales mejor: cuando los perfiles son necesarios

El Reglamento UE 2016/679 General de Protección de Datos está aquí para proteger nuestros datos pero no para impedir usarlos.

Este blog aborda las cuestiones más prácticas de la protección de datos y hablamos de eso; de proteger los datos, de cómo limitar para que no se hagan cosas que no se deben con los datos de salud o de preferencias, de cumplir con el RGPD y la minimización etc etc.

Sin embargo, nos olvidamos de cuántas cosas estupendas se pueden hacer si se recogen muchos datos y si son sensibles mejor. Me refiero a las situaciones de extrema dependencia, cuando uno no se puede defender y tiene que ser otra persona (a veces una fría institución tutelar) la que decida según qué cosas.

Hablo desde la experiencia personal: llevo años a cargo de una persona que no puede comunicarse, que depende al cien por cien de los demás y que no puede elegir si siquiera lo que come o si tiene frío o calor: si quien le viste tiene frío, toca abrigarse. Tampoco puede elegir qué programa ver en la televisión y si  quien le pone frente a la tele le gusta el fútbol o los culebrones, pues se los traga… aunque algún día los odió.

Qué decir de datos de salud que los historiales médicos no recogen (montones de detalles que no aparecen en los historiales médicos) o incluso preferencias sexuales o incluso cuestiones tan privadas como haber sido víctima de violencia de género… Y no queda nadie que lo pueda advertir.

En los historiales médicos no pone claramente si la persona habla, entiende o si puede tragar. Si nadie le acompaña en una urgencia… el problema se agrava.

Quiero decir con esto que puede llegar un momento en nuestras vidas en las que saber (y que sepan quienes nos cuidan) si nos gusta o no el pescado, si odiamos los toros o si nos encanta el olor a lavanda puede ser lo único que nos conecte con nuestra vida “normal” anterior. Muchos familiares de personas dependientes o con demencias me entenderán. A veces son pequeños detalles que hacen que esa persona conecte. O simplemente podamos arrancarle una sonrisa porque ha acariciado a un perro y ya no recuerda que adoraba a los animales…ni mucho menos que los tuvo y sus nombres…

Recopilar datos en estas situaciones puede ayudar mucho: se trata de dignidad, se trata de personalizar los tratamientos y hacerlos más humanos, se trata de no tener que contar la historia de la vida de esa persona “cada vez” que visitas un hospital o un centro asistencial. Se trata de ser humanos. La línea es delgada y se trata de uniformarnos a todos con un pijama y un puré o hacernos nuestros últimos años una continuación de lo que fuimos. ¿Cómo conseguirlo? Con datos, con información. Y todos nos echamos las manos a la cabeza cuando oímos de perfiles, de gustos y aficiones pero acaso no nos gustaría que en situaciones como las descritas, alguien hiciera sonar nuestra música favorita o nos vistiera como nos gustaba vestirnos?

El tratamiento de datos se justifica por la finalidad: hay miles de usos maravillosos que nos harán la vida mejor y más fácil. Si yo falto algún día sé que a mi padre le afeitarán, nadie le pondrá sus gafas y su gorra y le meterán la cuchara grande hasta el gaznate porque nadie sabrá quién fue ni cuál fue su identidad.

Por eso, tal vez deberíamos reflexionar sobre quién y cómo queremos que tenga nuestros datos y sobre todo si perdemos la memoria y no nos valemos por nosotros mismos, que alguien sea consciente que sobre esa cama, silla de ruedas o bajo esa máscara de oxígeno hay un ser humano con sus características, preferencias y en definitiva su perfil, un perfil, que a lo mejor, algún día, es lo único que queda para poder recordarnos lo que en su día fuimos…

He conocido a unas personas que están trabajando en una iniciativa maravillosa que tiene que ver con esto. No existe nada al respecto. Y no es publicidad pero creo que si en vez de volvernos paranoicos con los datos ponemos las neuronas al servicio de los más débiles y pensamos cómo hacer cosas buenas, tal vez eliminemos esa “mala imagen” que los tratamientos exhaustivos de datos y los perfilados tienen.

Se llaman ENVITA y espero que su proyecto sirva para humanizar la vida de los mayores y de los dependientes en centros asistenciales.

Si a alguien le interesa, que me pregunte. De momento yo ya estoy escribiendo mi “proyecto de vida” por si algún día, alguien que no me conoce, me tiene que peinar por las mañanas y me tiene que recordar que yo escribía un blog.

Paz Martin
#losdetallesimportan

27 de mayo de 2019

Canales de denuncias internas y denuncias anónimas en la nueva Ley Orgánica de Protección de Datos

En muchas empresas todavía choca la necesidad de contar con un canal de denuncias a través del cual los empleados, e incluso clientes y proveedores, puedan denunciar conductas contrarias a las leyes y a los códigos éticos.

La Ley Orgánica 3/2018 de 5 diciembre de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD) ha abordado específicamente este tema en lo que a los datos personales se refiere.

Estos canales de denuncias (pido perdón a aquellos que ya conozcan el porqué) son parte de los sistemas de cumplimiento normativo implantados a raíz de la modificación del Código Penal del 2015 (artículo 31 bis). En dicha modificación y con respecto a la posible responsabilidad penal de las personas jurídicas (sí las empresas también pueden ser responsables penalmente), sólo la implantación de un plan de prevención de riesgos penales y cumplimiento normativo  eficaz (modelos de organización y gestión según el texto del propio artículo) eximiría a la persona jurídica de la responsabilidad derivada de los delitos cometidos por sus trabajadores en su nombre. Esto es lo que se conoce como «compliance«.

Estos planes de prevención de riesgos penales (muy arraigados en el mundo anglosajón desde hace tiempo, pero muy recientes en nuestro sistema jurídico) incluyen canales de denuncias. Estos canales facilitan la puesta en conocimiento de la propia entidad si alguien comete un delito (u otra violación normativa o de código ético) con todas las garantías de confidencialidad y sin miedo a represalias.
Es decir, que si en mi empresa me entero que el Director Financiero está metiendo la mano en la “saca” pueda comunicarlo sin miedo al despido. ¿Fácil verdad?

Siendo como somos latinos y con una cultura del chivatazo vista como algo negativo, los canales de denuncias no suelen recibir muchas denuncias. Cuando se trata de cosas “graves” los empleados suelen temer por sus represalias y es comprensible que prime el interés personal en conservar el empleo o la tranquilidad por encima de convertirse en el “Quijote” de la entidad.

En la mayoría de las ocasiones, “radio macuto” funciona incluso mejor, especialmente si se trata de conductas en las que el denunciante sólo pone en conocimiento de la empresa la conducta ilícita y no es “víctima” directa de la misma. Si alguien se entera de que un delito, lo suelta en un círculo de confianza y tarde o temprano la información llega donde tiene que llegar… (esto es básicamente radio macuto que carece de garantías de cómo llegue la información. Es ilustrativo acordarse del juego del “teléfono escacharrado” donde desde la primera noticia a la última, cada “informante” suele poner algo de su cosecha. Como juego es desternillante, en el ámbito empresarial, es nefasto.)

Ya en su momento el Grupo de Trabajo del artículo 29 (hoy desaparecido y sustituidas sus funciones por el Comité Europeo de Protección de Datos) emitió un informe sobre este tema y en concreto insistía en la necesidad de garantizar la confidencialidad de los datos tanto de denunciante como de denunciado y de la propia investigación. Residualmente y como último recurso, se admitía la posibilidad de que la denuncia fuera anónima cuando fuera imposible garantizar dicha confidencialidad.

Pero dicho informe del Grupo de Trabajo del artículo 29 cuyo carácter no era vinculante por los estados miembros, encontró en la Agencia Española de Protección de Datos una objeción sobre el posible anonimato, considerándolo contrario a la propia normativa. Existe un informe específico del año 2007 que ilustra esta afirmación.

Ahora bien, puesto que las cosas han seguido evolucionando, el RGPD ha irrumpido en nuestras vidas con energía y más que nunca se han homogeneizado los criterios, en la nueva Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y de garantía de los derechos digitales ya se contempla expresamente la denuncia anónima. En particular en el artículo 24 que dice:

“será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

Con lo cual, la restricción del anonimato desaparece.

En la práctica y tal y como están configurados la mayoría de los canales (direcciones de email, plataformas externas, etc) es prácticamente imposible denunciar de forma anónima, pues el origen del email siempre podría averiguarse. No obstante, a veces es la única forma de tomar conocimiento de delitos graves de los que un trabajador es conocedor porque trabaja en esa área específica en la que el delito se ha cometido.

El artículo 24 citado también contiene otras novedades, entre otras la constatación a través de la Ley Orgánica de:

  • Su licitud.
  • Del carácter restringido de la información que obre en el canal de denuncias (limitado a la propia investigación y control interno).
  • La obligación de garantizar la confidencialidad de la identidad de denunciantes y también de denunciados (cuidado con las denuncias falsas que pueden arruinar la reputación de una persona o crear falsos bulos).
  • La conservación durante el tiempo imprescindible y en general tres meses desde que se denuncia salvo que dichos datos sean necesarios para evidenciar el buen funcionamiento del propio canal de denuncias.
  • La posible anonimización de las denuncias no tramitadas sin que sea necesario el previo “bloqueo” establecido en la LOPDGDD como paso previo a la destrucción de los datos.

De lo que se trata en definitiva es

a) Que el canal de denuncias garantice la confidencialidad y permita la denuncia anónima.
b) Que en el canal de denuncias no se conserven datos personales más tiempo del imprescindibles (tres meses).
c) Que los registros antiguos se pueden anonimizar.
d) Y si es necesario guardar los datos porque se ha puesto en marcha una investigación, no deberían conservarse en el propio canal sino en aquél entorno donde se esté llevando a cabo la investigación.

Y por supuesto, el canal de denuncias tendrá que estar recogido como «actividad de tratamiento» en el propio registro de actividades de tratamiento de la entidad.

El compromiso con el cumplimiento normativo es un paso más que las empresas han adoptado no sólo para «eximirse» o mitigar su responsabilidad frente a una posible sanción, sino dentro de un marco de ética y de responsabilidad social a través de los cuáles, entre todos, podemos construir una sociedad mejor.

Paz Martín

#losdetallesimportan

26 de abril de 2019

Modificación de la Ley de Marcas: Real Decreto-ley 23/2018 de 21 de diciembre

En el Boletín Oficial del Estado del día 27 de diciembre se ha publicado el Real Decreto-ley 23/2018 de 21 de diciembre por el que se trasponen algunas Directivas, entre ellas, las de Marcas y en concreto la Directiva (UE) 2015/2436 cuyo plazo de trasposición expira el próximo 14 de enero de 2019.

Digamos que se trata de una trasposición «in extremis» con importantes novedades que comentaremos en los próximos días.

Despedimos el 2018 con un cambio legislativo de los muchos que en nuestro sector se han producido en este año que termina…

27 de diciembre de 2018

Paz Martin

#losdetallesimportan

Las tarjetas de visita y el RGPD

O de cómo el RGPD no se carga las tarjetas comerciales.

Pregunta recurrente: ¿ya no podremos entregar tarjetas de visita comerciales en las ferias o en los eventos profesionales? ¿Tendré que pedir un consentimiento con check-in o firmado para enviar información? ¿Qué haremos ahora?

La respuesta ha de ser rápida y sencilla: más o menos lo mismo.

Es decir, no es el fin de las tarjetas. Y la respuesta nos la da, entre otros, el artículo 19 del proyecto (en breve texto aprobado) de la nueva Ley Orgánica de Protección de Datos (y a lo mejor también de Derechos Digitales como título). También la Directiva de comercio electrónico que dio base a nuestra Ley 34/2002 de Servicios de la Sociedad de la Información y de comercio electrónico (la famosa LSSI).

Pero antes de entrar en materia pongamos sobre la mesa algo que si bien aparece en el Reglamento General de Protección de Datos (y por cierto, también en la normativa anterior) tenemos que explicar casi a diario. El consentimiento no es la única base jurídica que legitima un tratamiento de datos…

¿Qué significa esto?

Que a menudo tratamos datos y no es necesario pedir consentimiento: por ejemplo, para suscribir un contrato, por ejemplo, para poner una cámara de seguridad o por ejemplo, sin ir más lejos porque hay una ley que lo dice y son “lentejas”. Todos estos casos y algunos otros más están recogidos en el artículo 6 del RGPD, un artículo importante y que merece ser leído y releído por quienes se preguntan cosas como la que da título a este post.

Es decir, que si vamos a hacer un tratamiento de datos tenemos que tener claro por qué lo hacemos. Y ese por qué es la base jurídica que legitima el tratamiento. (El “porque me da la gana” no está definido como base, que conste).

¿Qué pasa con las personas de contacto de las personas jurídicas (p.e. El Director de tal empresa, su comercial o el administrativo a quien le tenemos que enviar las facturas….? ¿Tenemos que pedirle el consentimiento para contactar con ellos? La respuesta es no. Porque la base jurídica de esta relación no será el consentimiento sino el interés legítimo, ese agujero negro que casi nadie se atreve a traspasar pero que existe y no de ahora.

En una redacción inicial del proyecto de nueva Ley Orgánica de Protección de Datos apareció el artículo para regocijo de los profesionales que agradecemos claridad en este tipo de cuestiones. Posteriormente desapareció y en las últimas redacciones ha vuelto a aparecer.

Transcribimos a continuación para no dejarnos nada:

Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
3 (nuevo). Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.

Como el interés legítimo (artículo 6.1.f) del RGPD) no es una base de legitimación absoluta (no en vano ya existía la prueba de sopesamiento), se somete, en este caso, a dos requisitos:

  • que el tratamiento se ciña a los datos necesarios para la localización (p.e. Email, teléfono, dirección) y
  • que la finalidad sea la de mantener relaciones de cualquier índole con la persona jurídica.

Es decir, que si como abogado me quiero dirigir al Director de una empresa para ofrecerle mis servicios y tengo su teléfono o su email no le pediré consentimiento sino que basaré el tratamiento en mi interés legitimo como responsable de dicho tratamiento.

Lo que no podré hacer es “machacarle” directamente a publicidad o a newsletter porque, aquí sí, entra en juego no tanto la legislación sobre protección de datos sino la famosa Ley de Comercio Electrónico (LSSI y próximamente el Reglamento e-privacy actualmente en el horno) que dice que no puedo enviar información comercial a quien no haya consentido salvo que exista una relación previa (p.e. Que sea un cliente).

Pero hablamos de publicidad, no de enviar un email de presentación, o una invitación a un evento o unas tarifas… A ver si vamos a ser más papistas que el papa. No está de más recordar aquí que la Directiva de comercio electrónico ya decía que No se consideran comunicaciones comerciales en sí mismas las siguientes:

a)  los datos que permiten acceder directamente a la actividad de dicha empresa, organización o persona y, concretamente el nombre de dominio o la dirección de correo electrónico,
b) las comunicaciones relativas a los bienes, servicios o a la imagen de dicha empresa, organización o persona, elaboradas de forma independiente de ella, en particular cuando estos se realizan sin contrapartida económica.

Hemos abordado el interés legítimo… pero acaso no es un consentimiento explícito entregar una tarjeta a una empresa, comercial o interlocutor que nos interesa? ¿No entra dentro de la definición de consentimiento como una «manifestación de voluntad libre, específica, informada e inequívoca» mediante una «clara acción afirmativa. ¿Podemos considerar vigente la Sentencia de la Audiencia Nacional de 17 de mayo de 2007 que afirmó: «Es de reseñar, frente a lo señalado en la resolución recurrida, que la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico, en un contexto como es la feria del SIMO, a la que para promocionar su producto acudió el denunciado, con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta del consentimiento. Además, con posterioridad se ha constatado la remisión de un email aludiendo a la conversación mantenida en dicha feria, lo que abona la conclusión de que, en el caso concreto atendiendo a las circunstancias existentes, existe un consentimiento previo o autorización expresa, que no es necesario que figure por escrito, para la remisión de una comunicación comercial relacionada con el producto promocionado en la citada feria.»?

Moraleja: sigamos utilizando tarjetas (ya en creciente desuso para dar paso a los contactos “electrónicos”), sigamos agradeciendo la visita al stand de la feria, sigamos contactando con las empresas y los profesionales pero… eso sí:

  • No pedir el consentimiento no significa que no informemos de lo que dispone el artículo 13 del RGPD. ¿Cuándo? Pues en ese primer email de cortesía por ejemplo. Algunos ya han colocado “atriles” con la cláusula de información a la vista en los propios stands… Es una idea..
  • Si queremos enviar información comercial de forma regular y en lo sucesivo, mejor pedir permiso pues el interés legítimo se nos quedaría un poquito corto en este caso aunque quién sabe…
  • El resto de las obligaciones del RGPD deberán cumplirse religiosamente.

El RGPD y la ahora nueva LOPD no han venido a fastidiar, han venido a dotar de garantías y de seguridad jurídica a las relaciones y a los tratamientos de datos.

Estamos ante un derecho fundamental que merece respeto y protección. Hacer interpretaciones sesgadas de la norma no beneficia a nadie. Seamos transparentes en los tratamientos y sigamos trabajando, vendiendo y entregando tarjetas, eso sí, cumpliendo la ley.

Paz Martin
#losdetallesimportan

Noviembre 2018

Cómo analizar los riesgos para cumplir con el RGPD

Todas las empresas (también las pequeñas) deben enfocar el cumplimiento de la privacidad desde el riesgo.

 

Se ha generado una pequeña confusión entre la obligación de hacer análisis de riegos y la obligación de hacer una evaluación de impacto.

Son dos conceptos diferentes: el análisis de riesgos será obligatorio en todo caso. La evaluación de impacto sólo será necesaria en determinados casos.

La Agencia Española de Protección de Datos acaba de publicar dos guías que forman parte del paquete de “ayuda” a los Responsables y Encargados de tratamiento, es decir a empresas, profesionales e instituciones (públicas o privadas) que realizan tratamiento de datos personales y deben cumplir con el Reglamento UE 2016/679 General de Protección de Datos (RGPD).

 

Las guías ayudan, aclaran algunos conceptos y pueden servir como herramientas metodológicas muy muy simples (al menos la de análisis de riesgos) para realizar el análisis de riesgos que en principio todo Responsable de tratamiento debería hacer en cumplimiento de dos principios acuñados por el RGPD: el de accountability o responsabilidad proactiva y el de privacidad desde el diseño y por defecto. Nos ofrece algunas pistas que nos pueden resultar útiles para abordar el cumplimiento del RGPD.

 

En efecto, el RGPD se refiere en diferentes artículos de su texto al riesgo, a la adopción de medidas de seguridad teniendo en cuenta el riesgo y en definitiva a un enfoque completamente distinto al que conocíamos hasta ahora. Enfoque en el que las exigencias de seguridad nos igualaban a todos “por arriba” sin tener en cuenta las circunstancias de una pyme o de una compleja multinacional.

 

Es evidente que hoy en día ninguna actividad se entiende sin la gestión de riesgos: económicos, patrimoniales, de negocio… La protección de datos no podía abstraerse a este escenario y exige que los responsables de tratamiento sean conscientes de lo que tienen entre manos para de esta forma actuar en uno u otro sentido.

 

Para gestionar riesgos (cualesquiera) hay que seguir tres pasos diferenciados:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Digamos que este es el esquema básico de cualquier tratamiento de riesgo.

En materia de protección de Datos podríamos movernos en los dimensiones:

A) Los riesgos asociados a la protección de la información

B) Los riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

A) Riesgos asociados a la protección de la información

 

Todos los esquemas de seguridad de la información suelen identificar las amenazas en tres planos:

  • La confidencialidad
  • La integridad
  • La disponibilidad

 

Es decir, pueden existir amenazas que afecten a la confidencialidad, a la integridad y a la disponibilidad independientemente o a la vez pero en definitiva habrá que adoptar aquellas medidas necesarias para garantizarlas.

 

Un simple ejemplo: una medida que garantiza confidencialidad será, por ejemplo, un acuerdo de confidencialidad que firma un trabajador pero también una política correcta de accesos.

 

La integridad se verá protegida con esa misma política de accesos y de roles en la organización para evitar que los datos sean alterados (imaginemos lo importante que puede ser que en un historial médico no se alteren por ejemplo los miligramos de un medicamento que se le está dispensando a un paciente de un hospital). Las medidas de seguridad que se adopten deberán garantizar el mínimo privilegio, el registro de los mismos y la trazabilidad de los accesos para que se deje constancia, en cada momento, de quién accede a qué.

La disponibilidad implica que el caso de un evento que implique una destrucción imaginemos de los datos, podamos garantizar que el negocio continúa (de ahí la importancia de las copias de seguridad) en el menor tiempo posible. En algunos negocios (cada vez menos) la copia semanal puede ser suficiente pero en la mayoría la copia diaria es imprescindible. También las pruebas periódicas de restauración son importantes no sea que descubramos que las copias de seguridad no se están haciendo correctamente…

 

Y para identificar esta amenazas tenemos que:

  • Conocer el negocio: volviendo al ejemplo no es lo mismo un hospital que una pequeña clínica
  • Conocer el sector
  • Conocer las medidas de seguridad

 

Las amenazas serán esas situaciones, eventos o hechos que puedan afectar a esos tres parámetros y de ellas se derivará un riesgo (con una valoración en términos de probabilidad e impacto) que habrá que tratar. Ni más ni menos.

 

Son especialmente útiles en este sentido los estándares de seguridad de la información (Esquema Nacional de Seguridad, ISO  27001 y similares) que permiten analizar y abordar esta parte de los riesgos desde el rigor y la objetividad.

B) Existirán por otro lado, los riesgos asociados al cumplimiento de requisitos regulatorios relacionados con los derechos y libertades de los interesados.

 

La propia Agencia sugiere dos amenazas en este sentido:

  • Procedimientos de satisfacción de derechos
  • Garantías de los principios:
    • Ausencia de legitimidad para el tratamiento de los datos personales
    • Tratamiento ilícito de los datos personales

 

Pero estas dos amenazas se han de traducir en un haz de cuestiones que todo responsable de tratamiento debe analizar:

 

  • Cómo se recogen los consentimientos
  • Cuáles son las bases jurídicas del tratamiento
  • Sus relaciones con terceros
  • Cómo se informa
  • Cómo se contesta a los derechos
  • Cómo se garantizan los principios recogidos en el artículo 5 RGPD

El análisis de riesgos puede ser tan simple o complejo como se quiera pero desde luego enfocado a un negocio concreto, a unas circunstancias concretas que cada asesor, auditor, responsable o DPO debe tener en cuenta.

 

Y ojo, que el análisis de riesgos puede ser una foto fija pero el tratamiento de los mismos no. Sólo en un proceso de comprobación, verificación y evaluación continua se conseguirá minimizar los riesgos y abordarlos de la forma más adecuada a cada organización.

 

Paz Martín

 

Abogado

CDPP

9 de marzo de 2018

 

 

 

 

El uso de una marca ajena como keyword ¿es infracción?

Las empresas siguen mostrando interés por estas conductas de uso de marcas ajenas como adwords que pueden ser o no ilegales en función de las circunstancias.

Según el perfil del lector que tenga curiosidad por el presente post, el primer pensamiento al leer el titular puede ser: por supuesto que no. Google lo permite y además es legal.

Y de hecho es así: utilizar una marca ajena como palabra clave de búsqueda en un buscador no constituye, en principio, infracción alguna. Con independencia de lo poco «elegante» de la práctica. Sin embargo, la cuestión no es tan sencilla.

Empecemos por el principio: Todos luchamos por posicionar nuestras webs en los primeros lugares de los buscadores, en particular Google. Google tiene además su sistema de anuncios, «Adwords», a través del cuál una empresa puede anunciarse de forma que cada vez que alguien busque, por ejemplo, la palabra «ABOGADOS», aparezca nuestro anuncio (aunque no es el caso, podría ser, LEGAL THINGS ABOGADOS). La cuestión estará en que la palabra «abogados» puede estar siendo utilizada por muchos otros despachos y el que nuestro anuncio aparezca en primer lugar puede costar bastante.

Pero ¿y si decidimos elegir la marca o el nombre de un despacho de nuestra competencia? Es decir, que cada vez que alguien busque por «MICOMPETENCIA» aparezca mi anuncio. Aunque a algunos nos sigue pareciendo una estrategia muy agresiva comercialmente y cercana a las prácticas desleales, esta es una práctica completamente lícita y ha sido abordada por los Tribunales.

Una de las primeras Sentencias al respecto la dictó el Tribunal de Justicia de la Unión Europea en el caso Marks & Spencer vs. Interflora (caso 323/09).

Esta Sentencia es la que ha marcado el criterio a seguir en estos casos. Lo que en realidad establece es que sólo existirá infracción cuando exista confusión en cuanto al origen de la oferta y en tal sentido, citamos literalmente, dice:
«El titular de una marca está facultado para prohibir que un competidor haga publicidad –a partir de una palabra clave idéntica a esa marca que el citado competidor seleccionó en el marco de un servicio de referenciación en Internet sin el consentimiento del titular– de productos o servicios idénticos a aquéllos para los que la marca esté registrada, cuando dicho uso pueda menoscabar una de las funciones de la marca.

Este uso:

a) menoscaba la función de indicación del origen de la marca cuando la publicidad mostrada a partir de la palabra clave no permite o permite difícilmente al consumidor normalmente informado y razonablemente atento determinar si los productos o servicios designados por el anuncio proceden del titular de la marca o de una empresa vinculada económicamente a éste o si, por el contrario, proceden de un tercero;

b) en el marco de un servicio de referenciación de las características del que se trata en el litigio principal, no menoscaba la función publicitaria de la marca, y;

c) menoscaba la función de inversión de la marca si supone un obstáculo esencial para que dicho titular emplee su marca para adquirir o conservar una reputación que permita atraer a los consumidores y ganarse una clientela fiel.»
Es decir, estaríamos ante una infracción cuando el consumidor no sea capaz de saber si la oferta del anuncio está, de alguna forma vinculada con el titular de la marca (cosa que puede suceder con las páginas que ofrecen falsificaciones o réplicas de una marca original).

En cambio, dice la propia Sentencia: cuando la publicidad que aparezca en Internet a partir de una palabra clave correspondiente a una marca de renombre proponga una alternativa frente a los productos o a los servicios del titular de la marca de renombre sin ofrecer una simple imitación de los productos o de los servicios del titular de dicha marca, sin causar una dilución o una difuminación y sin menoscabar por lo demás las funciones de la mencionada marca, procede concluir que este uso constituye, en principio, una competencia sana y leal en el sector de los productos o de los servicios de que se trate y, por lo tanto, se realiza con «justa causa» en el sentido de los artículos 5, apartado 2, de la Directiva 89/104 y 9, apartado 1, letra c), del Reglamento nº 40/94.

Puede no gustarnos la conclusión que además, hasta ahora, no ha sido contradicha por ningún otro tribunal, pero la realidad es que si no hay «dilución o difuminación» de la marca estamos ante una competencia «sana y leal».

Si exploramos en la jurisprudencia en otros países de nuestro entorno más allá de las fronteras de la Unión Europea, el criterio es bastante similar y los tribunales difícilmente restringen el uso de la marca ajena si queda claro que el anuncio resultado de la búsqueda es una «alternativa» a los productos o servicios buscados.

En el mismo sentido se ha pronunciado sin modificar un ápice el criterio, nuestro Tribunal Supremo en diferentes Sentencias, las más conocidas la del caso MASALTOS y la del caso ORONA que aunque con diferentes aproximaciones abordan el mismo tema. La Sentencia del Tribunal Supremo 620/2016 de 26 de febrero (caso MASALTOS), el alto Tribunal afirma:

la sentencia sí repara en dicha circunstancia, al afirmar que la ausencia de tales términos en el anuncio indica claramente a los consumidores que se trata de empresas distintas y competidoras de «Maherlo». Respetándose así la función de indicación del origen de la marca a que hemos hecho referencia cuando hemos compendiado los pronunciamientos del TJUE sobre el uso de marcas en buscadores de internet. Es decir, en los términos de la sentencia «Interflora», antes transcritos, no hay menoscabo de la función de la indicación del origen de la marca.

Por su parte, la Sentencia del Tribunal Supremo 541/2017 de 15 de febrero (caso ORONA), aunque aborda la perspectiva desde la posible deslealtad de la práctica desestimando la acción en aplicación de la doctrina de complementariedad relativa, se pronuncia al respecto del uso de las marcas ajenas en el mismo sentido.
Otras Sentencias ya firmes han admitido, en la línea jurisprudencial marcada, que existe infracción al no superarse esa inexistencia de confunsión en el origen empresarial. Nos referimos, entre otras, a la Sentencia del Juzgado de lo Mercantil num. 3 de Valencia de 30 de junio de 2016 (248/2016) en un conflicto por esta materia entre las compañías GEDESCO y FICOMSA.

Como conclusión debemos añadir que si bien la práctica habitual determina que si aparece la marca ajena en el texto del propio anuncio estamos ante una infracción y si no aparece, no; esta afirmación no puede ni debe ser taxativa al encontrarnos en situaciones en las que no apareciendo la marca ajena en el propio texto del anuncio, el origen empresarial es dudoso y ese usuario medio puede no tener claro dónde está entrando…
Muchas dudas se nos plantean: especialmente si todos los usuarios de los buscadores son «razonablemente atentos» o si este planteamiento favorece a las marcas menos conocidas que a las notorias y renombradas…

Si alguien se decide por esta práctica, no está de más consultar previamente con un abogado (además de con los correspondientes expertos en marketing digital) para determinar si la elección de las marcas de la competencia no le va a salir caro discutiendo su estrategia digital en los tribunales por una posible infracción de marca.

Paz Martín

Febrero 2018