Entradas

Google Drive, Dropbox, Mailchimp… CUIDADO !!!

RIESGOS LEGALES de subir datos personales de clientes.

Son muchas las entidades, empresas, pymes y autónomos, fundaciones, ONG, que utilizan estos medios de almacenamiento digital y de difusión masiva de correos electrónicos en su día a día. Lo que muchas no saben es que están radicados en Estados Unidos y que esto tiene implicaciones y riesgos legales en materia de protección de datos.

Pyme, organización o autónomo que utilizan estos medios tienen el rol de “responsable de tratamiento” de los datos personales.

Cada vez que “sube” información de terceros a estas plataformas estaría realizando una transferencia internacional de datos, tal como lo define el Reglamento General de Protección de Datos (RGPD). Y, para cerrar el círculo, las empresas como Google Drive, Microsoft One Drive o Dropbox, serán los “encargados de tratamiento” de dichos datos personales.

Todo esto estaba solucionado hasta hace pocos meses, cuando en las relaciones entre la Unión Europea y los Estados Unidos regía un marco normativo conocido como Escudo de Privacidad. Pero desde que se publicó la Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020, también denominada Scheme II, este “Escudo” ha quedado invalidado.

En estos casos concretos, será imprescindible que el Delegado de Protección de Datos (DPO) o el DESPACHO de Abogados que asesore a la entidad en materia de privacidad, lleve a cabo auditorías periódicas para detectar posibles cambios y analizar el impacto legal de los mismos.

La lista de vecinos morosos en el portal es ilegal

Según el diario económico “Expansión”, la nueva normativa de protección de datos también ha llegado a las Comunidades de Propietarios, que deben revisar su videovigilancia o el tratamiento de los datos de los propietarios, entre otros asuntos.

Convivir en una Comunidad de Propietarios implica un tratamiento seguro de los datos por parte de los responsables, la propia Comunidad y de los encargados de dicho tratamiento,  la administración de fincas. En concreto, debe haber un mantenimiento seguro o una protección «blindada» de los datos de los propietarios.

Por ejemplo, colocar una cámara de videovigilancia en un garaje privado requiere de un contrato obligatorio. Asimismo, difundir en un tablero información relativa a consumos energéticos puede implicar una sanción, mientras que no es posible ceder a terceros las direcciones de correo de un miembro de la junta.

Los tribunales españoles han puesto luz a estas obligaciones legales con varios ejemplos de la realidad jurídica sobre algunos problemas prácticos en la gestión de las Comunidades y la pertinente aplicación del nuevo Reglamento de Protección de Datos (RGPD).

Los tableros en zonas comunes de las Comunidades de Propietarios sirven de soporte para que los proveedores de gas, agua o electricidad soliciten las cifras de consumo mensual por vivienda. Aparentemente esta información parece inofensiva. Sin embargo, estos números son fácilmente identificables si se contrasta con los datos personales expuestos en los buzones de correspondencia. De esta forma, la Comunidad estaría facilitando datos del consumo privado de energía en las viviendas de cada propietario, lo que no está permitido.

Tampoco se podrá poner en el tablón los datos sobre morosos a la comunidad, ya que se estaría vulnerando el derecho a la intimidad y al honor de dichos vecinos.

Además de las cámaras de vigilancia que deberán estar bien identificadas con carteles de cumplimiento de la LOPD, algunas Comunidades instalan en la entrada de los edificios un videoportero, que permite que cada propietario visualice durante cierto tiempo el espacio del portal después de que la persona o personas que solicitan entrada han pulsado el interruptor del mismo. Si se graban las imágenes, sí que habría que cumplir con el RGPD y se debería informar sobre el tratamiento de datos personales. En este caso el incumplimiento de la normativa aplicable podría dar lugar a una sanción económica a la comunidad de propietarios como responsable del tratamiento.

Según el diario económico “Expansión”, la nueva normativa de protección de datos también ha llegado a las Comunidades de Propietarios, que deben revisar su videovigilancia o el tratamiento de los datos de los propietarios, entre otros asuntos.

Convivir en una Comunidad de Propietarios implica un tratamiento seguro de los datos por parte de los responsables, la propia Comunidad y de los encargados de dicho tratamiento,  la administración de fincas. En concreto, debe haber un mantenimiento seguro o una protección «blindada» de los datos de los propietarios.

Por ejemplo, colocar una cámara de videovigilancia en un garaje privado requiere de un contrato obligatorio. Asimismo, difundir en un tablero información relativa a consumos energéticos puede implicar una sanción, mientras que no es posible ceder a terceros las direcciones de correo de un miembro de la junta.

Los tribunales españoles han puesto luz a estas obligaciones legales con varios ejemplos de la realidad jurídica sobre algunos problemas prácticos en la gestión de las Comunidades y la pertinente aplicación del nuevo Reglamento de Protección de Datos (RGPD).

Los tableros en zonas comunes de las Comunidades de Propietarios sirven de soporte para que los proveedores de gas, agua o electricidad soliciten las cifras de consumo mensual por vivienda. Aparentemente esta información parece inofensiva. Sin embargo, estos números son fácilmente identificables si se contrasta con los datos personales expuestos en los buzones de correspondencia. De esta forma, la Comunidad estaría facilitando datos del consumo privado de energía en las viviendas de cada propietario, lo que no está permitido.

Tampoco se podrá poner en el tablón los datos sobre morosos a la comunidad, ya que se estaría vulnerando el derecho a la intimidad y al honor de dichos vecinos.

Además de las cámaras de vigilancia que deberán estar bien identificadas con carteles de cumplimiento de la LOPD, algunas Comunidades instalan en la entrada de los edificios un videoportero, que permite que cada propietario visualice durante cierto tiempo el espacio del portal después de que la persona o personas que solicitan entrada han pulsado el interruptor del mismo. Si se graban las imágenes, sí que habría que cumplir con el RGPD y se debería informar sobre el tratamiento de datos personales. En este caso el incumplimiento de la normativa aplicable podría dar lugar a una sanción económica a la comunidad de propietarios como responsable del tratamiento.

El CGPJ investiga la filtración de la sentencia de ‘la manada’

Según noticia publicada en todos los medios  la Comisión Permanente del Consejo General del Poder Judicial (CGPJ), reunida en sesión extraordinaria, acordó abrir un periodo de diligencias informativas para determinar si se ha producido una vulneración de la normativa en materia de protección de datos de carácter personal en relación con la sentencia de La Manada. El CGPJ investiga la filtración de la sentencia de ‘la manada’

La Audiencia Provincial de Navarra facilitó erróneamente a los medios de comunicación la resolución sin omitir el código de verificación, por desconocimiento según fuentes del TSJN,   que posibilitaba acceder a través de Internet al documento íntegro, incluido el nombre completo de la víctima, lo que favoreció la filtración de datos de la joven en distintas páginas web.

El órgano de gobierno de los jueces adoptó esta decisión tras tener conocimiento a través de las noticias publicadas en varios medios de comunicación de la difusión de los datos personales de la víctima de los hechos enjuiciados y, más en concreto, del acceso producido vía código seguro de verificación contenido en la resolución, informó el CGPJ.

El código es una combinación de 50 caracteres única y asociada a cada documento judicial que permitía acceder a la sentencia íntegra a través de una página web gestionada por el Gobierno de Navarra, que tiene transferidas las competencias en materia de justicia en lo relativo a los recursos humanos y materiales.

Aunque la Dirección General de Justicia del Ejecutivo foral bloqueó el acceso a la sentencia el sábado 5 de mayo, al tener constancia de la incidencia, una restricción que extendió el lunes a todos los documentos judiciales generados por el sistema de gestión procesal Avantius, la Comisión Permanente del CGPJ consideró ayer necesario investigar si se ha vulnerado la normativa de protección de datos, por cuyo cumplimiento debe velar en orden a sus atribuciones.

Fuentes del CGPJ indicaron que, si se ha cometido alguna irregularidad, la responsabilidad última correspondería al propio Poder Judicial, ya que es la institución que debe supervisar los sistemas informáticos utilizados por la Administración de Justicia, así como la difusión de las sentencias, por lo que podría exponerse a una sanción por parte de la Agencia Española de Protección de Datos, que ha abierto otra investigación.

El Consejo General del Poder Judicial ha solicitado la colaboración del Departamento de Justicia de la Comunidad Foral en las actuaciones dirigidas a clarificar los hechos y determinar si se ha vulnerado la normativa en materia de protección de datos de carácter personal.

En este sentido, la directora general de Justicia, Lourdes Aldave, explicó ayer a la agencia Efe que existe un protocolo establecido por el CGPJ y el CTEAJE (Comité Técnico Estatal de la Administración Judicial Electrónica), en el que están representadas las comunidades autónomas con competencias en justicia, para garantizar la protección de datos, por lo que “no ha sido un fallo de seguridad del Gobierno de Navarra”.

La IP es un dato de carácter personal

La IP es un dato de carácter personal

Según informa el Diario digital “Noticias Jurídicas” el Tribunal Supremo ha dictado una sentencia por la que establece una interesante doctrina sobre la consideración de la claves IP, a efectos de la protección de datos de carácter personal.

La sentencia  confirma que  las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.

El Alto Tribunal indica que, al no producirse la imposibilidad de informar a los interesados del tratamiento de sus direcciones IP, ni exigir dicho trámite un esfuerzo desproporcionado al obligado al mismo,  no concurren los motivos exigidos para aplicar la exención del deber de informar al interesado del tratamiento de sus datos.

Además, no cabe presumir de forma segura e indudable, tal como exige el artículo 6 de la LOPD, que los interesados han otorgado su consentimiento para el tratamiento de sus datos por el hecho de conectarse a una red P2P.

Así, el hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida no  significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos que pretende la parte recurrente. Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.

Direcciones IP personales

Igualmente la sentencia señala que no es posible entregar las direcciones IP a una entidad privada, que no tenga la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas, lo que llevó a la sentencia recurrida a estimar reforzada su conclusión, razonada en los fundamentos precedentes, sobre la improcedencia de la pretensión de la parte recurrente.

La parte recurrente  presentó un escrito ante la AEPD en el que solicitó, al amparo del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales, la AEPD acordó no autorizar dicha exención y la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictó sentencia desestimatoria del recurso contencioso administrativo interpuesto contra dicha decisión, contra la que se ha interpuesto recurso de casación.

Para el recurrente no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP  constituyan datos personales.

Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C-275/2006.

Dirección IP y tratamiento de datos

Desde la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.

El artículo 5 de la LOPD establece, en los casos de tratamiento de datos de carácter personal, el deber de informar previamente a los titulares de los datos, y si los datos de carácter personal no han sido recabados del interesado, como sucede en este caso, el apartado 4 del artículo 5 LOPD impone al responsable del fichero el deber de informar al interesado dentro de los tres meses siguientes al registro de los datos, si bien, el artículo 5.5 LOPD exceptúa de dicho deber de información determinados supuestos: cuando la ley expresamente lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, y cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Es cierto que el artículo 6 LOPD exige el consentimiento del interesado, sin la previsión de que sea expreso, pero como afirma la sentencia recurrida, el consentimiento podrá ser tácito pero, en todo caso, deberá ser inequívoco, y esta Sala considera que no cabe presumir, de forma segura e indudable, el consentimiento de los interesados al tratamiento de sus datos por el hecho de conectarse a una red P2P.

La cita que efectúa la sentencia recurrida al artículo 6 de la Ley 25/20067 no tiene otro objeto que el de resaltar la relevancia del dato de dirección IP, que figura entre los datos objeto de conservación establecidos por el artículo 3 de la indicada Ley, cuya cesión por los operadores de telecomunicaciones a los agentes facultados está sujeta a condiciones restrictivas, entre ellas, a la previa autorización judicial.

Esta regulación legal es tenida en cuenta por la sentencia recurrida, para efectuar la ponderación ordenada por el artículo 6.2 de la LOPD, de los intereses y derechos concurrentes en el presente caso, en cuanto pone de manifiesto la especial protección dispensada por el legislador a los datos vinculados a la comunicación a través de Internet, que la sentencia recurrida tiene en cuenta para afirmar: que no es posible entregar las direcciones IP a una entidad privada, e incide sobre la improcedencia de la pretensión de la parte recurrente.

Las filtraciones y nuestros datos - Actualidad en Protección de datos

Las filtraciones y nuestros datos

La protección de datos en Estados Unidos es asunto de estado, y filtrar documentos oficiales te llevan a la cárcel, éste es el caso de una chica de 25 años que trabajaba en la Fuerza Aérea en Georgia, R. L. Winner, que ha sido identificada gracias al rastro que se queda en las impresoras.

La fecha, la hora y el documento que se imprimió, fue reduciendo los sospechosos hasta descubrir a la autora, que fue detenida.

Para ello, la NSA, agencia americana de seguridad, usó los “Tracking Dots”, una serie de puntos que se pueden descubrir, si uno hace una ligera búsqueda en el documento filtrado, según informa el Washington Post.

Este caso de filtración de datos se une a la larga lista de filtraciones de la era digital, que tiene como punto álgido el caso Wikileaks, el 25 de julio de 2010, cuando los periódicos The Guardian, The New York Times y Der Spiegel hicieron públicos un conjunto de unos 92.000 documentos sobre la Guerra de Afganistán entre los años 2004 y 2009.

En marzo de 2017, el portal Wikileaks aseguró haber obtenido los detalles de un programa de hackeo de teléfonos, ordenadores y televisores por parte del espionaje de Estados Unidos, y comenzó a filtrar miles de documentos relacionados atribuidos a la CIA.

Incluyendo el programa llamado «Año Cero», que estaba preparado con una serie de armas informáticas para conseguir hackear teléfonos móviles y dispositivos producidos por compañías norteamericanas, como los iPhone de Apple, el sistema Android de Google, el Windows de Microsoft o los televisores Samsung con conexión a Internet, que se convertían en micrófonos encubiertos a través de los cuales se podría espiar a cualquier usuario.

Últimamente, según informa El Confidencial, prueba que hay mucho desconocimiento sobre el tema, se ha creado una alarma entre las empresas que han recibido un email del Ministerio de Energía, Turismo y Agenda Digital del Gobierno, que ha mandado un email informativo a más de 20 mil empresas, para informar sobre la Ley 34/2002, de 11 de julio, Ley de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI), que decía como forma publicitaria, muy poco acertada: «Se ha observado que su página web no cumple con alguna de estas obligaciones».

Incluso, la Administración, por error puede incumplir la Ley de Protección de Datos, como ocurrió la semana pasada cuando un empresario entró en la web de la Fábrica Nacional de Moneda y Timbre (FNMT) para solicitar el certificado digital de representante, un documento que le permite hacer trámites burocráticos ‘online’ en nombre de su empresa, de la que es administrador solidario.

Según Teknautas, lo que ocurrió después fue una de las mayores “chapuzas” digitales realizadas recientemente por un organismo público, ya que tras pagar los 24 euros que cuesta dicho certificado y obtenerlo, recibió un correo de la sede electrónica de la FNMT, dependiente del Ministerio de Hacienda y Administraciones Públicas, con la correspondiente factura. Sin embargo, había algo raro: el archivo PDF pesaba 10 megas y tenía nada menos que 1.101 páginas, las facturas de las otras 1.100 empresas españolas que habían gestionado un certificado idéntico o similar, ese día.

Desde EQUAL debemos insistir en que es preciso extremar las precauciones en materia de protección de datos, así como facilitar una formación clara y continua a los empleados, ya que debemos recordar que, aunque no haya intencionalidad en las acciones que se llevan a cabo, un mero error puede conllevar una vulneración de la LOPD que podría dar lugar a una fuerte sanción.

 

Publicación original compartida desde Equal Protección de Datos 

No se aplica derecho al olvido en registros de sociedades

No se aplica derecho al olvido en registros de sociedades

No se aplica derecho al olvido en registros de sociedades. El derecho al olvido ha sido uno de los puntos más discutidos en el derecho a la protección de datos. En esta ocasión una sentencia del Tribunal de Justicia de la Unión Europea, ha dictado una sentencia que aclara un poco más la doctrina sobre este asunto.

En esta ocasión, como ya hemos mencionado, nos encontramos con una sentencia del Tribunal de Justicia de la Unión Europea señalando que no existe “derecho al olvido” para los datos personales recogidos en los registros de sociedades. De igual manera, se señala que los Estados pueden establecer un acceso “restringido” por parte de terceros a esta información tras un plazo “suficientemente largo” tras liquidación de la empresa afectada.

La finalidad de los registros de sociedades es “garantizar la seguridad jurídica” medante su publicidad, recuerda el Tribunal.

“Resulta imposible” identificar un plazo único a cuya expiración los datos ya no sean necesarios, si se tienen en cuenta la multitud de derechos y relaciones jurídicas que pueden vincular una sociedad con actores de varios países y la heterogeneidad de los plazos de prescripción en los diferentes Estados miembros, recoge la sentencia.

De igual manera, la intervención en el derecho a la vida privada y a la protección de datos “no es desproporcionada”, porque en el registro de sociedades la información es “limitada” y porque el registro de esos datos está justificado en una relación de intercambios económicos en la que sólo ofrecen su patrimonio social como garantía respecto a terceros.

El pronunciamiento de la sala europea responde a un caso en Italia, en donde el administrador único de una sociedad a la que se le asignó por concurso la construcción de un complejo turístico acudió a los tribunales para reclamar el “derecho al olvido” de datos que vinculaban con una sociedad anterior.

No se aplica derecho al olvido en registros de sociedades

No se aplica derecho al olvido en registros de sociedades

Día internacional de la protección de datos

Día internacional de la protección de datos

El 28 de enero, cada año, se celebra el día internacional de la protección de datos. Este año en concreto, este día internacional estará caracterizado por la implantación en mayo de 2018 del nuevo Reglamento Europeo de Protección de Datos.

Desde la web de la Agencia Española de Protección de Datos, se han publicado hoy nuevos materiales y recursos con los que facilitar a las pequeñas y medianas empresas su adaptación al Reglamento General de Protección de Datos.

Estos materiales, vienen incluyendo una ‘’Guía del Reglamento para responsables de tratamiento’’, ‘’Directrices para elaborar contratos entre responsables y encargados’’ y una ‘’Guía para el cumplimiento del deber de informar’’, materiales elaborados junto a la Autoridad Catalana y la Agencia Vasca de Protección de Datos.

Estos materiales, tienen como objetivo facilitar que las pymes conozcan el impacto que va a tener el Reglamento en el tratamiento de datos exigiendo un compromiso más activo.

– Guía del Reglamento General de Protección de Datos para responsables de tratamiento.

Este documento, viene a recoger un resumen de la nueva normativa, así como, en la parte final una Lista de verificación con la que las entidades pueden determinar si han dado los pasos necesarios para estar en condiciones de hacer una correcta aplicación del RGPD.

La mayoría de estas recomendaciones  están unidas con actuaciones que debieran iniciarse ya durante este periodo transitorio. Otras, sin embargo, sólo deberán tenerse en cuenta en el momento en que el RGPD sea de aplicación, aunque se han incluido para fomentar que las entidades puedan ir anticipándose al momento en el que las medidas sean de obligado cumplimiento.

Directrices para la elaboración de contratos entre responsables y encargados de tratamiento.

El RGPD establece que las relaciones entre el responsable y el encargado deben formalizarse en un contrato o acto jurídico que les vincule, regulando de forma minuciosa su contenido mínimo. Estas directrices se han realizado con la finalidad de que los contratos reflejen todos los contenidos recogidos en el Reglamento.

– Guía para el cumplimiento del deber de informar.

Otro de los puntos novedosos y destacados del nuevo Reglamente, es la información que debe proporcionarse a los ciudadanos cuyos datos van a tratarse, estableciendo una lista exhaustiva de los contenidos que deben ser expuestos de forma clara y accesible.

Todos estos nuevos recursos, se encuentran incluidos en una nueva sección web específica sobre el Reglamento, incorporando, por igual,  elementos que pueden resultar útiles para que las entidades puedan adaptarse de forma paulatina al RGPD.

Día internacional de la protección de datos

Día internacional de la protección de datos

Noticias del 2016

Noticias del 2016 – Resumen 2016

Noticias del 2016. Este año, ha presentado muchas novedades y muchas peculiaridades. Un año con un periodo legislativo muy extraño debido a las elecciones y muchas sentencias novedosas en los diferentes campos.

– Reglamento Europeo de Protección de Datos.

El Reglamento, establece unas reglas comunes en la Unión Europea adaptadas al entorno digital, reforzar los derechos de los ciudadanos en el tratamiento de sus datos personales y garantizar unos elevados estándares de protección, confianza y seguridad jurídica.

Como medidas novedosas, cabe destacar:

  • Principio de transparencia, obligaciones de información adicionales al titular del dato y derecho a ser informado si los datos han sido pirateados;
  • Derecho al olvido, tras el pronunciamiento, sobre esta materia en las sentencias de 15 de octubre de 2015; de 14 de marzo de 2016 y de 5 de abril de 2016.
  • Igualación de responsabilidades entre el responsable y el encargado del tratamiento;
  • Delegado de la Protección de Datos (DPO). ­

– Pronunciamientos del TJUE sobre la legislación laboral española.

Este año, el TJUE ha dictado varias sentencias sobre la contratación temporal en España, declarando la incompatibilidad del derecho español con la normativa europea:

  • prohibición de desigualdad entre fijos y temporales en la indemnización por extinción de contrato;
  • los nombramientos de duración determinada no pueden renovarse para desempeñar funciones permanentes y estables incluidas en la actividad normal del personal estatutario fijo en el sector de los servicios de la salud;
  • la utilización abusiva de sucesivos contratos de duración determinada no concede el derecho al personal que presta servicios para la Administración en régimen de derecho administrativo a mantener la relación laboral en régimen de igualdad con el personal laboral.

– Directiva sobre Responsabilidad Social Corporativa.

La Directiva 2014/95/UE, del Parlamento Europeo y del Consejo sobre información no financiera, sobre divulgación de información no financiera e información sobre diversidad por parte de determinadas grandes empresas y determinados grupos.

En virtud de esta norma europea, se obliga a las empresas con más de 500 trabajadores a publicar anualmente información no financiera sobre asuntos ambientales, diversidad, políticas de derechos humanos, y la lucha contra la corrupción y el soborno. ­

– Leyes en materia de ejecución hipotecaria.

La sentencia Aziz declaró que la normativa española en materia de ejecución hipotecaria vulneraba el Derecho europeo, han sido muchas las sentencias que han llamado la atención del legislador español por incumplimiento de la normativa europea en materia hipotecaria.

Asimismo, se dictó en 2014 la primera directiva hipotecaria que refuerza los derechos del consumidor en este ámbito. La falta de transposición de esta norma puede acarrear serias consecuencias a los países incumplidores; la Comisión envió un dictamen motivado en noviembre al Ejecutivo español instándole a adaptar su legislación en un plazo de 2 meses, so pena de llevar el incumplimiento ante el TJUE. ­

– El impacto de las nuevas tecnologías en la jurisprudencia.

Ante el auge de las nuevas tecnologías y la escasa regulación al respecto, los jueces han ido dictando sentencias que determinan las consecuencias jurídicas de ciertos comportamientos. Especialmente vulnerables son los menores, por el mal uso de las redes sociales (AP Alicante de 9 de septiembre, sobre humillaciones a través de un grupo de whatsapp); las víctimas de violencia de género (JP Almería de 22 de diciembre de 2015, condenado a prisión por espiar a su exnovia a través de una aplicación móvil), acceso a las cuentas de Facebook de los hijos (TS de 10 de diciembre de 2015), los nuevos delitos de «ciberbullying», «stalking» o «sexting», fruto de la reforma del Código Penal (JI de Tudela de 3 de marzo de 2016) o el uso del whatsapp como prueba judicial (TS de 10 de mayo de 2016).

Segundo resumen de noticias del 2016

Noticias del 2016

Whatsapp no comparte información con Facebook

Whatsapp no comparte información con Facebook. El conflicto entre Whatsapp y Facebook contra las autoridades europeas de protección de datos, sigue avanzando. Ahora las redes sociales han informado que no comparten ningún tipo de información, al contrario de lo que decían en comunicados anteriores.

En este sentido, las Autoridades europeas de protección de datos han recibido confirmación por parte de WhatsApp indicando que no ha iniciado ningún intercambio de información de las cuentas de usuarios de la UE con Facebook para que la compañía los utilice con el fin de mejorar los productos de la red social y las experiencias publicitarias de los usuarios, incluyendo a aquellos que aceptaron que dicha información se compartiera con Facebook con tales fines.

La compañía señala que “no iniciará tal intercambio con Facebook hasta que haya tenido la oportunidad de abordar las preguntas y preocupaciones que se han planteado”.

Esta respuesta a la carta enviada el pasado 27 de octubre por las Autoridades europeas de protección de datos a su consejero delegado y cofundador de WhatsApp, Jan Koum, en la que expresaban sus dudas y preocupación por la actualización de los términos de servicio y la política de privacidad llevados a cabo en agosto por la aplicación de mensajería instantánea, que introduce cambios sobre la forma en la que maneja la información personal de sus usuarios.

En ella, las Autoridades instaban a WhatsApp a facilitar toda la información disponible y a no seguir adelante con el intercambio de datos de los usuarios hasta que se confirme que ofrece las suficientes garantías legales.

La Agencia Española de Protección de Datos inició a principios de octubre una investigación de oficio para examinar las comunicaciones de datos personales realizadas entre WhatsApp y Facebook, así como los tratamientos que dicha comunicación genera. Esta actuación de la Agencia se alinea con otras iniciativas similares emprendidas por Autoridades de Protección de Datos como Alemania, Italia o Reino Unido.

Whatsapp no comparte información con Facebook

Whatsapp no comparte información con Facebook

Primer código de conducta para servicios en la nube

Primer código de conducta para servicios en la nube

Primer código de conducta para servicios en la nube. Los servicios en la nube tienen una gran incidencia en la actualidad tanto a nivel particular como a nivel comercial. Estas estructuras dan una gran vivacidad a los servicios de almacenamiento, haciéndolos accesibles de una manera muy rápida, cómoda y eficaz.

En este sentido, encontramos que el CISPE (Cloud Infrastructure Services Providers in Europe), ha lanzado el primer Código de Conducta de Protección de Datos para el sector.
Siguiendo lo expresado en dicho código, las empresas se comprometen a no recoger ni extraer datos o hacer perfiles de los datos de sus clientes para comercializarlos, publicidad o actividades de marketing o similares en beneficio propio ni revenderlos a terceros.

Las empresas adheridas a este Código, garantizarán a los clientes que los proveedores de servicios de infraestructura en la nube no procesan sus datos personales para su beneficio propio o para revenderlos terceros y que cumplen las nuevas normas de protección de datos de la UE, que básicamente buscan devolver el control a los ciudadanos sobre sus datos personales.
El Código, presenta una gran similitud al Nuevo Reglamento Europeo de Protección de datos, recogiendo muchas de las nuevas exigencias que recoge, permitiendo a los ciudadanos retomar el control de sus datos personales y simplificando el marco regulatorio para los negocios internacionales en el ámbito de la Unión.

Igualmente, las empresas, van a permitir a los clientes procesar y almacenar los datos «exclusivamente» en los países de la UE o del Área Económica Europea, aumentando el control del lugar de procesamiento de sus datos y donde se almacenan físicamente, a la vez que tienen garantías de que su proveedor no reutilizará ni revenderá sus datos.
La evaluación de la adecuación de las empresas de servicios de infraestructura en la nube para procesar los datos personales que desean realizar, teniendo en cuenta que los adecuados se identificarán con una «Marca de Confianza» clara.

Según Alban Schmutz, presidente de CISPE, este Código «da a los clientes la garantía de que sus datos siempre permanecen bajo su control y su propiedad»,
«Nuestro modelo de negocio no es tener acceso a los datos de nuestros clientes», ha puntualizado, subrayando la importancia de que «empresas competidoras» hayan lanzado esta iniciativa para promover más confianza para apuntalar el mercado digital en Europa y las oportunidades que ofrece.

«Somos solo una parte de la historia», ya que aunque los proveedores de servicios de infraestructuras se comprometan a garantizar a sus clientes que respetan las normas de protección de datos europeas y almacenan sus datos en Europa si así lo quieren. «No somos nunca el controlador de los datos», ha remachado, insistiendo en que la responsabilidad de empresas que ofrecen servicios como LinkedIn o empresas de Software como Dropbox.

«No somos toda la industria de la computación en la nube. Representamos una parte», ha incidido, insistiendo que ellos solo dan «una buena base» para que los proveedores de aplicaciones o las redes sociales que usen su infraestructura garanticen la seguridad. «Porque la infraestructura es segura. Pero es solo una capa», ha incidido. «Decimos claramente qué parte cubrimos y cuáles son las responsabilidades de recaen sobre nuestros clientes», ha concluido.

Primer código de conducta para servicios en la nube

Primer código de conducta para servicios en la nube

Big Data y derechos de autor

Big Data y derechos de autor

Big Data y derechos de autor. El Big Data, o datos masivos, es sin duda una de las tendencias actuales con más importancia y peso en el mundo de los negocios. Su regulación, comercialización y análisis se han convertido en verdaderas especialidades que cada vez son más cotizadas en el mercado empresarial.
Dentro del Big Data, los algoritmos que filtran tales datos y les dan un fin comercial o estadístico, son la base de estos métodos de análisis de datos, pero su importancia crucial en los resultados y los objetivos de estas empresas choca con la falta de legislación sobre el asunto.
En la actualidad no existe ninguna legislación de propiedad industrial o intelectual referida a la protección de estos algoritmos, generando una gran inseguridad jurídica. La protección de la autoría de estas fórmulas matemáticas, solo parece posible a través de una patente, centrándose en la propiedad intelectual o mediante el know-how.
En Europa, según el Convenio de la Patente Europea, no se permite la patentabilidad de «los descubrimientos, las teorías científicas y los métodos matemáticos» en la medida en que dichas fórmulas sean el objeto único de la patente. Sin embargo, en Estados Unidos, sí que se han llegado a conceder patentes para proteger algoritmos.
Según la última sentencia del juez Otero del Tribunal de California, de 21 de junio de 2016, que anuló una patente que protegía un algoritmo para colorear pixeles en imágenes digitales, hay un cambio de tendencia en este sentido. Estos juristas tienen una visión muy economicista y no otorgarán una patente si ésta puede generar un monopolio demasiado amplio que termine por limitar la evolución de un sector.
Una de las vías posibles de protección es a través de la propiedad intelectual o el “know-how”. La propiedad intelectual se podría realizar a través del algoritmo en código fuente, prohibiendo a terceros que copien el código fuente en el que el algoritmo se exprese. Sin embargo esta protección no impediría que terceras personas con una licencia legítima pudieran estudiar el programa y determinar cuáles son los métodos utilizados sin requerir autorización del titular.
La protección a través del “know-how” o, “saber hacer”, podría definirse como el conjunto de conocimientos y actividades desarrolladas por una empresa o persona, adquiridas a través de la experiencia e investigación, que es difícil de imitar por terceros. Para este tipo de protección, la información en cuestión ha de ser secreta y únicamente conocida por un número limitado de personas, que tenga un verdadero valor comercial y que exista una clara voluntad por parte de la empresa de mantener en secreto dicha información.
Esta medida da poca protección, por lo que la empresa debería asegurarla mediante prácticas como la encriptación, la limitación de personas conocedoras del secreto o las cláusulas de confidencialidad de estos mismos trabajadores serían un buen ejemplo de esta voluntad de la empresa.

Big Data y derechos de autor

Big Data y derechos de autor

Nuevo Reglamento Protección de datos

Nuevo Reglamento Protección de datos, novedades de la Agencia. Ayer, día 29 de Mayo de 2016, tuvo lugar la 8 reunión anual de la Agencia Española de Protección de datos, siendo el Nuevo Reglamento Europeo, sin duda la piedra sobre la que giró todo el evento.

Primero hay que recordar la eficacia de este Reglamento Europeo, que entró en vigor el 25 de mayo de este año, pero que no comenzará a aplicarse hasta el mismo día de 2018. Al tratarse de una norma europea con nivel reglamentario, no requiere de transposición en la normativa interna del estado para que sea aplicable y eficaz. Sin embargo, esta norma va a requerir la adaptación de la normativa nacional que no recoja todos los supuestos expuestos ahora a nivel europeo.

Por esto, se abre ahora un plazo de dos años en los que la propia Agencia ha avisado, que será importante adaptar todos los ficheros, medidas y documentos para que se cumplan poco a poco con las medidas expresadas, para que una vez en mayo de 2018 cuando entre en vigor, todos estos extremos estén controlados y actualizados.

Si algo se dejó en claro en dicha reunión, es que el reglamento aunque sea de aplicación en el 2018, se ha de ir aplicando poco a poco en las empresas, responsables y encargados del tratamiento para ir adaptándolas a una nueva realidad.

Dentro de los principales puntos que van a requerir una actualización antes de la entrada total en vigor de este reglamento, podemos encontrar:

  1. Consentimiento

El consentimiento tácito, que siempre ha sido el consentimiento por defecto, ha sido totalmente “derogado” en el nuevo reglamento. La nueva norma introduce que para prestar consentimiento, se va a requerir una manifestación inequívoca y una clara acción afirmativa. Esta acción afirmativa va a invalidar fórmulas habituales que no daban opción a la acción a las personas, obligando a prestar un consentimiento claro, con una declaración independiente y que sea inequívoco. Un ejemplo de estas prácticas son las casillas premarcadas que perderán toda eficacia una vez entre en juego el Reglamento.

Por ello la Agencia esta aconsejando que las organizaciones que usen el consentimiento tácito como base para sus tratamientos comiencen a revisar los consentimientos antiguos, como a proceder a utilizar mecanismos acordes con la nueva legislación.

  1. Información

La información ofrecida por las empresas también va a sufrir cambios con el nuevo Reglamento. Esta información PREVIA al tratamiento de datos va a poder ser aportada por las empresas sin ningún coste excesivo, utilizando para ello sus páginas web o aprovechando los canales de comunicación habituales que mantengan con sus clientes.

Igualmente, numerosas empresas deberán de adaptar sus políticas informativas a los nuevos requisitos del Reglamento. Sin embargo este extremo deberá ser desarrollado por la Agencia, ya que aún hay muchos asuntos que ha de ser concretados y definidos por la autoridad española.

  1. Evaluaciones de impacto sobre la protección de datos

Otro de los nuevos puntos expuestos en el reglamento, y con mucha importancia en la reunión, son las evaluaciones de impacto. Estas Evaluaciones de Impacto sobre la protección de datos, van a ser obligatorias en determinados tratamientos de datos, van a tener carácter previo y tendrán como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. La obligatoriedad para realizar estas evaluaciones, será para aquellos tratamientos con un alto riesgo para los interesados, tales como:

Evaluación sistemática y exhaustiva de datos de la personalidad de una persona física o analizar sus circunstancias personales o destinada a analizar o a predecir, en particular, su situación

Tratamiento a gran escala de información de datos sensibles para decisiones automatizadas.

Seguimiento de zonas de acceso público.

Tratamiento de datos a gran escala relativos a niños, o de datos genéticos o biométricos.

  1. Certificación

De manera novedosa, el Reglamento aporta una nueva importancia a  los esquemas de certificación. Éstas, pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas.

En el caso de optar por las entidades, esta acreditación puede ser dada por las propias Autoridades o a través de entidades de acreditación previstas en la normativa europea sobre normalización y certificación.

En este punto la Agencia, ha destacar que sería recomendable encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la Agencia.

  1. Delegados de protección de datos. Certificación

Otro de los puntos clave de este reglamento y que más revuelo ha causado, ha sido la figura del delegado de protección de datos. Las funciones de esta figura parecen claras, haciendo de nexo de unión entre los responsables y/o encargados con la Agencia y los usuarios. Con respecto a su nombramiento, la norma, requiere que sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. Estas cualificaciones no están recogidas en la norma, por lo que estas aptitudes y conocimientos, deberán realizarse no tanto en función de criterios externos, sino como de las necesidades de los tratamientos concretos que cada organización lleve a cabo.

Por parte de la Agencia, no se ha considerado la necesidad de establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión.

Sin embargo, la Agencia por su parte, está interesada en valorar la promoción de entidades de certificación de profesionales. Estas acreditaciones, sería llevadas a cabo por la Entidad Nacional de Acreditación (ENAC).

  1. Relación entre responsables y encargados

Uno de los puntos críticos, es la relación de las figuras de responsables y encargados. Destacar que estas figuras con el Reglamento se asemejan llegando a tener un mismo nivel de responsabilidad en el tratamiento de datos.

El contrato entre estas dos figuras va a tener que incorporar obligaciones de las partes ante la prestación del servicio de encargo que se acuerda, respetando  en todo caso el contenido fijado por el Reglamento.

Durante estos dos años habrá que realizar dos acciones:

Revisar los contratos ya firmados que vayan a prolongarse en el tiempo.

Incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios.

  1. Necesidad de inscripción de ficheros.

Una de las primeras medidas que se imponían en una adaptación a la LOPD, era la inscripción de los ficheros en la Agencia, sin embargo esta necesidad se elimina con el nuevo Reglamento. Esta necesidad de inscripción daba una seguridad jurídica al ciudadano ya que podía tener acceso de manera fácil y sencilla a todos los datos del responsable del tratamiento para poder dirigirse a él de manera ágil.

Con esta no necesidad de la inscripción de ficheros, el Reglamento ha querido dar más responsabilidad al responsable y encargado, teniendo que tener toda esta información en su poder, fácilmente accesible y que sea sencilla e inteligible. Igualmente esta información se encuentra ampliada en el Reglamento, por lo que deberá de ser revisada paulatinamente.

En palabras de la Agencia: “hasta el 25 de mayo de 2018 se deberán seguir inscribiendo ficheros, a partir de esa fecha ya no será necesario”.

  1. Privacidad por diseño.

En línea con lo anterior, hay que destacar que el nuevo Reglamento opta por la privacidad por diseño, para confeccionar la seguridad del tratamiento de los datos personales.

Esta privacidad por diseño, va a dar un papel primordial al responsable o encargado, ya que igualmente se eliminan las medidas de seguridad por niveles, obligando a optar las medidas de seguridad que se crean necesarias para cada tratamiento de datos.

Esta consideración para la fijación de estas medidas en función del tipo de dato que se esté tratando y del tipo de tratamiento, va a depender única y exclusivamente del análisis y programación del responsable/encargado. Aunque desde la Agencia, si es cierto que en dicha reunión se nos insinuó que existía la posibilidad de que dieran algún tipo de orientación hacia qué tipo de medidas debería aplicarse para determinado tipo de datos o tratamiento.

Este punto es importante, ya que las medidas de seguridad actuales no serán las únicas que podrán ser utilizadas, ampliando aún más el abanico de actuación del responsable/encargado.

Con respecto a todas estas novedades que hemos mencionado, cabe destacar que la Agencia está trabajando en la elaboración de informes, herramientas y material en general para ayudar con la adaptación paulatina de este nuevo Reglamento.

Sin duda esta norma ha introducido un nuevo panorama en la Protección de Datos, dando un papel más importante a los responsables y encargados en cuanto a la seguridad y la protección de los datos. Por otra parte las empresas encargadas de este campo nos obliga a una continua evolución y una actualización tanto de la organización como del contenido.

Lexnet, denunciado ante la Comisión Europea

Lexnet, denunciado ante la Comisión Europea. El sistema de gestión de la abogacía española, que entró en vigor en enero de 2016, siempre ha estado unido a numerosas críticas y problemáticas. Ahora, un par de abogados han pasado a la acción interponiendo sendas denuncias ante la Comisión Europea por lo que consideran un sistema «no solo ineficaz», sino también «de dudosa legalidad»

Joaquín Moeckel, un abogado sevillano, denunció ante la Comisión Europea el uso del sistema de comunicaciones telemáticas Lexnet por la Administración de Justicia. En la misma línea, el letrado Javier de la Cueva ya interpuso el día 13 de mayo, la denuncia originaria. En ella, el abogado considera que el sistema Lexnet es contrario al principio de división de poderes del Estado, vulnera el principio de independencia judicial, y también la privacidad de los ciudadanos, con base en el artículo art. 47 y el art. 8, apartados 1 y 2, del Convenio Europeo de Derechos Humanos y la LO 15/1999, de Protección de datos de carácter personal.

Javier de la Cueva señalo, que la cuestión debe ser quién es el responsable del tratamiento de los datos incorporados al sistema. Según su razonamiento, el control del Poder Ejecutivo tiene sobre los flujos de entrada y salida de datos del Poder Judicial es total. El Ministerio debe proporcionar los medios y equipamiento para el funcionamiento del sistema, pero no debería poder hacer un tratamiento de los datos, que incluso le permitiría trazar perfiles, que, a su juicio, correspondería al poder judicial.

Moeckel, por su parte, asegura que debería ser responsabilidad del CGPJ, sobre todo a la hora de poder respetar la división constitucional de poderes.

El otro punto de estas denuncias, es la posible vulneración del derecho a la privacidad, sobre todo al tiempo de almacenamiento de estos datos, citando al respecto recientes sentencias del TJUE como la STJUE de 8 de abril de 2014, en el caso Digital Rights Ireland, donde se declaró nula la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006.

Por su parte, el CGAE se desconoce la presentación de estas denuncias y los términos en los que se han sustanciado, y afirman la colaboración de la Abogacía con la implementación del sistema Lexnet, que si bien tuvo ciertas incidencias en los primeros meses de andadura, consideran resueltas en la actualidad.

En el blog de la presidenta de la Abogacía, Victoria Ortega, contiene un post en relación a Lexnet en el que se puede leer «Estoy convencida, creo que lo estamos todos, de que el objetivo de Lexnet es positivo».

Lexnet, denunciado ante la Comisión Europea

Lexnet, denunciado ante la Comisión Europea

Nuevo reglamento de protección de datos

El pleno del Parlamento Europeo ha dado luz verde al nuevo reglamento de protección de datos. El objetivo último de este plan es para garantizar unos estándares comunes adaptados al entorno digital.

El borrador del plan se redactó el 25 de enero de 2012, y tras numerosas conversaciones, reuniones y deliberaciones, ayer día 14 de abril se procedió a su ratificación. Este reglamento reemplaza a la obsoleta directiva sobre la misma materia, ratificada en 1995.

El nuevo reglamento, entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE siendo de aplicación directa en todos los estados, con objetivo de armonizar las normativas vigentes de los países de la UE, devolver a los ciudadanos el control de sus datos personales y garantizar unos elevados estándares de protección, confianza y seguridad jurídica.

 

Como novedades en este texto, podemos destacar:

  • La inclusión (de manera más oficial) del derecho de rectificación en Internet por modificación o supresión de los datos personales, más conocido como el derecho al olvido. Su inclusión era totalmente necesaria ya que es uno de los puntos más necesarios debido a la rápida evolución de la tecnología y de las necesidades de los usuarios.
  • Obligación de obtener un consentimiento claro y afirmativo de los usuarios de manera separada del objeto central de contratación. Con este punto parece que se quiere acabar con las clausulas de protección de datos incluidas en los contratos, que generan al final una gran inseguridad en la parte firmante.
  • Derecho a ser informado sobre un posible pirateo de datos personales. Toda persona que trate datos personales, deberá de informar de cualquier brecha de seguridad al usuario para que sea consciente de esta información.
  • Multas de hasta el 4% de facturación global de las empresas en caso de infracción sobre estos datos. Con esto se intenta que las grandes corporaciones tengan más en cuenta la protección de datos en sus infracciones y cuiden de la seguridad de los usuarios.
  • Para terminar, la normativa incluye la figura del delegado de protección de datos, el cual deberá hacer que las empresas con más de 250 trabajadores, los organismos público y aquellas que necesiten de un control permanente de la protección de datos, cumplan las normas de protección de datos y los procedimientos de control necesarios.
  • Si bien estos son los puntos principales del nuevo reglamento, y es de aplicación directa, habrá que esperar a la Agencia Española de Protección de Datos dé un informe de su aplicación concreta en el territorio español.
Legalización del envío de datos a Estados Unidos

Legalización del envío de datos a Estados Unidos

Como consecuencia de la anulación por parte del Tribunal de Justicia de la Unión europea, la Agencia Española de Protección de datos se está dirigiendo por carta a las empresas españolas que transfieren datos a Estado Unidos para pedirles que legalicen el envío de esos datos antes de finales de enero, en concreto el 29 de enero de 2016.

Las empresas que se ven afectadas por ésta obligación son aquellas que usan algún tipo de servidos o sistema de almacenamiento en la nube o algún gestor de proyectos en Estados Unidos  como por ejemplo DROPBOX o AMAZON.

En realidad, el requerimiento de la Agencia Española de Protección de Datos es una moratoria tras la publicación de la sentencia del Tribunal de Justicia de la Unión Europea porque el volumen de empresas y de archivos es extremadamente grande y la adaptación requiere un tiempo mínimo.

En éste sentido serán las grandes tecnologías que prestan éstos servicios a las empresas las que requerirán al director de la Agencia Española de Protección de datos la autorización explícita del envío de datos a Estados Unidos y justificar que cumplen con las normas de seguridad en la transferencia de datos.

Es importante resaltar que en caso de que las empresas ya no realicen ésos servicios, tendrán que comunicarlo también de forma expresa a la Agencia Española de Protección de Datos. La Agencia se reserva la potestad de anular provisionalmente el envío de una empresa que no legalice el envío antes del 29 de enero.

Legalización del envío de datos a Estados Unidos

Legalización del envío de datos a Estados Unidos

La protección de datos en los menores

La protección de datos en los menores

Por todos es conocido que existen entidades como clínicas médicas y odontológicas, colegios y guarderías que tratan datos de carácter personal de menores y por ello requieren una protección especial. Todas ésas entidades deben cumplir con la Ley Orgánica de Protección de Datos.

Por ello, pasamos a resumir los puntos en los que se puede ver qué relación existe entre la Ley Orgánica de Protección de Datos, en adelante LOPD y los menores.

Como puede deducirse, es imprescindible que para el tratamiento de los datos de carácter personal o su cesión se requiera el consentimiento de los interesados. En caso de que se trate de menores de catorce años es necesario el consentimiento de los padres o tutores. El lenguaje que se utilice para dirigirse a los menores debe ser un lenguaje fácil y sencillo de entender que no lugar a ningún tipo de confusión.

Cuando la autorización la hayan dado los padres, se deberá garantizar de alguna manera que ese consentimiento es auténtico.

Será necesario que las  entidades a las que nos venimos refiriendo desde el principio informen sobre los derechos que asisten a los menores en cuestión o en caso de ser menores de catorce años a sus padres. Deberán  informar de la identidad y la dirección del responsable del tratamiento y de la finalidad para la que se recogen los datos, así como el deber de garantizar que  la finalidad expresada es la real y que no va a tener otras finalidades distintas de las establecidas en el requerimiento del consentimiento  y de las que se detallan en la recogida de datos.

No se podrá pedir a los menores que facilite información sobre las profesiones de sus padres o tutores, así como tampoco información económica ni relativa a cualquier otro concepto sin que exista consentimiento expreso de los padres para facilitar esta información. La información de la que estamos hablando sólo podrá ser recogida con la finalidad de contactar con los padres para pedir el consentimiento de los mismos al tratamiento de los datos de carácter personal.

Después de haber recabado información de carácter personal, la empresa o entidad encargada del tratamiento está obligada a probar que ha cumplido con las exigencias de informar y recabar el consentimiento, es decir, que tiene el deber de  probar que ha cumplido las obligaciones de informar al interesado y de conservar el soporte que pruebe que realmente ha informado.

Para cualquier cuestión relativa a éste tema u otros distintos pueden ponerse en contacto con nuestros asesores legales de Equal Abogados situados en nuestra oficina de Madrid.

La protección de datos en los menores

La protección de datos en los menores