Número de infracciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Las infracciones que establece el artículo 83 del RGPD se distribuyen en dos grandes grupos:

A) Infracciones con sanciones de hasta 20 millones o el 4% del volumen de negocio, cuyo contenido es exclusivamente jurídico, ya que se refieren a:

  1. Los principios básicos del tratamiento (Artículos 5, 6, 7 y 9)
  2. Los derechos de los interesados (Artículos 12 a 22)
  3. Las transferencias de datos personales a un tercer país (Artículos 44 a 49)
  4. El incumplimiento de obligaciones en virtud del Derecho de los Estados miembros (Artículos 85 a 91)
  5. El incumplimiento de resoluciones de la autoridad de control (Artículo 58)

B) Infracciones con sanciones de hasta 10 millones o el 2% del volumen de negocio, cuyo contenido es predominantemente jurídico, ya que se refieren a:

  1. Las obligaciones del responsable y del encargado del tratamiento
  2. Las obligaciones de los organismos de certificación
  3. Las obligaciones de las autoridades de control

Las infracciones en materia de seguridad están incluidas en el punto 1, relativo a las obligaciones del responsable y del encargado del tratamiento, que están descritas en los artículos 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 y 43.

Por lo tanto, una infracción de las obligaciones establecidas en materia de seguridad, tendría una sanción de hasta 10 millones o el 2% del volumen de negocio y afectaría a 3 de los 19 artículos del RGPD cuya infracción comportaría este tipo de sanciones.

En términos absolutos, el reparto de las infracciones entre las dos disciplinas es el siguiente:

  • Infracción de obligaciones jurídicas con sanciones de hasta 20 millones contenidas en 21 artículos.
  • Infracción de obligaciones jurídicas con sanciones de hasta 10 millones contenidas en 16 artículos.
  • Infracción de obligaciones en materias de seguridad con sanciones de hasta 10 millones contenidas en 3 artículos.

Cabe añadir que dos de los tres artículos relativos a medidas de seguridad se refieren a la obligación de notificar y comunicar las violaciones de datos.

Acceso a las conclusiones del análisis

Número de obligaciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

El RGPD tiene 99 artículos, de los que:

  • 44 contienen obligaciones de contenido jurídico.
  • 5 contienen obligaciones relativas a medidas técnicas que pueden incuir medidas de seguridad (Artículos 5, 17, 24, 25 y 28)
  • 3 contienen obligaciones específicas en materia de seguridad (Artículos 32, 33 y 34)
  • Los restantes artículos tienen un contenido general y directrices para los estados y las autoridades de control

Si miramos la proporción entre las dos disciplinas, de los 44 artículos que contienen obligaciones:

  • El 84% contiene obligaciones de contenido jurídico
  • El 10% contiene obligaciones en materia de medidas técnicas
  • El 6% contiene obligaciones específicas en materia de seguridad

Si relacionamos las obligaciones contenidas en estos 44 artículos y las agrupamos por conceptos, el resultado es el siguiente:

  1. Principios relativos al tratamiento (Artículo 5)
  2. Licitud del tratamiento (Artículo 6)
  3. Condiciones para el consentimiento (Artículo 7)
  4. Consentimiento de menores (Artículo 8)
  5. Categorías especiales de datos (Artículo 9)
  6. Datos relativos a condenas e infracciones penales (Artículo 10)
  7. Tratamientos que no requieren identificación (Artículo 11)
  8. Ejercicio de derechos del interesado (Artículo 12)
  9. Información al interesado en la obtención directa (Artículo 13)
  10. Información al interesado en la obtención indirecta (Artículo 14)
  11. Derecho de acceso del interesado (Artículo 15)
  12. Derecho de rectificación (Artículo 16)
  13. Derecho de supresión (Artículo 17)
  14. Derecho a la limitación del tratamiento (Artículo 18)
  15. Notificación de las acciones relativas a los derechos anteriores (Artículo 19)
  16. Derecho a la portabilidad de los datos (Artículo 20)
  17. Derecho de oposición (Artículo 21)
  18. Decisiones individuales automatizadas y elaboración de perfiles (Artículo 22)
  19. Limitaciones (Artículo 23)
  20. Responsabilidad del responsable del tratamiento (Artículo 24)
  21. Protección de datos desde el el diseño y por defecto (Artículo 25)
  22. Corresponsables del tratamiento (Artículo 26)
  23. Representantes en la Unión Europea (Artículo 27)
  24. Encargado del tratamiento (Artículo 28)
  25. Tratamiento bajo la autoridad del responsable o del encargado (Artículo 29)
  26. Registro de las actividades de tratamiento (Artículo 30)
  27. Cooperación con la autoridad nacional (Artículo 31)
  28. Seguridad del tratamiento (Artículo 32)
  29. Notificación de una violación de la seguridad a la autoridad de control (Artículo 33)
  30. Comunicación de una violación de la seguridad al interesado (Artículo 34)
  31. Evaluación de impacto (Artículo 35)
  32. Consulta previa (Artículo 36)
  33. Designación del Delegado de Protección de Datos (Artículo 37)
  34. Posición del Delegado de Protección de Datos (Artículo 38)
  35. Funciones del Delegado de Protección de Datos (Artículo 39)
  36. Códigos de conducta (Artículo 40)
  37. Supervisión de los códigos de conducta (Artículo 41)
  38. Certificación (Artículo 42)
  39. Principio general de las transferencias a terceros países (Artículo 44)
  40. Transferencias basadas en una decisión de adecuación (Artículo 45)
  41. Transferencias mediante garantías adecuadas (Artículo 46)
  42. Normas corporativas vinculantes (Artículo 47)
  43. Transferencias no autorizadas por el Derecho de la Unión (Artículo 48)
  44. Excepciones para situaciones específicas (Artículo 49)

La distribución de las obligaciones relativas a estos artículos es la representada en el siguiente gráfico:

El artículo 35 del RGPD distribuye el alcance mínimo de la evaluación de impacto en cuatro apartados de contenido jurídico y cita las medidas de seguridad como uno de los cuatro grupos de medidas a aplicar para afrontar los riesgos identificados en la evaluación de impacto.

El artículo 37 del RGPD establece que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, que son de naturaleza jurídica y organizativa.

El proyecto de Ley relativo a la nueva LOPD sólo contiene obligaciones relacionadas con las medidas de seguridad tangencialmente en los artículos 8 y 9 al hablar de los tratamientos amparados por una ley, en la Disposición adicional primera, relativa a las medidas de seguridad en el ámbito del sector público y en la Disposición adicional desimosegunda, al hablar del tratamiento de datos relacionados con incidentes de seguridad por parte de los equipos de respuesta a incidentes (CERT y CSIRT).

Acceso a las conclusiones del análisis

“Data breach” y RGPD: la realidad de un concepto mal traducido

La traducción oficial al español de “data breach” en el Reglamento General de Protección de Datos es “violación de la seguridad de los datos personales”. Sin tener en cuenta artículos y preposiciones, el traductor oficial convierte dos palabras en cuatro.

Añadir “personales” no me parece mal, ya que confirma que el RGPD no se refiere a cualquier violación de datos, sino que ésta tiene que referirse a datos personales.

El problema surge al añadir la palabra seguridad, ya que ello puede generar la errónea interpretación de que el concepto “data breach” se refiere a cualquier incidente de seguridad en un entorno en el que haya datos personales. Y del texto de los artículos 33 y 34 del RGPD se deduce claramente que esto no es así.

Esta traducción ha provocado que, por economía de palabras, buena parte de las referencias al concepto “data breach” aparezcan en la práctica como “brechas de seguridad” o como “violaciones de seguridad”, con la consiguiente interpretación por parte de los profanos en la materia, de que todos los incidentes de seguridad que afecten a un sistema en el que haya datos personales serán un “data breach” y deberán ser objeto de notificación a la autoridad de control o de comunicación a los interesados. De ahí la pregunta habitual: “¿Cada vez que se pierda un móvil tendré que notificarlo a la Agencia?”

Para analizar el alcance real de un incidente de seguridad deberán tenerse en cuenta todas las circunstancias que lo rodean, así como las medidas anteriores, coetáneas y posteriores al incidente, que el responsable del tratamiento haya adoptado.

Entre las cuestiones conceptuales que deberán tenerse en cuenta destacan las siguientes:

  1. No todos los incidentes de seguridad constituirán una violación de la seguridad de los datos personales.
  2. No todas las violaciones de la seguridad de los datos personales serán una violación de los datos personales.
  3. La seguridad se representa gráficamente como un escudo de protección del sistema que alberga los datos personales, pero este escudo puede tener varias capas y formatos, de manera que un incidente en la primera capa de seguridad no implica forzosamente que exista un alto riesgo para los datos personales, ya que estos pueden encontrarse protegidos por varias capas de seguridad.
  4. Por ejemplo, un incidente en el firewall perimetral de una empresa puede no afectar a los datos que se encuentran cifrados dentro de una aplicación protegida con contraseña, en una máquina virtual protegida por un firewall propio albergada en un servidor interno, protegido a su vez por su propio firewall.

De manera similar a una ciudadela o a una fortaleza militar, el sistema informático de una empresa cuenta con varias líneas de defensa que permiten afirmar que un incidente de seguridad perimetral puede llegar a ser absolutamente irrelevante para los datos personales que alberga el sistema.

Si hablamos concretamente de una violación de la seguridad de los datos personales, igualmente debemos tener en cuenta que dicha seguridad puede estar compuesta por distintas capas y metodologías de protección, tanto físicas, como lógicas, como organizativas.

Por todo ello, y tal como puede verse en los dos gráficos que acompañan a este artículo, y que han sido incluidos en el nuevo curso de DPO de Thomson Reuters, una empresa debe contar con un protocolo de actuación ante incidentes de seguridad y con un protocolo de evaluación de la violación de los datos personales.

En el primer gráfico podemos ver que, antes del incidente, la empresa tiene que haber aplicado las medidas de seguridad necesarias para reducir la probabilidad de que se produzcan incidentes de seguridad y para mitigar los efectos de los que lleguen a producirse a pesar de las medidas aplicadas.

En relación al cifrado de datos, el Grupo de Trabajo del Artículo 29, en la guía que recientemente ha publicado sobre esta materia, ha manifestado que, si la confidencialidad de la clave de cifrado está intacta, los datos personales son en principio ininteligibles, y por lo tanto no se deberá realizar la notificación. Por ello es muy importante que las medidas adoptadas antes, durante y después del incidente vayan orientadas a asegurar la custodia de dicha clave.

También será necesario disponer de un plan de actuación ante un incidente, en el que se asignen funciones específicas a los responsables y se establezcan tiempos de respuesta en los contratos con los proveedores.

Durante y después del incidente, deberá realizarse un análisis de su alcance, del número de afectados, el origen (interno o externo) y el nivel de intencionalidad, así como cualquier otra circunstancia que permita determinar las medidas a aplicar y evaluar los riesgos.

La evaluación del riesgo deberá tener en cuenta, entre otras cuestiones, el tipo de incidente, su alcance en relación a los derechos fundamentales de los afectados, la sensibilidad de los datos, la gravedad del impacto para los afectados y la facilidad de identificación de los mismos. En esta fase será fundamental disponer de una checklist completa que permita evaluar el riego desde la óptica de los derechos y libertades fundamentales de los interesados.

El protocolo de actuación acabará con una decisión final en relación a la notificación y a la comunicación a realizar en función del riesgo evaluado. Si el riesgo es bajo, el incidente podrá ser registrado y archivado. Si el riesgo es alto, deberá realizarse la notificación a la AEPD y si el riesgo es muy alto, deberá realizarse la comunicación a los afectados.

En el segundo gráfico puede verse el protocolo de actuación que propongo aplicar para evaluar si se ha producido una violación de datos que deba ser notificada o comunicada.

Para ello habrá que recopilar información completa del incidente, evaluar la probabilidad y el impacto del riesgo, verificar si las medidas anteriores, coetáneas y posteriores al incidente han protegido de forma suficiente los datos, o si, por el contrario, se ha producido una violación.

De acuerdo con la guía del Grupo de Trabajo del Artículo 29, dicha violación puede referirse a la confidencialidad, a la disponibilidad y a la integridad de los datos. La violación de la confidencialidad permitiría que se produjese una comunicación o un acceso no autorizado a los datos. La violación de la disponibilidad podría provocar una pérdida de acceso a los datos o una destrucción de los mismos. La violación de la integridad supondría una alteración no autorizada de los datos.

Por lo tanto, y como conclusión final, para que un incidente de seguridad se convierta en una violación de datos, se tiene que haber producido una violación de la confidencialidad, la disponibilidad o la integridad de los datos. Si el riesgo de que esta violación afecte a los derechos y libertades de los interesados es alto, habrá que notificarla a la AEPD y si es muy alto, habrá que comunicarla a los interesados.

La diferencia entre riesgo alto y riesgo muy alto no queda definida en el RGPD, pero lo que sí queda claro es que, si una empresa ha cumplido sus obligaciones en materia de seguridad, consiguiendo un umbral razonable de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales, tiene más posibilidades de que una violación de la seguridad no se convierta en una violación de datos, y, por lo tanto, consiga no tener que notificar ni comunicar el incidente.

El objetivo del DPO y del responsable del tratamiento es que ese umbral de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales sea lo más alto posible.

Las violaciones de datos y las evaluaciones de impacto son dos puntos del RGPD que preocupan a las empresas por su operativa y por su contenido. En el nuevo curso de DPO de Thomson Reuters hemos dedicado especial atención a estos dos puntos, con una amplia descripción de los protocolos a seguir y, en el caso de las evaluaciones de impacto, al contenido detallado del informe que debe describir las procesos sedigos para realizar la evaluación y la justificación de la decisión final adoptada.

Nueva guía para la figura del Data Protection Officer

El Grupo de Trabajo del Artículo 29 (WP29) publica las principales guidelines sobre la nueva figura de DPO para las empresas.

Artículo de Jesús Martinell

No nos ha dado tiempo ni a empezar con los polvorones y los barquillos que el Grupo de Trabajo del Artículo 29 (WP 29) nos acaba de alegrar las Navidades al publicar, el pasado martes 13 de diciembre, un conjunto de directrices sobre el DPO. Es un buen regalo para las empresas de cara a la planificación del ejercicio 2017 ya que, hasta el momento, se había especulado sobre el papel y las funciones que debería desarrollar este nuevo cargo en la empresa pero el nivel de concreción era insuficiente.

Tal y como ya sabíamos, ¿cuándo las empresas deberán nombrar un DPO?

Existen 3 supuestos en los que deberá designarse un DPO:

  • Cuando el tratamiento se lleve a cabo por una autoridad u organismo público independientemente de que tipología de datos se estén tratando).
  • Cuando las actividades principales del responsable y el encargado del tratamiento consisten en operaciones de procesamiento que requieran un control periódico/habitual y sistemático.
  • Cuando las actividades principales del responsable y el encargado del tratamiento consistan en procesar datos a gran escala de categorías especiales de datos o datos personales relativas a condenas y delitos penales.

A pesar de ello, cabe recordar que tanto la legislación de la Unión Europea (UE) como la ley de cada Estado Miembro podrá exigir la designación de DPO en otras situaciones que lo estime necesario. Asimismo, las empresas, aunque el nuevo texto no obligue a designar tal figura en un supuesto concreto, si lo considera útil, podrá designarlo de manera voluntaria. De hecho, el mismo WP29 anima a hacerlo.

¿Qué significa la noción de “actividades principales” (Art. 37.1 apartado b) y c)?

El WP29 entiende que son aquellas operaciones clave o necesarias del responsable y del encargado del tratamiento para lograr sus objetivos. Ello incluye, también, todas las actividades en las que el tratamiento de los datos forma parte inextricable de la actividad del responsable o del encargado del tratamiento. Por ejemplo, el procesamiento de datos de salud, tales como la salud del paciente debe considerarse como una de las actividades básicas de cualquier hospital y, por ello, los hospitales deben designar a los DPO. Por otro lado, cualquier empresa lleva a cabo ciertas actividades de apoyo o auxiliares, por ejemplo, el pago a los empleados o el soporte de IT para determinadas actividades en la empresa. tales funciones son de apoyo y son necesarias para la actividad principal de la organización. Aunque estas actividades son necesarias o esenciales, por lo general se consideran funciones auxiliares en lugar de la actividad principal.

¿Qué se entiende por el término “a gran escala” (Art. 37.1 apartado b) y c)?

El nuevo texto no define lo que constituye el término “a gran escala”. Es por ello que el WP29 recomienda que se valoren los siguientes factores a la hora de determinar si el procesamiento de los datos es a gran escala:

  • El número de sujetos afectados, ya sea como número específico o como una proporción de la población relevante.
  • El volumen de datos y/o el rango de diferentes elementos de datos que se están procesando.
  • La duración o permanencia de la actividad de procesamiento de datos.
  • La extensión geográfica de la actividad de procesamiento de datos.

¿Qué se entiende por “monitorización habitual y sistemático” (Art. 37.1 apartado b)?

La noción de supervisión habitual y sistemático de los sujetos de los datos no está definida en el texto del Reglamento. A pesar de ello, sí incluye todas las formas de seguimiento y perfiles en Internet, incluso a efectos de publicidad según el comportamiento. Por otro lado, debemos tener claro que la noción de monitorización no se limita al entorno online. Así pues, el WP29 interpreta “habitual” como:

  • En curso o ocurriendo en intervalos particulares durante un período determinado.
  • Recurrente o repetido a tiempos fijos.
  • Constantemente o periódicamente teniendo lugar.

Asimismo, el WP29 interpreta “sistemático” como:

  • Ocurren según un sistema.
  • Organización previa, organizada o metódica.
  • En el marco de un plan general de recogida de datos.
  • Realizado como parte de una estrategia.

Un ejemplo serían los seguimiento de datos sobre el bienestar, la aptitud física y la salud a través de dispositivos portátiles (wearables).

¿Pueden las organizaciones designar conjuntamente un DPO? En caso afirmativo, ¿bajo qué condiciones (Artículos 37.2 y 37.3)?

El texto dispone que un grupo de empresas puede designar un único DPO siempre que

sea “fácilmente accesible desde cada establecimiento”. La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los interesados, la Autoridad de Control y también internamente (dentro de la organización). Así pues, el DPO deberá estar en condiciones de comunicarse eficazmente con los interesados y de cooperar con las autoridades de Control. Esto significa que esta comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de Control y los interesados afectados. La disponibilidad personal del DPO (ya sea físicamente en las mismas instalaciones o a través de medios de comunicación seguros) es esencial.

¿Es posible nombrar un DPO externo (art. 37.6)?

Sí, el DPO puede ser un miembro del personal del responsable o encargado del tratamiento (DPO interno) o «cumplir las tareas sobre la base de un contrato de servicios con un individuo o la» (DPO externo). En el caso del DPO externo, su función puede ejercerse sobre la base de un contrato de servicios contratando con un autónomo o un despacho (empresa).

Cuando la función del DPO es ejercida por un prestador de servicios externo, un equipo concreto de personas que trabajan para esa entidad pueden llevar a cabo efectivamente las tareas de DPO como un equipo. Asimismo, el WP29 recomienda una asignación clara de las tareas dentro del equipo externo de DPO así como también asignar un solo individuo como contacto principal y persona al cargo del cliente.

¿Cuáles son las cualidades profesionales que debería tener el DPO (art. 37.5)?

Como ya sabemos, deberá ser designado sobre la base de cualidades profesionales y, en concreto, conocimiento de la legislación y de las prácticas en materia de protección de datos así como la capacidad de cumplir las tareas del art.  39 del nuevo texto.

El nivel necesario de conocimientos especializados deberá determinarse de acuerdo con las operaciones de procesamiento de datos realizadas y la protección requerida para los datos personales que se están procesando. Por ejemplo, donde una actividad de procesamiento de datos es particularmente compleja, o cuando se tratan una gran cantidad de datos sensibles, el DPO necesitará un mayor nivel de experiencia y apoyo.

Las habilidades y conocimientos necesarios incluyen:

  • Experiencia en las leyes y prácticas nacionales y europeas en materia de protección de datos, incluido el nuevo Reglamento.
  • Comprensión de las operaciones de tratamiento realizadas.
  • Comprensión de las tecnologías de la información y la seguridad de los datos.
  • Conocimiento del sector empresarial y de la organización.
  • Capacidad para promover una cultura de protección de datos dentro de la organización.

¿Cuáles son los recursos que se deben proporcionar al DPO para llevar a cabo sus tareas?

La empresa deberá apoyar a su DPO mediante la facilitación de los recursos necesarias para llevar a cabo sus tareas, permitirle el acceso a los datos personales así como las operaciones de tratamiento y, también, para mantener su conocimiento de experto sobre la materia.

La empresa deberá analizar sus actividades, tamaño y la naturaleza de los tratamientos que llevan a cabo y, valorándolo en conjunto, deberá proporcionar los Los siguientes recursos al DPO:

  • Apoyo activo de la función del DPO por la alta dirección de la empresa.
  • Tiempo suficiente para que el DPO pueda cumplir sus obligaciones.
  • Apoyo adecuado en términos de recursos financieros, infraestructura (locales, instalaciones, equipo) y personal, cuando corresponda.
  • Comunicación oficial de la designación del DPO a todo el personal de la empresa.
  • Acceso a otros servicios dentro de la organización (p.e. Recursos Humanos IT, etc.) para que el DPO pueda recibir apoyo esencial o información de esos otros servicios.
  • Formación continua del DPO (p.e. asistir a workshops en materia de Protección de datos así como cursos o formaciones para que su experiencia vaya en aumento).

¿Cuáles son las garantías que permiten al DPO realizar sus tareas de forma independiente (artículo 38.3)?

Existen varias garantías para permitir que el DPO actúe de manera independiente según el considerando nº 97:

  • No deben haber instrucciones por los responsables o encargados del tratamiento sobre el ejercicio de las tareas del DPO.
  • No puede darse ningún despido o sanción por parte del responsable para el desempeño de las tareas del DPO.
  • No puede haber conflicto de intereses con otras posibles tareas y deberes.

¿Cuáles son las “otras tareas y deberes” de un DPO que pueden dar lugar a un conflicto de intereses (Art. 38.6)?

El DPO no puede ocupar un cargo dentro de la organización que lo conduzca a determinar los fines y los medios del tratamiento de los datos personales. Debido a la concreta estructura organizativa de cada organización deberá considerarse caso por caso. Como regla general, las situaciones de conflicto suelen incluir posiciones de alta gerencia, pero también otros roles de inferior rango en la organización pueden estar en la misma situación si su rol en la empresa conduce a la determinación de fines y medios de tratamiento.

¿Qué incluye la noción de “monitorizar el cumplimiento” del Reglamento (Art. 39.1 apartado b)?

Como parte de estas funciones para supervisar el cumplimiento, el DPO podrá:

  • Recopilar información para identificar las actividades de tratamiento de datos.
  • Analizar y verificar el cumplimiento de las actividades de tratamiento de datos.
  • Informar, aconsejar y emitir recomendaciones al responsable y/o encargado del tratamiento.

¿El DPO es personalmente responsable por el incumplimiento del Reglamento?

No, el DPO no es personalmente responsable por el incumplimiento del Reglamento. El texto deja claro que serán los responsables o los encargados del tratamiento quiénes deberán garantizar y poder acreditar que los tratamientos de datos se llevan a cabo de conformidad con el Reglamento.

¿Cuál es el papel del DPO con respecto a la evaluación de impacto de la protección de datos (art. 37.1 apartado c) y el registro de las actividades de tratamiento de datos personales (art. 30)?

En lo que respecta a la evaluación del impacto de la protección de datos, el responsable o encargado del tratamiento solicitará el asesoramiento del DPO, sobre las siguientes cuestiones, entre otras:

  • Realizar o no una evaluación de impacto en materia de protección de datos.
  • Qué metodología seguir cuando se lleva a cabo una evaluación de impacto.
  • Si se debe realizar la evaluación de impacto en la empresa o externalizarlo.
  • Qué garantías (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar los riesgos para los derechos e intereses de los interesados.
  • Si la evaluación del impacto han sido correctamente realizada (es decir, valorar si se sigue o no con el tratamiento en cuestión y qué garantías deberán aplicarse) así como así como verificar que las conclusiones cumplen con el Reglamento.

En lo que respecta al registro de las actividades de tratamiento, es el responsable o encargado del tratamiento, no el DPO, quién deberá mantener un registro de los diferentes tratamientos de datos personales que se hagan en la empresa. Sin embargo, del texto del Reglamento, nada impide que el responsable o encargado del tratamiento pueda asignar al DPO la tarea de mantener el registro de actividades del tratamiento,  bajo la responsabilidad del responsable del tratamiento. Este registro deberá considerarse como una de las herramientas que permitirán al DPO llevar a cabo sus tareas de vigilancia del cumplimiento, asesorando al responsable y al encargado del tratamiento.

Las empresas deberán ponerse las pilas en encontrar, ya sea en el seno de la misma o fuera, un perfil para llevar a cabo todas las funciones que hemos comentado en el artículo. Asimismo, no debemos olvidar que el nuevo Reglamento será de aplicación a partir del 25 de mayo 2018 y, cuanto antes las empresas tengan claro el perfil, antes podrán ponerse manos a la obra a planificar la adaptación de la empresa a las exigencias del nuevo Reglamento.

Jesús Martinell

El Safe Harbor y la hipocresía europea


La cultura norteamericana se está extendiendo como una mancha de aceite. Por imposición, ósmosis o mimetismo han llegado a nuestras vidas conceptos y costumbres que hace unos años sólo veíamos en las películas. Los términos Halloween, black friday, y el propio compliance han arraigado definitivamente en Europa. Pero lo que todavía no ha llegado, por ejemplo, es la confianza del legislador en el ciudadano, la eliminación de ciertas trabas legales que todavía existen para abrir una empresa y el justo equilibrio entre privacidad y negocio.

En mi opinión, al legislador europeo se le ha ido la mano al diseñar el modelo de protección de datos que actualmente tenemos y ello nos está pasando factura. Un ejemplo claro es la regulación de las cookies.

Es como si un legislador ocioso hubiese identificado un derecho a regular pero hubiese ampliado su alcance hasta crear en el ciudadano necesidades que antes no tenía, llevándonos todos a lo más alto de la pirámide de Maslow.

En el caso de la anulación de los acuerdos Safe Harbor, tengo una opinión que coincide con algunos de los criterios utilizados por el TJUE, pero no con la conclusión. Creo que al juzgador le ha faltado información y comprensión del verdadero problema que subyace en esta cuestión. Y si no es así, entonces le ha sobrado hipocresía al poner en la balanza valores que no son comparables.

Es evidente que la base de la Patriot Act es el miedo, y una persona no amenazada no puede criticar el miedo de la que sí lo está, salvo que el miedo sea excesivo. La causa o la provocación de la amenaza también deberían ser analizadas, pero en ese caso tendríamos que diferenciar entre gobernantes y gobernados.

Tras los atentados de París ya se está hablando de medidas restrictivas de la libertad de movimiento y del derecho a la intimidad que se acercan mucho a las contenidas en la Patriot Act y en normas posteriores. La pregunta es si estas medidas se intensificarán en el caso de que se produzcan más atentados, porque en tal caso las diferencias entre un Estado que espía y otro que está pensando en hacerlo serían meramente cuantitativas. Al final, la cruda realidad sería que el derecho a la intimidad depende exclusivamente del número de muertes y no de la diferencia de valores entre las dos culturas. No sería de extrañar, ya que la vida es más importante que la intimidad, pero en ese caso se produciría una homologación de facto entre la protección de la intimidad en Europa y en Estados Unidos.

Esperemos no tener que oír dentro de unos años la frase “Cómo se respetaba la intimidad en Europa hasta que llegó el miedo” igual que en su día oímos la frase “En España no había racismo, hasta que llegaron los inmigrantes”.

Hay que tener en cuenta también que no todo es blanco o negro. Ni unos son tan buenos ni otros tan malos. En Europa también ha habido gobiernos que han reconocido que espiaban a sus ciudadanos. Y también hay agencias que pueden realizar inspecciones y requerimientos de datos sin tutela judicial.

Ello nos lleva a la triste conclusión de que ni las cláusulas tipo, ni las normas corporativas vinculantes, ni siquiera un nuevo acuerdo Safe Harbor pueden impedir que un Estado espíe o requiera la entrega de datos a los encargados del tratamiento.

Tampoco sirve de nada que el servidor esté en Europa, ya que si el proveedor es norteamericano tendrá que suministrar igualmente a la agencia requirente los datos que gestiona, estén donde estén. Y si no lo es, seguramente subcontratará los servicios de una empresa norteamericana, aunque muy probablemente no lo sepa.

Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación. Cada vez es más difícil, y a la vez irrelevante, saber dónde están realmente los datos. Cuando un Magistrado del TJUE envía un mail a su familia, es muy probable que los routers encuentren un camino más rápido por otros países que no protegen los datos como en Europa, porque a esa hora están menos activos.

Por todo ello, cuando Europa y EEUU se pongan en serio a negociar Safe Harbor 2, tal vez tengan en cuenta todos los factores que hacen que sus normas y su cultura estén cada vez más cerca, y recuerden que los datos no saben lo que son las fronteras.

ACTUALIZACIÓN:  “El Parlamento británico tramita un proyecto de ley que pretende facilitar a la policía acceso a los registros del uso de Internet de los ciudadanos, algo que el Gobierno considera esencial para combatir el crimen y la amenaza terrorista”.
Ver noticia completa

ACTUALIZACIÓN:  “Los ministros de Defensa presionan para imponer una nueva legislación (Francia quiere prohibir el acceso a TOR, según difundió Le Monde hace unos días) y los defensores de los derechos civiles empiezan a mostrar preocupación”.
Ver noticia completa

Un nuevo paso para la aprobación del Reglamento UE de Protección de Datos a final de año

El Consejo de Justicia de la UE, formado por los ministros de Justicia e Interior de la Unión Europea, llegó ayer en Luxemburgo a un acuerdo en ciertas materias que acercan las posiciones y permiten mantener la planificación inicial de aprobar el Reglamento a finales de año.

Las materias en las que hubo acuerdo son las siguientes:

1. Régimen de la transferencia de datos a terceros países o en el seno de organizaciones internacionales.

2. Aspectos relativos al ámbito territorial, que incluyen la aplicación de las obligaciones del Reglamento a todas las empresas que operen en el Mercado Único Europeo, aunque no sean europeas.

3. Definición del concepto Binding Corporate Rules.

4. Definición del concepto organizaciones internacionales.

Se debatieron también aspectos relativos al principio one-stop-shop, que incluye la posibilidad de que una empresa se dirija a una única autoridad nacional de protección de datos para negociar cuestiones relativas a su actuación en todo el Mercado Único Europeo. Este punto no está exento de polémica, ya que las empresas podrían dirigirse sistemáticamente a las autoridades nacionales menos exigentes en detrimento de las “Rottweiler authorities”. Este debate ha quedado aplazado para próximas reuniones.

En la actualidad hay tres puntos que actúan como aceleradores del proceso y que permiten pronosticar nuevos avances en la reunión del Consejo de la UE prevista para los días 26 y 27 de este mes.

Estos tres puntos son:

1. El caso Snowden y los escándalos de espionaje de EEUU
2. La sentencia del TJUE relativa al derecho al olvido
3. El mercado único digital

La comisaria europea de Justicia, Viviane Reding, principal impulsora de esta iniciativa legislativa, hizo ayer especial énfasis en la necesidad de que la UE apruebe el Reglamento lo antes posible y afirmó que, con los acuerdos alcanzados, esta aprobación estaba más próxima.

La reunión del Consejo de la UE de finales de este mes también permitirá ver la posición de Inglaterra y la influencia en ella de EEUU. Está previsto que la normativa norteamericana vaya alineándose progresivamente a la europea en materia de protección de datos y alejándose de la amenaza de suspensión de los acuerdos Safe Harbor originada tras los escándalos de espionaje.

Facebook for Business

Artículo de Marc Rius

La reciente adquisición de Whatsapp por parte de Facebook ha sido probablemente la noticia más importante del sector en lo que va de año por las implicaciones que puede conllevar en el ámbito del comercio electrónico, y está por ver si en los meses que quedan otra la iguala, por lo menos en lo que a trascendencia económica se refiere.

Sin embargo, en este artículo no entraré a valorar el impacto que esta operación pueda tener en materia de privacidad y protección de datos, porque desconocemos los términos exactos que esconde el acuerdo.

Un efecto colateral de esta noticia ha sido restar cuota de atención a una novedad importante en los servicios de Facebook que afecta a todos los anunciantes y, por ende, a todos los usuarios de esta red social. Hablamos de “Facebook for Business“, la nueva herramienta de centralización de contenidos, anuncios y promociones que Facebook ha puesto a disposición de pequeñas empresas y grandes marcas o agencias, desde el pasado 6 de diciembre de 2013 y que ya había lanzado previamente en Estados Unidos.

¿Y por qué esto es noticia precisamente ahora? Porque esta semana entró en vigor el primer cambio significativo que modifica radicalmente la forma en la que toda empresa que tenga una página en Facebook, puede comunicarse de forma efectiva con los usuarios -entendido como conseguir que sus publicaciones aparezcan en el news feed de sus seguidores-.

De esta forma, Facebook da una nueva vuelta de tuerca a la monetización del servicio publicitario a través de su red social, y es que según algunos expertos en marketing digital, con los últimos cambios el alcance orgánico será prácticamente residual. Básicamente se concluye que si las empresas quieren visibilidad, deberán pasar por caja.

Así pues, Facebook organiza ahora ya las campañas publicitarias en tres niveles, (i) campañas, (ii) ad set y (iii) ads. Hasta ahora, los anunciantes podían crear una campaña y vincular a ella distintos anuncios, pero ahora ya se pueden preparar los llamados ad set, que no son más que un punto intermedio dentro de una campaña para poder hacer distintas segmentaciones, cada una de ellas con sus anuncios propios.

Adicionalmente, se añaden nuevas opciones de segmentación, que permitirán centrar la audiencia según (i) ubicación, (ii) demografía, (iii) intereses, y (iv) comportamiento. De esta forma, se amplía la anterior segmentación por intereses (derivada de los “me gusta” y las páginas de empresa/producto/personaje), y se podrá dirigir la publicidad a los usuarios según el lugar desde el que se conecten, por características demográficas como cambios en el estado civil o educativo/laboral, y por el uso que el propio usuario esté dando a la red social.

En definitiva, hay algo que puede ser bueno, y es que buscan personalizar y orientar al máximo la publicidad que reciben los usuarios, pero que a su vez vuelve a poner de manifiesto la gran cantidad de datos que Facebook posee sobre todos sus usuarios y que seguro es muchísima más de la que podamos siquiera llegar a imaginar.

Y dándole la vuelta al artículo y volviendo a la compra de Whatsapp, cabe decir que es por lo menos curiosa esta ampliación en los parámetros de segmentación, en el momento en que se anuncia la compra de la aplicación líder en mensajería instantánea. Dicen desde Whatsapp y Facebook que nada cambiará, pero sinceramente, pagar 16.000 millones de dólares por una aplicación principalmente gratuita (no recuerdo la última vez que pagué por ella), ,no parece un simple capricho o un ambicioso plan de liderar el sector, sino que más bien parece responder a una necesidad imperiosa de mantener y ampliar el negocio ante los rumores del derrumbamiento del gigante americano.

Whatsapp es una fuente inagotable de valiosísima información. Sus usuarios más activos se conectan numerosas veces por hora, y seguro que son muchas más de las veces que abren Facebook a lo largo del día, por lo que de primeras, podrán realizar un tracking mucho más preciso de los lugares y momentos de conexión de cada usuario. Si por cualquier método terminan por vincular usuarios de Whatsapp con usuarios de Facebook (hay gente que comparte su teléfono móvil en la red social, pero aún así es muy probable que Facebook ya lo sepa por otras vías), está claro que podrán generar perfiles todavía más completos, aunque traten de convencernos con insistencia de que no pueden ni podrán acceder al contenido de las conversaciones. Ahora bien, esta postura nos resulta poco creíble y especialmente si recordamos las palabras premonitorias de Mark Zuckerberg cuando en su día afirmó que la privacidad había muerto.

En definitiva, el negocio de Facebook son los datos y su posterior explotación. Por tanto cuantos más se conozcan, mejor para el negocio. Bienvenidos definitivamente a la era del Big Data.

Presentación en vídeo sobre la Guía de Cookies

Vídeo de 35 minutos relativo a la Guía sobre el uso de cookies publicada en mayo de 2013 por la Agencia Española de Protección de Datos y las asociaciones aDigital, Autocontrol e IAB.

Se recomienda ver el vídeo en resolución 1.080 y a pantalla completa tras hacer clic en el icono de YouTube.

¿Puede un periódico publicar las fotos que tuiteas?

La pregunta surge tras la reciente sentencia de un Juez de Distrito de Nueva York en la que declara que The Washington Post y la Agencia France-Press (AFP) infringieron los derechos de propiedad intelectual del fotógrafo Daniel Morel, al distribuir y publicar sin su autorización, fotografías que éste había tuiteado sobre el terremoto de Haití.

Los términos de servicio de Twitter establecen que:

  1. El usuario es el titular de los derechos que le amparan sobre cualquier contenido que envíe, reproduzca o exponga en Twitter.
  2. Al hacerlo, el usuario concede a Twitter una licencia mundial, no exclusiva y gratuita sobre el contenido publicado.
  3. Esta licencia permite a Twitter utilizar, copiar, reproducir, procesar, adaptar, modificar, publicar, transmitir, exponer y distribuir el contenido del usuario a través de cualquier medio o método de distribución presente o futuro.
  4. También permite a Twitter conceder sublicencias del contenido del usuario a terceros y permitir que las personas físicas o jurídicas asociadas a Twitter puedan sindicar, retransmitir, distribuir o publicar.

Ello significa que un periódico o cualquier otro sitio web no puede publicar una foto tuiteada sin la autorización del usuario o de Twitter, a través de un acuerdo de sublicencia o de asociación.

Sin embargo, John Herrman, de BuzzFeed plantea en un artículo de la semana pasada que no habría infracción de los derechos de autor si la fotografía se publica insertando el tuit en la página web. (Gracias a Patricia Ventura por la información facilitada).

Además de las funciones “Responder”, “Retwittear” y “Favorito” que ofrece Twitter en relación a cada mensaje, a través del menú “…Más” se puede acceder a las funciones “Enviar Tweet por correo electrónico” e “Insertar Tweet”. Esta última función permite acceder al código necesario para insertar el tuit en una página web, ofreciendo incluso una vista previa de cómo quedará la inserción.

Si consultamos el Centro de ayuda de Twitter, veremos las instrucciones para insertar un tuit en un sitio web o blog. En ellas se establece claramente la posibilidad de insertar cualquier tipo de tuit, incluyendo los tuits con fotos y vídeos. Además, en el apartado de preguntas frecuentes Twitter responde con un rotundo ¡SI! a la pregunta “¿Puedo insertar un Twet que contiene una foto, vídeo u otros medios?”. La única condición actual es que las fotos estén en pic.twitter.com y los vídeos en YouTube y que el tuit a insertar no haya sido protegido por el usuario.

Se trata por lo tanto, de un régimen parecido al de YouTube, en el que existe una autorización genérica para insertar vídeos en páginas web y blogs siempre que el usuario no hay protegido el vídeo. La autorización sigue el camino usuario-Twitter-tercero.

Este régimen puede no satisfacer a muchos usuarios, pero es el que teóricamente acepta al abrir una cuenta en Twitter o tras ser notificado sobre una modificación de los términos del servicio y mantener la cuenta. Para eludirlo, el usuario puede proteger sus tuits, pero entonces dejan de ser públicos, y sólo podrán acceder a ellos los seguidores aprobados de forma expresa por el usuario.

El problema puede surgir cuando el usuario borra o protege el tuit que ya ha sido insertado en otro sitio web. En estos casos, y según las FAQ de Twitter (al final de la página), “las marcas de Twitter y las acciones del Tweet (Responder, Retuitear, etc.) serán eliminadas del Tweet inserto, pero el contenido del Tweet aún será visible“. Sería interesante en este caso ponderar el derecho a mantener el contenido online por parte del medio que ha insertado el contenido de buena fe, de acuerdo con la expectativa generada por Twitter, y el derecho moral del autor a solicitar la retirada de la foto, en función de lo establecido en los puntos 1 y 6 del artículo 14 del Texto Refundido de la Ley de Propiedad Intelectual.

Por lo tanto, y respondiendo a la pregunta que da título a este post, un periódico podría publicar una foto tuiteada en los siguientes casos:

  1. Cuando disponga de la autorización del usuario que la publicó.
  2. Cuando obtenga una sublicencia de Twitter.
  3. Cuando sea un asociado de Twitter autorizado a publicar fotos.
  4. Cuando inserte un tuit con foto en su sitio web.

Si el usuario quiere evitar que sus fotos sean publicadas en otros sitios web a través de la inserción del tuit, tiene la opción evidente de no tuitearlas, o de proteger sus tuits al inicio, antes de que hayan sido insertados en otro un sitio web.

La responsabilidad del retweet

Imaginemos un campo de fútbol con miles de personas insultando a un árbitro con las más graves injurias que se puedan imaginar. Ahora imaginemos que desaparecen todos y se queda absolutamente solo el que más gritaba. Lo más probable es que deje de gritar.

¿Qué ha ocurrido?, que mientras se sentía protegido por la masa, no tenía ningún reparo en acordarse de toda la familia del árbitro, pero en el momento en que se convierte en un sujeto único, identificable y desprotegido esa sensación de impunidad desaparece.

Cuando estamos ante un tweet, con toda la libertad del mundo para hacer clic en “retweet”, podemos tener varias motivaciones para hacerlo. Una puede ser la solidaridad o la afinidad con la idea que transmite el mensaje y en ese momento tenemos la oportunidad de participar en la conversación y la capacidad para expresarnos libremente, apoyando esa idea. Pero el retweet también puede ser un acto mimético, una simple gamberrada en la que el reemisor sólo pretende unirse a otras personas que están haciendo lo mismo en ese momento, o incluso un acto de cobardía, al sentirse protegido entre la masa, como en el campo de fútbol.

Según un reciente estudio, un porcentaje importante de los tweets son retuiteados sin leerlos, es decir sin hacer clic en el enlace que contienen y sin conocer a fondo el texto o contenido al que se refieren.

El acto de retuitear no debe ser automático e irreflexivo, ya que puede tener consecuencias para el emisor, para el receptor y para la persona que resulte perjudicada por la difusión del mensaje. Hay que tener en cuenta los distintos niveles de participación en un eventual delito: autor, cómplice, colaborador necesario…

En el Código Penal existe el tipo agravado de delito masa, que va referido a ciertos supuestos en los que existe una pluralidad de afectados por un mismo acto. Las nuevas tecnologías han hecho posible que se produzca el efecto inverso: que los actos de muchas personas perjudiquen gravemente a una sola persona.

¿Cómo debe actuarse en estos casos? Por el principio de intervención mínima tal vez no parezca lógico pensar que el legislador haya querido atribuir responsabilidad penal a un acto ilícito de escasa gravedad cometido simultánea o secuencialmente por miles de personas. Además, un espacio de escasos segundos entre la recepción y el reenvío del tweet sería una prueba de que no llegó a verse el contenido al que hacía referencia. Aunque también podría tratarse de un contenido viral cuya existencia se conocía por otros medios. En cualquier caso, el efecto acumulativo de miles de retweets encadenados puede ser devastador para la víctima. Y ello merece una reflexión.

En Inglaterra, Lord Alistair McAlpine, ex tesorero del Partido Conservador, se ha querellado contra más de 10.000 usuarios de Twitter por haber tuiteado o retuiteado mensajes calumniosos contra su persona. La indemnización solicitada es proporcional al número de seguidores de cada cuenta, llegando hasta un máximo de 45.000 euros. ¿Es ese el camino?

Entiendo que son escenarios nuevos a los que tendremos que ir adaptándonos, pero lo que está claro es que, antes de participar en la difusión de un mensaje, el usuario de Twitter, y cualquier usuario que participe en una conversación en Internet, debe reflexionar sobre las consecuencias de ese acto y sobre sus posibles responsabilidades.