Archivo de la categoría: Datos personales

Una pequeña muestra de los errores cometidos durante el primer año de RGPD

Posted on por
  1. Contratar a encargados del tratamiento que no ofrecen garantías suficientes.
  2. Aceptar cláusulas de limitación de responsabilidad de los encargados del tratamiento.
  3. Delegar la selección y homologación de encargados del tratamiento a Compras sin las instrucciones adecuadas.
  4. Seleccionar a los encargados del tratamiento tomando como único criterio el coste del servicio.
  5. Aceptar que un encargado del tratamiento tiene la ISO 27001 sin verificar su alcance real.
  6. Solicitar el consentimiento a los clientes y a los interesados con contrato.
  7. Solicitar el consentimiento a los trabajadores.
  8. Facilitar información incompleta a los trabajadores sobre los datos que la empresa trata y sobre todas las finalidades de los tratamientos que realiza con sus datos.
  9. Aplicar una política de uso de dispositivos móviles basada en el BYOD.
  10. Nombrar a un DPO y no dotarlo de recursos suficientes.
  11. Aplicar el interés legítimo como base de legitimación sin la debida ponderación.
  12. Realizar la ponderación del interés legítimo de manera inadecuada.
  13. No conservar una prueba documental de la ponderación del interés legítimo.
  14. Notificar como brecha un incidente de seguridad que no ha generado riesgos para los interesados.
  15. Desarrollar un detallado protocolo de notificación de brechas y no disponer de un protocolo para verificar si realmente hay que notificar la brecha.
  16. Elaborar un registro de actividades del tratamiento excesivamente extenso, sin agrupar e imposible de gestionar y actualizar.
  17. Aplicar un proceso de desvinculación de trabajadores inadecuado, especialmente en los departamentos comerciales y de marketing, sin ningún tipo de control sobre los datos que se llevan o se han llevado.
  18. Devolver los equipos informáticos al finalizar el renting sin un procedimiento adecuado de eliminación de los datos, y, en la medida de lo posible, mediante la extracción del disco duro.
  19. Aceptar el certificado de destrucción de documentos o soportes con datos como única prueba de su destrucción.
  20. Aceptar que todavía haya departamentos de Marketing que inician campañas de marketing directo sin aplicar el procedimiento de privacy by design y sin contar con la validación jurídica correspondiente. O solicitándola el día antes del lanzamiento de la campaña.

La prohibición del uso privado de los dispositivos digitales corporativos y el artículo 87 de la LOPD

Posted on por

El artículo 87 de la LOPD establece que los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.

La LOPD modifica el Estatuto de los Trabajadores, estableciendo en el artículo 20 bis, que los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador. Ello genera una discrepancia con el artículo 87 de la LOPD que no reconoce un derecho a la intimidad, sino un derecho a la protección de la intimidad.

La redacción del artículo 20 bis del Estatuto de los Trabajadores parece indicar que los trabajadores tendrán siempre derecho a la intimidad en el uso de los dispositivos digitales corporativos, mientras que el artículo 87 de la LOPD parece indicar que los trabajadores tendrán derecho a la protección de la intimidad en el caso de que se den las circunstancias para que el trabajador tenga derecho a la intimidad.

Esta interpretación quedaría confirmada por el hecho de que el empleador puede puede prohibir el uso con fines privados en unos dispositivos y permitirlo en otros, de manera que, tal como indica el apartado 3 del artículo 87, el empleador sólo está obligado a establecer garantías para preservar la intimidad de los trabajadores en los dispositivos en los que haya admitido su uso con fines privados.

Ello significaría que en los dispositivos en los que el empleador haya prohibido el uso con fines privados el trabajador no tendría derecho a la intimidad y tampoco debería tener expectativas de intimidad. Sin embargo, el trabajador puede incumplir la prohibición y la empresa puede tolerar dicho incumplimiento, por lo que es necesaria una actuación adicional de la empresa.

La secuencia inicial sería la siguiente:

  1. Principio general de derecho a la intimidad en el uso de los dispositivos digitales corporativos.
  2. Excepción relativa a los dispositivos en los que se ha prohibido el uso personal.

Los dos elementos que pueden desvirtuar la aplicación de la excepción prevista en el artículo 87.3 de la LOPD serían los siguientes:

  1. El incumplimiento del trabajador de la obligación de utilizar los dispositivos digitales corporativos para fines personales.
  2. La tolerancia de la empresa en relación a ese incumplimiento.

En ambos casos se produciría el efecto no deseado de la existencia de contenidos privados en los dispositivos destinados a un uso exclusivamente corporativo.

Para evitar estas dos situaciones, la empresa debería actuar de forma regular, aplicando los medios necesarios para conseguir las dos finalidades legitimadas por el artículo 87.2 de la LOPD:

  1. Controlar del cumplimiento de las obligaciones laborales o estatutarias por parte del trabajador.
  2. Garantizar la integridad de los dispositivos.

La secuencia completa sería, en consecuencia, la siguiente:

  1. Principio general de derecho a la intimidad en el uso de los dispositivos digitales corporativos.
  2. Excepción relativa a los dispositivos en los que se ha prohibido el uso personal.
  3. Acciones dirigidas a mantener la excepción:
    1. Asegurar el cumplimiento de la prohibición de un uso personal.
    2. Evitar la tolerancia de dichos incumplimientos.
    3. Enviar recordatorios y mensajes de concienciación.
    4. Exigir el borrado periódico de los contenidos infractores.
    5. Realizar inspecciones dirigidas a evitar incumplimientos.
    6. Sancionar el incumplimiento.
    7. Eliminar los contenidos que generen un riesgo para la integridad.
    8. Aplicar un protocolo adecuado de desvinculación del trabajador, que permita asegurar que no deja contenidos privados en ningún dispositivo.

Habrá, por lo tanto, dos protocolos de acceso:

  1. Protocolo de acceso a los dispositivos en los que se ha permitido el uso personal.
  2. Protocolo de acceso a los dispositivos en los que se ha prohibido el uso personal.

El segundo protocolo deberá estar basado en la realización previa de las acciones dirigidas a asegurar que el dispositivo inspeccionado no contiene comunicaciones ni contenidos privados.

ARTÍCULOS RELACIONADOS

Tabla comparativa entre el test Barbulescu y el artículo 87 de la LOPD

Matizaciones sobre la sentencia del Caso Barbulescu

Sobre la necesidad de prohibir el uso personal del correo electrónico corporativo

¿Una orden judicial para ver un correo electrónico de mi propia empresa?

Sentencia TC sobre intervención de mensajes privados del trabajador

 

Acciones a realizar por un DPO con recursos insuficientes

Posted on por

Son muchas las empresas que han nombrado un DPO y no lo han dotado de recursos suficientes para realizar su función. En este artículo analizaremos las acciones que puede realizar el DPO para superar esta situación, agrupándolas en dos apartados: (1) En un mundo ideal, en el que se plantean las acciones que un DPO puede desarrollar en un plano teórico y (2) En el mundo real, en el que comentamos las acciones más prácticas que puede realizar un DPO al que no le queda otra opción que adaptarse a un esquema low cost.

EN UN MUNDO IDEAL

Infracción grave

El artículo 38.2 del RGPD, impone al responsable del tratamiento la obligación de facilitar al DPO los recursos necesarios para el desempeño de sus funciones. El incumplimiento de esta obligación es una infracción grave, prevista en el artículo 83.4.a del RGPD.

Es evidente que el DPO no va a denunciar a la empresa que lo ha contratado, pero al menos puede argumentar que la asignación de recursos insuficientes a un DPO es una infracción tan grave como no tener DPO, cuando es exigible su nombramiento. Este argumento se basa en la necesidad de dar coherencia al nombramiento del DPO, dándole recursos para evitar que su función quede sin cumplir. También se basa en el riesgo de que la insuficiencia de recursos quede acreditada en una inspección de la autoridad de control y se imponga la correspondiente sanción.

Posición correcta

Otra acción a realizar en el plano teórico es verificar que la posición del DPO en el organigrama de la empresa es la adecuada. De acuerdo con el artículo 38.3 del RGPD el DPO rendirá cuentas directamente al más alto nivel jerárquico y no recibirá ninguna instrucción en lo que respecta al desempeño de sus funciones. Si el DPO no está en esa posición, su independencia no está garantizada y se producirá una infracción grave del RGPD, al incumplir las obligaciones establecidas en el artículo 38 del RGPD.

En la rendición de cuentas, el DPO puede reiterar la necesidad de contar con más recursos, o de ocupar una posición más cercana al nivel jerárquico más alto, dejando constancia del riesgo de infracción grave del RGPD en ambos casos.

Delegación de autoridad

Otra anomalía consiste en que el DPO no tenga la autoridad suficiente, tanto a nivel jurídico como práctico. Ello se traducirá en una escasa eficacia de las instrucciones dirigidas al negocio, de la actividad de supervisión y de la aplicación del principio de privacidad desde el diseño. Un ejemplo clásico es el de las campañas de marketing que se diseñan, se elaboran sin contar con el DPO hasta la fase final, previa al lanzamiento.

En este caso el DPO debe realizar un esfuerzo adicional para demostrar la utilidad de la labor preventiva, sensibilizando al negocio sobre la necesidad de revisar con suficiente antelación cualquier iniciativa que pueda tener impacto en materia de privacidad. La delegación de autoridad debe contribuir al objetivo de que el negocio tenga un nivel de sensibilización y alerta adecuado sin tener que recurrir a mensajes apocalípticos ni al constante envío de noticias sobre incidentes de seguridad e infracciones en otras empresas. Aunque ello sigue siendo bastante efectivo en la práctica.

Justificación del presupuesto

Siguiendo en el plano teórico e ideal, el presupuesto del DPO se puede justificar fácilmente siguiendo los siguientes pasos:

  1. Elaboración de una lista de tareas a realizar, clasificándolas en función del nivel de criticidad y de la gravedad de las infracciones que pretenden evitar.
  2. Cuantificación de la carga de trabajo del DPO a través de la asignación de un tiempo estimado de dedicación a cada tarea.
  3. Suma del total de horas necesarias para realizar las tareas recurrentes y puntos de verificación.
  4. Cálculo del equipo necesario para realizar las tareas seleccionadas, teniendo en cuenta que cada persona dedica toda su jornada laboral a esta función, es decir, entre 1.700 y 1.800 horas al año.

En la lista de 364 tareas derivadas del RGPD elaborada por nuestro despacho, la suma total del tiempo de dedicación asciende a más de 4.000 horas al año, lo cual sugeriría un equipo ideal de al menos 2 personas a jornada completa para una gran empresa. Estas cifras pueden cambiar en función del sector al que pertenece la empresa (B2B o B2C) y del número de empresas que formen el grupo.

Estos pueden ser los datos a utilizar en el momento de justificar y negociar el presupuesto. Otra cosa es conseguirlo.

Cabe añadir que la externalización total o parcial de las funciones del DPO puede permitir un ahorro importante gracias a la especialización en la materia y al uso de una metodología orientada a la eficiencia operativa.

Comparativa con otros riesgos de incumplimiento

Cabe añadir a la lista de argumentos el hecho de que la normativa de protección de datos ha llegado a un nivel de complejidad, probabilidad e impacto que no tiene nada que envidiar a otras normativas, como la tributaria o la laboral. Si la prevención de los riesgos tributarios, contables, laborales y societarios tienen asignados unos recursos internos y externos proporcionados a su complejidad, probabilidad e impacto potencial, es lógico que el DPO también cuente con recursos similares.

Sensibilización de los directivos que tienen que aprobar el presupuesto

Dado que estamos hablando de cumplimiento normativo, en la tarea de concienciación de los directivos que tienen que aprobar su presupuesto, el DPO puede aprovechar algunos de los 25 argumentos que en su día elaboramos para el Compliance Officer.

EN EL MUNDO REAL

Creación de una estructura de control

Si el DPO no consigue presupuesto para disponer de un equipo propio o externo, deberá recurrir a los recursos internos de la empresa. Ello significa utilizar la estructura de control ya existente, estableciendo una colaboración directa con los responsables de las distintas funciones de control, siempre que ello no afecte a su independencia ni genere conflictos de interés.

Otra opción consiste en que el DPO cree su propia estructura de control. Para ello puede solicitar la colaboración de los responsables internos de cada tratamiento, a los que identificó en el momento de realizar el registro de actividades de tratamiento. Estos responsables deben asumir la ejecución de cada tarea o delegarla a otros miembros de su equipo.

Si el DPO no ha conseguido la suficiente delegación de autoridad, deberá utilizar habilidades de comunicación y persuasión que le permitan conseguir la colaboración de los distintos departamentos en la creación de la estructura de control.

Asignación de tareas periódicas

Una vez creada la estructura interna de control, habrá que distribuir las tareas relacionadas en la lista de tareas recurrentes y puntos de verificación antes comentada. La asignación de estas tareas requerirá la correspondiente formación, que puede impartirse de forma presencial o a través de fichas, manuales o tutoriales en vídeo que puede elaborar el propio DPO. También puede utilizar los elaborados por nuestro despacho.

Seguimiento de la ejecución de las tareas

Al delegar una buena parte de las tareas recurrentes, el DPO podrá destinar más tiempo al seguimiento y a la supervisión de su ejecución. Este trabajo puede hacerse de forma manual o incluso se puede automatizar con aplicaciones genéricas de gestión de proyectos o con aplicaciones especializadas como Compliance 3.0.

Recogida de evidencias

Finalmente, y de acuerdo con el principio de responsabilidad proactiva establecido en el artículo 5.2 del RGPD, el DPO deberá utilizar la estructura de control creada para obtener las pruebas que acrediten la ejecución de las acciones de prevención y control, así como el cumplimiento del RGPD y de la LOPD. La conservación ordenada de estas pruebas puede realizarse a través de un sistema de gestión documental genérico o a través de un repositorio de evidencias especializado y con sellado de tiempo automático, como el de la aplicación Compliance 3.0.

La creación de una cultura de cumplimiento en materia de protección de datos es un objetivo que necesita un tiempo de maduración cuya duración depende mucho del sector al que pertenece la empresa. Mientras se alcanza el nivel de madurez apropiado, el DPO puede argumentar que los recursos destinados al cumplimiento del RGOD y la LOPD no son un gasto únicamente asociado al cumplimiento, sino también una inversión destinada a proteger otros activos intangibles que conviven con los datos personales en los mismos sistemas informáticos: la información confidencial, la información privilegiada, la propiedad intelectual y la propiedad industrial.

ACTUALIZACIÓN – 09/03/2019

Añado al artículo las aportaciones de Jordi Civit, al que agradezco su colaboración.

Nombramiento voluntario del DPO

En el supuesto que el nombramiento del DPO haya sido voluntario, por no cumplir con las exigencias que establece el Reglamento, cabe recordar que la gravedad del incumplimiento es la misma ya que en el caso de dicha designación voluntaria le atienden las mismas obligaciones al responsable del tratamiento.

Relación de controles asignados a los responsables

Como último recurso, cabría la posibilidad que el DPO defina una relación de controles a llevar a cabo por parte de los Responsables de las diferentes actividades de tratamiento de la organización con objeto de remitir una autoevaluación de controles que deban ser valorados de forma objetiva por su parte. De esta forma se conseguirían dos objetivos, i) el DPO demostraría diligencia en la supervisión y asesoramiento de la organización en cuanto el cumplimiento normativo y; ii) el Responsable del tratamiento sería consciente de las obligaciones que le atienden así como de las acciones que debería llevar a cabo (son los controles) para alinearse con la regulación.

Reputación empresarial

Adicionalmente, y como activo intangible más importante a proteger por parte de las organizaciones estaría la REPUTACIÓN EMPRESARIAL.
¿Se ha parado su organización a reflexionar sobre la dificultad de conseguir la fidelidad de sus consumidores? La confianza es una labor que se trabaja día a día, y que cuesta mucho alcanzar pero cuesta muy poco perder.

Jornadas de sensibilización

En aquellas organizaciones donde sea difícil evidenciar el valor de la función del DPO, es recomendable que se realicen jornadas de sensibilización con la Dirección o las diferentes áreas que componen la organización.
El hecho de realizar una jornada específica puede dificultar la captación de la atención, es por ello que es recomendable participar como un ponente más en jornadas de reuniones departamentales o ejecutivas que puedan realizarse. En dicho foro, es el momento de exponer los objetivos de la organización en materia de Privacidad, las obligaciones que nos atienden por nuestra práctica sistemática así como los riesgos a los que estamos sujetos.
A la hora de mostrar la debida diligencia, por parte del DPO, es importante mantener un registro de los asistentes y la duración de dichas jornadas.
Como se comentaba anteriormente, es importante una adecuada gestión de la comunicación con las Direcciones de las diferentes áreas de negocio con objeto de que vean con buenos ojos la participación en dichas reuniones, así como evidenciar el beneficio que les pueda suponer a ellos como responsables de las actividades de tratamiento de la organización.

Publicar Infografía o resúmenes periódicos

La gestión de la comunicación es un factor fundamental para ir creando las estructuras de control necesarias en las organizaciones. Una acción bastante sencilla y que puede tener una gran repercusión es la creación de breves resúmenes con aspectos más relevantes a tener en cuenta en la operación habitual de la organización. Incluso, se podrían desarrollar una relación de DO’s & DONT’s a llevar a cabo por cada una de las áreas de negocio en base al nivel de aplicación del reglamento en sus tratamientos de datos. Si se dispone de un portal interno, o repositorio común de información, es importante que se publique y se encuentre dicha información disponible para consulta de todos los colaboradores.

Infografía – Derecho a la intimidad en el uso de los recursos TIC corporativos (Nueva LOPD)

Posted on por

En esta infografía se identifican los puntos más importantes de la regulación de la intimidad en el uso de los recursos TIC corporativos en el ámbito laboral, tras la entrada en vigor de la nueva LOPD.

También incluimos unas recomendaciones en relación a las acciones a realizar con el fin de adaptar la empresa a la nueva regulación, de acuerdo con nuestra interpretación de la norma. Estas recomendaciones son generales y deben ser adaptadas a cada caso concreto. Nuestra interpretación puede diferir de la que hagan las autoridades de control y los tribunales.

Acceso a la infografía en formato PDF

Aspectos destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD

Posted on por

Estos son los aspectos más destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD, publicado hoy en el BOE:

Resumen general

Inspección en materia de protección de datos

Régimen sancionador en materia de protección de datos

Régimen transitorio de los contratos de encargado del tratamiento

Texto completo del RDL

Número de infracciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Posted on por

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Las infracciones que establece el artículo 83 del RGPD se distribuyen en dos grandes grupos:

A) Infracciones con sanciones de hasta 20 millones o el 4% del volumen de negocio, cuyo contenido es exclusivamente jurídico, ya que se refieren a:

  1. Los principios básicos del tratamiento (Artículos 5, 6, 7 y 9)
  2. Los derechos de los interesados (Artículos 12 a 22)
  3. Las transferencias de datos personales a un tercer país (Artículos 44 a 49)
  4. El incumplimiento de obligaciones en virtud del Derecho de los Estados miembros (Artículos 85 a 91)
  5. El incumplimiento de resoluciones de la autoridad de control (Artículo 58)

B) Infracciones con sanciones de hasta 10 millones o el 2% del volumen de negocio, cuyo contenido es predominantemente jurídico, ya que se refieren a:

  1. Las obligaciones del responsable y del encargado del tratamiento
  2. Las obligaciones de los organismos de certificación
  3. Las obligaciones de las autoridades de control

Las infracciones en materia de seguridad están incluidas en el punto 1, relativo a las obligaciones del responsable y del encargado del tratamiento, que están descritas en los artículos 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 y 43.

Por lo tanto, una infracción de las obligaciones establecidas en materia de seguridad, tendría una sanción de hasta 10 millones o el 2% del volumen de negocio y afectaría a 3 de los 19 artículos del RGPD cuya infracción comportaría este tipo de sanciones.

En términos absolutos, el reparto de las infracciones entre las dos disciplinas es el siguiente:

  • Infracción de obligaciones jurídicas con sanciones de hasta 20 millones contenidas en 21 artículos.
  • Infracción de obligaciones jurídicas con sanciones de hasta 10 millones contenidas en 16 artículos.
  • Infracción de obligaciones en materias de seguridad con sanciones de hasta 10 millones contenidas en 3 artículos.

Cabe añadir que dos de los tres artículos relativos a medidas de seguridad se refieren a la obligación de notificar y comunicar las violaciones de datos.

Acceso a las conclusiones del análisis

Número de obligaciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Posted on por

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

El RGPD tiene 99 artículos, de los que:

  • 44 contienen obligaciones de contenido jurídico.
  • 5 contienen obligaciones relativas a medidas técnicas que pueden incuir medidas de seguridad (Artículos 5, 17, 24, 25 y 28)
  • 3 contienen obligaciones específicas en materia de seguridad (Artículos 32, 33 y 34)
  • Los restantes artículos tienen un contenido general y directrices para los estados y las autoridades de control

Si miramos la proporción entre las dos disciplinas, de los 44 artículos que contienen obligaciones:

  • El 84% contiene obligaciones de contenido jurídico
  • El 10% contiene obligaciones en materia de medidas técnicas
  • El 6% contiene obligaciones específicas en materia de seguridad

Si relacionamos las obligaciones contenidas en estos 44 artículos y las agrupamos por conceptos, el resultado es el siguiente:

  1. Principios relativos al tratamiento (Artículo 5)
  2. Licitud del tratamiento (Artículo 6)
  3. Condiciones para el consentimiento (Artículo 7)
  4. Consentimiento de menores (Artículo 8)
  5. Categorías especiales de datos (Artículo 9)
  6. Datos relativos a condenas e infracciones penales (Artículo 10)
  7. Tratamientos que no requieren identificación (Artículo 11)
  8. Ejercicio de derechos del interesado (Artículo 12)
  9. Información al interesado en la obtención directa (Artículo 13)
  10. Información al interesado en la obtención indirecta (Artículo 14)
  11. Derecho de acceso del interesado (Artículo 15)
  12. Derecho de rectificación (Artículo 16)
  13. Derecho de supresión (Artículo 17)
  14. Derecho a la limitación del tratamiento (Artículo 18)
  15. Notificación de las acciones relativas a los derechos anteriores (Artículo 19)
  16. Derecho a la portabilidad de los datos (Artículo 20)
  17. Derecho de oposición (Artículo 21)
  18. Decisiones individuales automatizadas y elaboración de perfiles (Artículo 22)
  19. Limitaciones (Artículo 23)
  20. Responsabilidad del responsable del tratamiento (Artículo 24)
  21. Protección de datos desde el el diseño y por defecto (Artículo 25)
  22. Corresponsables del tratamiento (Artículo 26)
  23. Representantes en la Unión Europea (Artículo 27)
  24. Encargado del tratamiento (Artículo 28)
  25. Tratamiento bajo la autoridad del responsable o del encargado (Artículo 29)
  26. Registro de las actividades de tratamiento (Artículo 30)
  27. Cooperación con la autoridad nacional (Artículo 31)
  28. Seguridad del tratamiento (Artículo 32)
  29. Notificación de una violación de la seguridad a la autoridad de control (Artículo 33)
  30. Comunicación de una violación de la seguridad al interesado (Artículo 34)
  31. Evaluación de impacto (Artículo 35)
  32. Consulta previa (Artículo 36)
  33. Designación del Delegado de Protección de Datos (Artículo 37)
  34. Posición del Delegado de Protección de Datos (Artículo 38)
  35. Funciones del Delegado de Protección de Datos (Artículo 39)
  36. Códigos de conducta (Artículo 40)
  37. Supervisión de los códigos de conducta (Artículo 41)
  38. Certificación (Artículo 42)
  39. Principio general de las transferencias a terceros países (Artículo 44)
  40. Transferencias basadas en una decisión de adecuación (Artículo 45)
  41. Transferencias mediante garantías adecuadas (Artículo 46)
  42. Normas corporativas vinculantes (Artículo 47)
  43. Transferencias no autorizadas por el Derecho de la Unión (Artículo 48)
  44. Excepciones para situaciones específicas (Artículo 49)

La distribución de las obligaciones relativas a estos artículos es la representada en el siguiente gráfico:

El artículo 35 del RGPD distribuye el alcance mínimo de la evaluación de impacto en cuatro apartados de contenido jurídico y cita las medidas de seguridad como uno de los cuatro grupos de medidas a aplicar para afrontar los riesgos identificados en la evaluación de impacto.

El artículo 37 del RGPD establece que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, que son de naturaleza jurídica y organizativa.

El proyecto de Ley relativo a la nueva LOPD sólo contiene obligaciones relacionadas con las medidas de seguridad tangencialmente en los artículos 8 y 9 al hablar de los tratamientos amparados por una ley, en la Disposición adicional primera, relativa a las medidas de seguridad en el ámbito del sector público y en la Disposición adicional desimosegunda, al hablar del tratamiento de datos relacionados con incidentes de seguridad por parte de los equipos de respuesta a incidentes (CERT y CSIRT).

Acceso a las conclusiones del análisis

«Data breach» y RGPD: la realidad de un concepto mal traducido

Posted on por

La traducción oficial al español de “data breach” en el Reglamento General de Protección de Datos es “violación de la seguridad de los datos personales”. Sin tener en cuenta artículos y preposiciones, el traductor oficial convierte dos palabras en cuatro.

Añadir «personales» no me parece mal, ya que confirma que el RGPD no se refiere a cualquier violación de datos, sino que ésta tiene que referirse a datos personales.

El problema surge al añadir la palabra seguridad, ya que ello puede generar la errónea interpretación de que el concepto «data breach» se refiere a cualquier incidente de seguridad en un entorno en el que haya datos personales. Y del texto de los artículos 33 y 34 del RGPD se deduce claramente que esto no es así.

Esta traducción ha provocado que, por economía de palabras, buena parte de las referencias al concepto «data breach» aparezcan en la práctica como «brechas de seguridad» o como «violaciones de seguridad», con la consiguiente interpretación por parte de los profanos en la materia, de que todos los incidentes de seguridad que afecten a un sistema en el que haya datos personales serán un «data breach» y deberán ser objeto de notificación a la autoridad de control o de comunicación a los interesados. De ahí la pregunta habitual: «¿Cada vez que se pierda un móvil tendré que notificarlo a la Agencia?»

Para analizar el alcance real de un incidente de seguridad deberán tenerse en cuenta todas las circunstancias que lo rodean, así como las medidas anteriores, coetáneas y posteriores al incidente, que el responsable del tratamiento haya adoptado.

Entre las cuestiones conceptuales que deberán tenerse en cuenta destacan las siguientes:

  1. No todos los incidentes de seguridad constituirán una violación de la seguridad de los datos personales.
  2. No todas las violaciones de la seguridad de los datos personales serán una violación de los datos personales.
  3. La seguridad se representa gráficamente como un escudo de protección del sistema que alberga los datos personales, pero este escudo puede tener varias capas y formatos, de manera que un incidente en la primera capa de seguridad no implica forzosamente que exista un alto riesgo para los datos personales, ya que estos pueden encontrarse protegidos por varias capas de seguridad.
  4. Por ejemplo, un incidente en el firewall perimetral de una empresa puede no afectar a los datos que se encuentran cifrados dentro de una aplicación protegida con contraseña, en una máquina virtual protegida por un firewall propio albergada en un servidor interno, protegido a su vez por su propio firewall.

De manera similar a una ciudadela o a una fortaleza militar, el sistema informático de una empresa cuenta con varias líneas de defensa que permiten afirmar que un incidente de seguridad perimetral puede llegar a ser absolutamente irrelevante para los datos personales que alberga el sistema.

Si hablamos concretamente de una violación de la seguridad de los datos personales, igualmente debemos tener en cuenta que dicha seguridad puede estar compuesta por distintas capas y metodologías de protección, tanto físicas, como lógicas, como organizativas.

Por todo ello, y tal como puede verse en los dos gráficos que acompañan a este artículo, y que han sido incluidos en el nuevo curso de DPO de Thomson Reuters, una empresa debe contar con un protocolo de actuación ante incidentes de seguridad y con un protocolo de evaluación de la violación de los datos personales.

En el primer gráfico podemos ver que, antes del incidente, la empresa tiene que haber aplicado las medidas de seguridad necesarias para reducir la probabilidad de que se produzcan incidentes de seguridad y para mitigar los efectos de los que lleguen a producirse a pesar de las medidas aplicadas.

En relación al cifrado de datos, el Grupo de Trabajo del Artículo 29, en la guía que recientemente ha publicado sobre esta materia, ha manifestado que, si la confidencialidad de la clave de cifrado está intacta, los datos personales son en principio ininteligibles, y por lo tanto no se deberá realizar la notificación. Por ello es muy importante que las medidas adoptadas antes, durante y después del incidente vayan orientadas a asegurar la custodia de dicha clave.

También será necesario disponer de un plan de actuación ante un incidente, en el que se asignen funciones específicas a los responsables y se establezcan tiempos de respuesta en los contratos con los proveedores.

Durante y después del incidente, deberá realizarse un análisis de su alcance, del número de afectados, el origen (interno o externo) y el nivel de intencionalidad, así como cualquier otra circunstancia que permita determinar las medidas a aplicar y evaluar los riesgos.

La evaluación del riesgo deberá tener en cuenta, entre otras cuestiones, el tipo de incidente, su alcance en relación a los derechos fundamentales de los afectados, la sensibilidad de los datos, la gravedad del impacto para los afectados y la facilidad de identificación de los mismos. En esta fase será fundamental disponer de una checklist completa que permita evaluar el riego desde la óptica de los derechos y libertades fundamentales de los interesados.

El protocolo de actuación acabará con una decisión final en relación a la notificación y a la comunicación a realizar en función del riesgo evaluado. Si el riesgo es bajo, el incidente podrá ser registrado y archivado. Si el riesgo es alto, deberá realizarse la notificación a la AEPD y si el riesgo es muy alto, deberá realizarse la comunicación a los afectados.

En el segundo gráfico puede verse el protocolo de actuación que propongo aplicar para evaluar si se ha producido una violación de datos que deba ser notificada o comunicada.

Para ello habrá que recopilar información completa del incidente, evaluar la probabilidad y el impacto del riesgo, verificar si las medidas anteriores, coetáneas y posteriores al incidente han protegido de forma suficiente los datos, o si, por el contrario, se ha producido una violación.

De acuerdo con la guía del Grupo de Trabajo del Artículo 29, dicha violación puede referirse a la confidencialidad, a la disponibilidad y a la integridad de los datos. La violación de la confidencialidad permitiría que se produjese una comunicación o un acceso no autorizado a los datos. La violación de la disponibilidad podría provocar una pérdida de acceso a los datos o una destrucción de los mismos. La violación de la integridad supondría una alteración no autorizada de los datos.

Por lo tanto, y como conclusión final, para que un incidente de seguridad se convierta en una violación de datos, se tiene que haber producido una violación de la confidencialidad, la disponibilidad o la integridad de los datos. Si el riesgo de que esta violación afecte a los derechos y libertades de los interesados es alto, habrá que notificarla a la AEPD y si es muy alto, habrá que comunicarla a los interesados.

La diferencia entre riesgo alto y riesgo muy alto no queda definida en el RGPD, pero lo que sí queda claro es que, si una empresa ha cumplido sus obligaciones en materia de seguridad, consiguiendo un umbral razonable de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales, tiene más posibilidades de que una violación de la seguridad no se convierta en una violación de datos, y, por lo tanto, consiga no tener que notificar ni comunicar el incidente.

El objetivo del DPO y del responsable del tratamiento es que ese umbral de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales sea lo más alto posible.

Las violaciones de datos y las evaluaciones de impacto son dos puntos del RGPD que preocupan a las empresas por su operativa y por su contenido. En el nuevo curso de DPO de Thomson Reuters hemos dedicado especial atención a estos dos puntos, con una amplia descripción de los protocolos a seguir y, en el caso de las evaluaciones de impacto, al contenido detallado del informe que debe describir las procesos sedigos para realizar la evaluación y la justificación de la decisión final adoptada.

Nueva guía para la figura del Data Protection Officer

Posted on por

El Grupo de Trabajo del Artículo 29 (WP29) publica las principales guidelines sobre la nueva figura de DPO para las empresas.

Artículo de Jesús Martinell

No nos ha dado tiempo ni a empezar con los polvorones y los barquillos que el Grupo de Trabajo del Artículo 29 (WP 29) nos acaba de alegrar las Navidades al publicar, el pasado martes 13 de diciembre, un conjunto de directrices sobre el DPO. Es un buen regalo para las empresas de cara a la planificación del ejercicio 2017 ya que, hasta el momento, se había especulado sobre el papel y las funciones que debería desarrollar este nuevo cargo en la empresa pero el nivel de concreción era insuficiente.

Tal y como ya sabíamos, ¿cuándo las empresas deberán nombrar un DPO?

Existen 3 supuestos en los que deberá designarse un DPO:

  • Cuando el tratamiento se lleve a cabo por una autoridad u organismo público independientemente de que tipología de datos se estén tratando).
  • Cuando las actividades principales del responsable y el encargado del tratamiento consisten en operaciones de procesamiento que requieran un control periódico/habitual y sistemático.
  • Cuando las actividades principales del responsable y el encargado del tratamiento consistan en procesar datos a gran escala de categorías especiales de datos o datos personales relativas a condenas y delitos penales.

A pesar de ello, cabe recordar que tanto la legislación de la Unión Europea (UE) como la ley de cada Estado Miembro podrá exigir la designación de DPO en otras situaciones que lo estime necesario. Asimismo, las empresas, aunque el nuevo texto no obligue a designar tal figura en un supuesto concreto, si lo considera útil, podrá designarlo de manera voluntaria. De hecho, el mismo WP29 anima a hacerlo.

¿Qué significa la noción de «actividades principales» (Art. 37.1 apartado b) y c)?

El WP29 entiende que son aquellas operaciones clave o necesarias del responsable y del encargado del tratamiento para lograr sus objetivos. Ello incluye, también, todas las actividades en las que el tratamiento de los datos forma parte inextricable de la actividad del responsable o del encargado del tratamiento. Por ejemplo, el procesamiento de datos de salud, tales como la salud del paciente debe considerarse como una de las actividades básicas de cualquier hospital y, por ello, los hospitales deben designar a los DPO. Por otro lado, cualquier empresa lleva a cabo ciertas actividades de apoyo o auxiliares, por ejemplo, el pago a los empleados o el soporte de IT para determinadas actividades en la empresa. tales funciones son de apoyo y son necesarias para la actividad principal de la organización. Aunque estas actividades son necesarias o esenciales, por lo general se consideran funciones auxiliares en lugar de la actividad principal.

¿Qué se entiende por el término “a gran escala” (Art. 37.1 apartado b) y c)?

El nuevo texto no define lo que constituye el término “a gran escala”. Es por ello que el WP29 recomienda que se valoren los siguientes factores a la hora de determinar si el procesamiento de los datos es a gran escala:

  • El número de sujetos afectados, ya sea como número específico o como una proporción de la población relevante.
  • El volumen de datos y/o el rango de diferentes elementos de datos que se están procesando.
  • La duración o permanencia de la actividad de procesamiento de datos.
  • La extensión geográfica de la actividad de procesamiento de datos.

¿Qué se entiende por «monitorización habitual y sistemático» (Art. 37.1 apartado b)?

La noción de supervisión habitual y sistemático de los sujetos de los datos no está definida en el texto del Reglamento. A pesar de ello, sí incluye todas las formas de seguimiento y perfiles en Internet, incluso a efectos de publicidad según el comportamiento. Por otro lado, debemos tener claro que la noción de monitorización no se limita al entorno online. Así pues, el WP29 interpreta “habitual” como:

  • En curso o ocurriendo en intervalos particulares durante un período determinado.
  • Recurrente o repetido a tiempos fijos.
  • Constantemente o periódicamente teniendo lugar.

Asimismo, el WP29 interpreta «sistemático» como:

  • Ocurren según un sistema.
  • Organización previa, organizada o metódica.
  • En el marco de un plan general de recogida de datos.
  • Realizado como parte de una estrategia.

Un ejemplo serían los seguimiento de datos sobre el bienestar, la aptitud física y la salud a través de dispositivos portátiles (wearables).

¿Pueden las organizaciones designar conjuntamente un DPO? En caso afirmativo, ¿bajo qué condiciones (Artículos 37.2 y 37.3)?

El texto dispone que un grupo de empresas puede designar un único DPO siempre que

sea «fácilmente accesible desde cada establecimiento». La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los interesados, la Autoridad de Control y también internamente (dentro de la organización). Así pues, el DPO deberá estar en condiciones de comunicarse eficazmente con los interesados y de cooperar con las autoridades de Control. Esto significa que esta comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de Control y los interesados afectados. La disponibilidad personal del DPO (ya sea físicamente en las mismas instalaciones o a través de medios de comunicación seguros) es esencial.

¿Es posible nombrar un DPO externo (art. 37.6)?

Sí, el DPO puede ser un miembro del personal del responsable o encargado del tratamiento (DPO interno) o «cumplir las tareas sobre la base de un contrato de servicios con un individuo o la» (DPO externo). En el caso del DPO externo, su función puede ejercerse sobre la base de un contrato de servicios contratando con un autónomo o un despacho (empresa).

Cuando la función del DPO es ejercida por un prestador de servicios externo, un equipo concreto de personas que trabajan para esa entidad pueden llevar a cabo efectivamente las tareas de DPO como un equipo. Asimismo, el WP29 recomienda una asignación clara de las tareas dentro del equipo externo de DPO así como también asignar un solo individuo como contacto principal y persona al cargo del cliente.

¿Cuáles son las cualidades profesionales que debería tener el DPO (art. 37.5)?

Como ya sabemos, deberá ser designado sobre la base de cualidades profesionales y, en concreto, conocimiento de la legislación y de las prácticas en materia de protección de datos así como la capacidad de cumplir las tareas del art.  39 del nuevo texto.

El nivel necesario de conocimientos especializados deberá determinarse de acuerdo con las operaciones de procesamiento de datos realizadas y la protección requerida para los datos personales que se están procesando. Por ejemplo, donde una actividad de procesamiento de datos es particularmente compleja, o cuando se tratan una gran cantidad de datos sensibles, el DPO necesitará un mayor nivel de experiencia y apoyo.

Las habilidades y conocimientos necesarios incluyen:

  • Experiencia en las leyes y prácticas nacionales y europeas en materia de protección de datos, incluido el nuevo Reglamento.
  • Comprensión de las operaciones de tratamiento realizadas.
  • Comprensión de las tecnologías de la información y la seguridad de los datos.
  • Conocimiento del sector empresarial y de la organización.
  • Capacidad para promover una cultura de protección de datos dentro de la organización.

¿Cuáles son los recursos que se deben proporcionar al DPO para llevar a cabo sus tareas?

La empresa deberá apoyar a su DPO mediante la facilitación de los recursos necesarias para llevar a cabo sus tareas, permitirle el acceso a los datos personales así como las operaciones de tratamiento y, también, para mantener su conocimiento de experto sobre la materia.

La empresa deberá analizar sus actividades, tamaño y la naturaleza de los tratamientos que llevan a cabo y, valorándolo en conjunto, deberá proporcionar los Los siguientes recursos al DPO:

  • Apoyo activo de la función del DPO por la alta dirección de la empresa.
  • Tiempo suficiente para que el DPO pueda cumplir sus obligaciones.
  • Apoyo adecuado en términos de recursos financieros, infraestructura (locales, instalaciones, equipo) y personal, cuando corresponda.
  • Comunicación oficial de la designación del DPO a todo el personal de la empresa.
  • Acceso a otros servicios dentro de la organización (p.e. Recursos Humanos IT, etc.) para que el DPO pueda recibir apoyo esencial o información de esos otros servicios.
  • Formación continua del DPO (p.e. asistir a workshops en materia de Protección de datos así como cursos o formaciones para que su experiencia vaya en aumento).

¿Cuáles son las garantías que permiten al DPO realizar sus tareas de forma independiente (artículo 38.3)?

Existen varias garantías para permitir que el DPO actúe de manera independiente según el considerando nº 97:

  • No deben haber instrucciones por los responsables o encargados del tratamiento sobre el ejercicio de las tareas del DPO.
  • No puede darse ningún despido o sanción por parte del responsable para el desempeño de las tareas del DPO.
  • No puede haber conflicto de intereses con otras posibles tareas y deberes.

¿Cuáles son las «otras tareas y deberes» de un DPO que pueden dar lugar a un conflicto de intereses (Art. 38.6)?

El DPO no puede ocupar un cargo dentro de la organización que lo conduzca a determinar los fines y los medios del tratamiento de los datos personales. Debido a la concreta estructura organizativa de cada organización deberá considerarse caso por caso. Como regla general, las situaciones de conflicto suelen incluir posiciones de alta gerencia, pero también otros roles de inferior rango en la organización pueden estar en la misma situación si su rol en la empresa conduce a la determinación de fines y medios de tratamiento.

¿Qué incluye la noción de «monitorizar el cumplimiento» del Reglamento (Art. 39.1 apartado b)?

Como parte de estas funciones para supervisar el cumplimiento, el DPO podrá:

  • Recopilar información para identificar las actividades de tratamiento de datos.
  • Analizar y verificar el cumplimiento de las actividades de tratamiento de datos.
  • Informar, aconsejar y emitir recomendaciones al responsable y/o encargado del tratamiento.

¿El DPO es personalmente responsable por el incumplimiento del Reglamento?

No, el DPO no es personalmente responsable por el incumplimiento del Reglamento. El texto deja claro que serán los responsables o los encargados del tratamiento quiénes deberán garantizar y poder acreditar que los tratamientos de datos se llevan a cabo de conformidad con el Reglamento.

¿Cuál es el papel del DPO con respecto a la evaluación de impacto de la protección de datos (art. 37.1 apartado c) y el registro de las actividades de tratamiento de datos personales (art. 30)?

En lo que respecta a la evaluación del impacto de la protección de datos, el responsable o encargado del tratamiento solicitará el asesoramiento del DPO, sobre las siguientes cuestiones, entre otras:

  • Realizar o no una evaluación de impacto en materia de protección de datos.
  • Qué metodología seguir cuando se lleva a cabo una evaluación de impacto.
  • Si se debe realizar la evaluación de impacto en la empresa o externalizarlo.
  • Qué garantías (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar los riesgos para los derechos e intereses de los interesados.
  • Si la evaluación del impacto han sido correctamente realizada (es decir, valorar si se sigue o no con el tratamiento en cuestión y qué garantías deberán aplicarse) así como así como verificar que las conclusiones cumplen con el Reglamento.

En lo que respecta al registro de las actividades de tratamiento, es el responsable o encargado del tratamiento, no el DPO, quién deberá mantener un registro de los diferentes tratamientos de datos personales que se hagan en la empresa. Sin embargo, del texto del Reglamento, nada impide que el responsable o encargado del tratamiento pueda asignar al DPO la tarea de mantener el registro de actividades del tratamiento,  bajo la responsabilidad del responsable del tratamiento. Este registro deberá considerarse como una de las herramientas que permitirán al DPO llevar a cabo sus tareas de vigilancia del cumplimiento, asesorando al responsable y al encargado del tratamiento.

Las empresas deberán ponerse las pilas en encontrar, ya sea en el seno de la misma o fuera, un perfil para llevar a cabo todas las funciones que hemos comentado en el artículo. Asimismo, no debemos olvidar que el nuevo Reglamento será de aplicación a partir del 25 de mayo 2018 y, cuanto antes las empresas tengan claro el perfil, antes podrán ponerse manos a la obra a planificar la adaptación de la empresa a las exigencias del nuevo Reglamento.

Jesús Martinell

El Safe Harbor y la hipocresía europea

Posted on por

La cultura norteamericana se está extendiendo como una mancha de aceite. Por imposición, ósmosis o mimetismo han llegado a nuestras vidas conceptos y costumbres que hace unos años sólo veíamos en las películas. Los términos Halloween, black friday, y el propio compliance han arraigado definitivamente en Europa. Pero lo que todavía no ha llegado, por ejemplo, es la confianza del legislador en el ciudadano, la eliminación de ciertas trabas legales que todavía existen para abrir una empresa y el justo equilibrio entre privacidad y negocio.

En mi opinión, al legislador europeo se le ha ido la mano al diseñar el modelo de protección de datos que actualmente tenemos y ello nos está pasando factura. Un ejemplo claro es la regulación de las cookies.

Es como si un legislador ocioso hubiese identificado un derecho a regular pero hubiese ampliado su alcance hasta crear en el ciudadano necesidades que antes no tenía, llevándonos todos a lo más alto de la pirámide de Maslow.

En el caso de la anulación de los acuerdos Safe Harbor, tengo una opinión que coincide con algunos de los criterios utilizados por el TJUE, pero no con la conclusión. Creo que al juzgador le ha faltado información y comprensión del verdadero problema que subyace en esta cuestión. Y si no es así, entonces le ha sobrado hipocresía al poner en la balanza valores que no son comparables.

Es evidente que la base de la Patriot Act es el miedo, y una persona no amenazada no puede criticar el miedo de la que sí lo está, salvo que el miedo sea excesivo. La causa o la provocación de la amenaza también deberían ser analizadas, pero en ese caso tendríamos que diferenciar entre gobernantes y gobernados.

Tras los atentados de París ya se está hablando de medidas restrictivas de la libertad de movimiento y del derecho a la intimidad que se acercan mucho a las contenidas en la Patriot Act y en normas posteriores. La pregunta es si estas medidas se intensificarán en el caso de que se produzcan más atentados, porque en tal caso las diferencias entre un Estado que espía y otro que está pensando en hacerlo serían meramente cuantitativas. Al final, la cruda realidad sería que el derecho a la intimidad depende exclusivamente del número de muertes y no de la diferencia de valores entre las dos culturas. No sería de extrañar, ya que la vida es más importante que la intimidad, pero en ese caso se produciría una homologación de facto entre la protección de la intimidad en Europa y en Estados Unidos.

Esperemos no tener que oír dentro de unos años la frase «Cómo se respetaba la intimidad en Europa hasta que llegó el miedo» igual que en su día oímos la frase «En España no había racismo, hasta que llegaron los inmigrantes».

Hay que tener en cuenta también que no todo es blanco o negro. Ni unos son tan buenos ni otros tan malos. En Europa también ha habido gobiernos que han reconocido que espiaban a sus ciudadanos. Y también hay agencias que pueden realizar inspecciones y requerimientos de datos sin tutela judicial.

Ello nos lleva a la triste conclusión de que ni las cláusulas tipo, ni las normas corporativas vinculantes, ni siquiera un nuevo acuerdo Safe Harbor pueden impedir que un Estado espíe o requiera la entrega de datos a los encargados del tratamiento.

Tampoco sirve de nada que el servidor esté en Europa, ya que si el proveedor es norteamericano tendrá que suministrar igualmente a la agencia requirente los datos que gestiona, estén donde estén. Y si no lo es, seguramente subcontratará los servicios de una empresa norteamericana, aunque muy probablemente no lo sepa.

Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación. Cada vez es más difícil, y a la vez irrelevante, saber dónde están realmente los datos. Cuando un Magistrado del TJUE envía un mail a su familia, es muy probable que los routers encuentren un camino más rápido por otros países que no protegen los datos como en Europa, porque a esa hora están menos activos.

Por todo ello, cuando Europa y EEUU se pongan en serio a negociar Safe Harbor 2, tal vez tengan en cuenta todos los factores que hacen que sus normas y su cultura estén cada vez más cerca, y recuerden que los datos no saben lo que son las fronteras.

ACTUALIZACIÓN:  «El Parlamento británico tramita un proyecto de ley que pretende facilitar a la policía acceso a los registros del uso de Internet de los ciudadanos, algo que el Gobierno considera esencial para combatir el crimen y la amenaza terrorista».
Ver noticia completa

ACTUALIZACIÓN:  «Los ministros de Defensa presionan para imponer una nueva legislación (Francia quiere prohibir el acceso a TOR, según difundió Le Monde hace unos días) y los defensores de los derechos civiles empiezan a mostrar preocupación».
Ver noticia completa