LOPD

martes, 28 de mayo de 2013

La Agencia Española de Protección de datos convoca los premios “Protección de Datos 2013”.


Lunes 27/05/2013. Fuente: AEPD
 
   


La Agencia Española de Protección de Datos (AEPD) ha convocado la XVII edición de los “Premios Protección de Datos Personales”, en las categorías de “Investigación” y “Comunicación”.
El premio de Protección de Datos Personales de Comunicación tiene como objeto reconocer los trabajos de medios y profesionales de la comunicación que hayan contribuido de forma destacada a promover el conocimiento de los ciudadanos de sus derechos en materia de protección de datos personales.
 Podrán optar a este premio trabajos individuales -como un editorial, noticia, reportaje, o programa de radio o televisión- puntualmente dedicados a la materia objeto de la convocatoria, así como proyectos periodísticos -tales como series de noticias o secciones especializadas- que definan un compromiso editorial con la promoción del derecho fundamental a la protección de datos. Es requisito para optar al premio que los trabajos hayan sido difundidos a través de cualquier medio de comunicación entre el 16 de octubre de 2012 y el 15 de octubre de 2013. 
El premio de Protección de Datos Personales de Investigación tiene como objetivo premiar aquellos trabajos de mayor mérito, ya sean individuales o colectivos, que versen sobre protección de datos desde un plano jurídico, económico, social o técnico, bien con un enfoque estrictamente teórico o a partir de experiencias concretas.  Este premio se convoca en dos modalidades: 
Modalidad A. Trabajos originales e inéditos. Podrán presentarse a esta modalidad trabajos individuales o colectivos, monografías, artículos científicos, tesis doctorales o trabajos de investigación no publicados, con incidencia en la protección de datos personales.  
Modalidad B. Trabajos originales e inéditos que versen sobre el derecho a la protección de datos en países iberoamericanos. A esta candidatura podrán presentarse trabajos individuales o colectivos no publicados, cuya temática aborde aspectos cuyo objeto de estudio se centre en el análisis de la incidencia de la protección de datos en la realidad social, económica, jurídica o de otra índole, de los países iberoamericanos. 
Tanto el premio de Comunicación como el de Investigación serán concedidos por un jurado compuesto por el Consejo Consultivo de la Agencia Española de Protección de Datos, bajo la presidencia de su Director.
Las bases completas del concurso están disponibles haciendo clic en el siguiente enlace:
            Bases Premios Protección de Datos

                                                              

viernes, 17 de mayo de 2013

Día de Internet - 17 de mayo




Fuente: agpd.es.


La Agencia Española de Protección de Datos se suma a la celebración en todo el mundo del Día de Internet , una jornada que tiene como objetivo principal difundir y promover el uso de Internet en la sociedad.

La AEPD, como miembro del Comité de Impulso de este día en el que participan diversas organizaciones públicas y privadas, quiere fomentar una cultura de protección de los datos personales en el contexto de la Red, de forma que se tenga plena consciencia de los riesgos que pueden desprenderse del mal uso de Internet. La AEPD asimismo quiere recordar a los padres o tutores que es necesario que adopten una posición activa en relación con el uso de las nuevas tecnologías por parte de los menores.



Fuente: Marketing positivo.

Por otro lado, INTECO y Tuenti aprovechan la celebración para proponer 10 consejos para cuidar tu privacidad en las redes sociales: "Las diez cosas que no puedes dejar de hacer si quieres cuidar tu privacidad en internet".

1.    Lee las políticas de uso y privacidad de los diferentes servicios antes de utilizarlos, y asegúrate de comprenderlas. ¿Lo haces?

2.    Configura las opciones de privacidad de tu perfil en redes sociales de manera adecuada. Ten en cuenta que solamente tú puedes establecer qué es "adecuado", y para ello puedes considerar qué quieres compartir, con quién quieres compartirlo y a través de qué canales.

3.    Utiliza cada red social para el fin para el que fue diseñada. Por ejemplo Tuenti,al igual que otras redes sociales, está pensada para hablar con tus amigos, por lo que en este caso el consejo sería que tengas en tu lista de amigos únicamente amigos de verdad.

4.    Hay cierta información que es mejor que no compartas en ningún caso a través de redes sociales para evitar que nadie la utilice en tu contra. La dirección de casa, cuándo, dónde y con quién te vas de vacaciones o cuáles son tus contraseñas de acceso a un servicio, son un claro ejemplo de lo que no se debería publicar nunca en un muro o timeline.

5.    Tan importante como proteger tu privacidad es respetar la de los demás. No publiques datos de terceras personas sin su consentimiento. Recuerda: la seguridad y privacidad de Internet también dependen de ti.

6.    Utiliza contraseñas robustas y seguras para que no te suplanten. Para ello, te recomendamos que estén compuestas por ocho caracteres o más y contengan tanto letras como números, mayúsculas y minúsculas. Modifica tu contraseña regularmente y en ningún caso la compartas. Consulta el vídeo formativo sobre las contraseñas.

7.    Toma conciencia de tu reputación online. Valora la relevancia que puede tener ahora y en un futuro la información que publicas, ya que te acompañará toda tu vida.

8.    Además de ser consciente de tu reputación digital, ¿por qué no hacer un seguimiento periódico? Busca tu nombre en Google, practica el egosurfing o haz una búsqueda vanidosa. En definitiva, introduce tu nombre entrecomillado en el buscador que utilices, y permanece atento a las páginas en las que estás.

9.    Si crees que un determinado proveedor está ofreciendo indebidamente información sobre ti, ejerce tus derechos de acceso, rectificación, cancelación u oposición (ARCO) al tratamiento y solicita en su caso su retirada previo bloqueo de la misma.

10.  Y por último, estos consejos se resumen en uno: reflexiona antes de publicar datos personales en Internet. Una vez que lo hayas hecho, es muy probable que queden fuera de tu control.


lunes, 13 de mayo de 2013

GUIA PARA CLIENTES Y PROVEEDORES EN CLOUD COMPUTING.

13/05/2013.
FUENTES: AGPD y Ayudaleyproteccion de datos.

La Agencia Española de Protección de Datos (AEPD) ha editado una Guía para clientes que contraten servicios de cloud computing (descarga gratis PDF al final de este artículo). Además de las oportunas definiciones sobre qué es cloud computing, sus tipos, actores principales, modalidades de servicio, riesgos y por supuesto garantías contractuales, el documento aporta una interesante lista de puntos a repasar antes de contratar servicios en la nube.

Por otro lado, como documento complementario también ha editado esta Guía de orientaciones para prestadores de servicios de cloud computing (descarga PDF gratis al final de este artículo) que de forma conjunta presentan una visión global de las obligaciones legales en materia de privacidad para todas las partes implicadas.

La tesis que con mayor reiteración defiende la AEPD a lo largo de la guía (especialmente a las grandes corporaciones que ofertan masivamente estos servicios y a quienes ofrecen contratos de adhesión cerrados y no negociables a sus potenciales clientes), es que en el caso de que los clientes/responsables del tratamiento de los datos personales estén sujetos a la ley española, entonces la relación jurídica con el prestador de servicios estará sometida a la Ley Orgánica de Protección de Datos de carácter personal (LOPD) y sus normas de desarrollo, sin que ésta pueda ser una cuestión de libre disposición para las partes, es decir, sin que pueda ser contractualmente modificada.

Asimismo se señala que el proveedor de servicios de cloud computing que implican el acceso a datos personales será un prestador de servicios, es decir, un encargado del tratamiento en la terminología LOPD y debe por tanto adaptarse al régimen de garantías que la normativa de protección de datos personales atribuye a los ciudadanos.

El cliente que contrata a un prestador de servicios de cloud computing tiene una obligación legal de diligencia para ‘velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto’ en la normativa de protección de datos personales (art. 20.2 del Reglamento de desarrollo de la LOPD –RLOPD–).

El cumplimiento de este deber de diligencia ha de tener como contrapartida por parte del prestador de servicios de cloud computing una correlativa diligencia a la hora de facilitar información, en particular sobre los mecanismos que garantizan el cumplimiento de las obligaciones derivadas de la normativa de protección de datos, para poder considerarlo como un proveedor transparente.

¿Qué debo analizar como cliente y tener en cuenta antes de contratar servicios de cloud computing?


Se debe evaluar la tipología de datos que trata en función del nivel de seguridad exigido por la Ley Orgánica de Protección de Datos (LOPD) y decidir para qué datos personales contratará servicios en la nube y cuáles prefiere mantener en sus propios sistemas de información. Esta decisión es importante porque delimitará las finalidades para las que el proveedor puede tratar los datos, ya que debe garantizarse expresamente que no los utilizará para otra finalidad que no tenga relación con los servicios contratados

Garantías que deben incorporarse al contrato


  • El proveedor del servicio debe informar al cliente de los servicios y empresa/s a subcontratar (incluido el país en el que desarrolla sus servicios si están previstas transferencias internacionales de datos).
  • El cliente debe poder tomar decisiones como consecuencia de la intervención de subcontratistas.
  • El proveedor debe firmar con los subcontratistas un contrato con garantías equivalentes a las incluidas en el contrato con el cliente.

Responsabilidad de cada parte


El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos personales. Aunque los contrate con una gran compañía multinacional la responsabilidad no se desplaza al prestador del servicio.

Obligaciones como cliente


Se debe solicitar y obtener información sobre si intervienen o no terceras empresas (subcontratistas) en la prestación de servicios. En caso afirmativo tiene que dar su conformidad a la participación de terceras empresas, tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a una página web) y el proveedor debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.

Además el contrato a firmar debe incorporar cláusulas contractuales para la protección de los datos personales según se detalla en las siguientes puntos.

Ubicación de los datos personales. Transferencia internacional de datos


La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren.

Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega.

Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.

Garantías adecuadas para las transferencias internacionales de datos


Se considera una garantía adecuada que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la AEPD o por Decisión de la Comisión Europea (lista de países con nivel adecuado de protección). En ese caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la AEPD para su inscripción en el Registro General de Protección de Datos.

También se consideran garantías adecuadas las proporcionadas por las empresas ubicadas en los Estados Unidos que hayan suscrito los principios de Puerto Seguro (lista de entidades adheridas). Al igual que en el caso anterior será suficiente con hacer constar la transferencia en la notificación del fichero a la AEPD.

En otro caso, la transferencia internacional de datos necesitará autorización del Director de la AEPD, que podrá otorgarse en caso de que el exportador de datos aporte garantías adecuadas (si quiere conocer qué instrumentos jurídicos pueden utilizarse para ofrecer estas garantías haga clic aquí).

Medidas de seguridad exigibles


El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos personales. Asimismo, el acceso a la información a través de redes de comunicaciones debe contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo local.

Garantías sobre medidas de seguridad


Como cliente debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable.

Asimismo debe ser informado diligentemente sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse.

Compromisos de confidencialidad


El proveedor del servicio debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.

Garantía de recuperación de los datos personales (portabilidad)


La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el contrato o a la terminación del servicio, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales.

El proveedor debe destruir los datos personales si se extingue el contrato


Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es requerir una certificación de la destrucción emitido por el proveedor o por un tercero).

Ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO)


El cliente de servicios de cloud computing continúa siendo responsable del tratamiento de los datos personales, y está por ello obligado a facilitar el ejercicio de los derechos ARCO a los interesados. Puesto que en ocasiones necesitará la colaboración del prestador de servicios de cloud computing, éste debe prever la necesidad de proporcionar información al respecto y, cuando se solicite, hacerla efectiva de forma diligente..

 

 


viernes, 3 de mayo de 2013

BOLETÍN DE NOTICIAS MAYO 2013


PROTECCIÓN DE DATOS

Y SEGURIDAD INFORMÁTICA 

Noticias de prensa sobre Protección de Datos más interesantes publicadas durante el mes de:


ABRIL de 2013


 Logotipo Agencia Protección de Datos

 

 02/04/2013 –España se une a otros 5 países europeos para investigar a Google por su política de privacidad. FUENTE: expansión.com (AMPLIAR).

12/04/2013 – Protección de datos personales y blanqueo de capitales. FUENTE: fundspeople.com (AMPLIAR).

16/04/2013 – Protección de Datos multa con 50.000 euros al macroprostíbulo de La Jonquera. FUENTE: elperiodico.com (AMPLIAR).

26/04/2013 – El director de la AEPD destaca que “sin protección de datos no hay confianza. FUENTE: cuatro.com (AMPLIAR).

27/04/2013 –  ‘Informe Semanal” recibe el Premio Comunicación de Protección de Datos 2012 de la Agencia Española de Protección de Datos. FUENTE: noticiapress.es (AMPLIAR).

29/04/2013 – La AEPD presenta la primera guía en Europa sobre el uso de cookies elaborada junto a los representantes de la industria. FUENTE: agpd.es (AMPLIAR)  (GUÍA).

30/04/2013 - Pepephone se autodenuncia ante la Agencia de Protección de Datos. FUENTE: movilonia.com (AMPLIAR).

Seguidamente le facilitamos un link para descargar el Boletín "LA LOPD EN LA EMPRESA"que puede reenviar a los usuarios de su empresa, si lo estima oportuno.

 

BOLETÍN

"LA LOPD EN LA EMPRESA".

ABRIL 2013



 

jueves, 2 de mayo de 2013

La AEPD presenta la primera guía en Europa sobre el uso de cookies elaborada junto a los representantes de la industria


El documento destaca el deber de información y la obtención del consentimiento del usuario como las obligaciones fundamentales impuestas por la normativa
La Agencia Española de Protección de Datos (AEPD) y las asociaciones Adigital, Autocontrol e IAB Spain han presentado la primera guía en Europa elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria. La Guía sobre el uso de las cookies recoge las orientaciones, garantías y obligaciones que la industria se compromete a difundir y aplicar para adaptar la instalación de este tipo de archivos a la legislación vigente.
El acto ha contado con la presencia del director de la AEPD, José Luis Rodríguez Álvarez, la presidenta de Adigital, Elena Gómez del Pozuelo, el director general de Autocontrol, José Domingo Gómez Castallo, el director general de IAB Spain, Antonio Traugott, y el adjunto al director de la AEPD, Jesús Rubí. El director de la AEPD, José Luis Rodríguez Álvarez, ha destacado que, con esta Guía, se da un gran paso adelante para conciliar el uso de las cookies con la protección de la privacidad de los ciudadanos. “Se establecen reglas claras para garantizar que los usuarios puedan decidir si consienten o no la instalación de cookies en sus terminales, contando con una información clara y completa sobre qué datos se recopilan, quiénes los van a tratar y a qué fines se destinan. Al mismo tiempo, se proporcionan a las empresas y a los responsables de páginas web en general unas directrices y orientaciones prácticas que les facilitará el cumplimiento de las obligaciones legales con mayor seguridad jurídica y el grado de flexibilidad necesario para posibilitar el desarrollo de la economía digital”.
La guía ofrece diversas opciones para cumplir con las dos obligaciones legales fundamentales impuestas por la normativa: el deber de información al usuario y la obtención del consentimiento por parte de este. En cuanto a la información que debe facilitarse, el apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información “clara y completa” sobre las cookies. La Guía especifica un sistema de información por capas que consiste en mostrar la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información adicional sobre las cookies.
La información que se brinda debe ser lo suficientemente completa para que los usuarios entiendan la finalidad de las cookies (si pueden rastrear sus hábitos de navegación, por ejemplo), conocer qué uso se hará de sus datos y a quién se facilitan. En este sentido, la Guía recomienda tener en cuenta el tipo de usuario medio al que se dirige la página web o aplicación que instala las cookies y adecuar el lenguaje y el contenido de los mensajes a su nivel técnico. Cuanto menor sea el nivel técnico del usuario medio de esa página web, más sencillo deberá ser  el lenguaje que se utilice, evitando terminología técnica poco comprensible. En el momento actual, debe partirse de que el nivel de conocimiento de los usuarios sobre las cookies y su gestión es muy reducido.
La Guía también recoge cuestiones relacionadas con la accesibilidad y visibilidad de esa información. Aunque no se ofrecen indicaciones rígidas de dónde debe ser colocada, sí se especifica que el enlace debe estar situado en zonas que capten la atención de los usuarios.
Además de ese nivel de información, para la instalación y utilización de cookies será necesario obtener el consentimiento del usuario, de forma que este pueda considerarse un consentimiento informado. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado específico o infiriéndolo de una determinada acción realizada por el usuario. Para que dicho consentimiento sea válido, será necesario que el consentimiento haya sido otorgado de forma informada, ya que la mera inactividad del usuario no implica una prestación del consentimiento.
Por último, el documento también recoge el derecho de los usuarios a recibir información sobre la forma de desactivar o eliminar las cookies, así como la forma de revocar un consentimiento prestado con anterioridad.
Dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones recogidas en el documento conjunto no pretenden ofrecer una solución general y uniforme para el cumplimiento de la Ley sino que servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio. La AEPD recomienda a las entidades implicadas en la utilización de cookies llevar a cabo una revisión de las que se utilizan, bien internamente, bien con el asesoramiento de asociaciones o entidades especializadas. Las entidades podrán conocer así qué cookies se utilizan y para qué finalidad, descartando así las innecesarias.
Compromiso de la industria
La presidenta de adigital, Elena Gómez del Pozuelo, ha incidido en que todas las empresas y profesionales con presencia web utilizan cookies para reconocer a las personas que visitan los sitios y “ofrecerles el contenido que les interesa”. “Ahora esta herramienta se ha regulado para que el usuario esté perfectamente informado de ello. Por este motivo, la guía es una fabulosa herramienta, muy práctica, donde vamos a encontrar cómo aplicar la legislación que regula las cookies y cómo hemos de informar a los consumidores del uso que hacemos de ellas”, ha añadido.
El director general de Autocontrol, José Domingo Gómez Castallo, ha subrayado que la Guía sobre el uso de las cookies “es una muestra más del alto grado de responsabilidad que demuestra la industria publicitaria española, manifestada en sus compromisos de autorregulación”. Para Gómez Castallo, la Guía “tiene indudable utilidad porque facilitará a las empresas el cumplimiento de las reglas, de forma que se permita el desarrollo de la publicidad digital respetando, simultáneamente, los derechos de privacidad de los usuarios”.
El director general de IAB Spain, Antonio Traugott, ha hecho hincapié en la importancia de que la Guía se haya realizado de forma conjunta entre la industria y la Agencia de Protección de Datos. “Ha sido fundamental que hayamos encontrado el camino para que el usuario esté más informado y protegido respecto a su privacidad en Internet, y al mismo tiempo permitamos que el sector digital siga con su evolución natural, con vistas a convertirse en uno de los principales motores de crecimiento de la economía del país”.
Legislación aplicable
Las soluciones recogidas en la Guía ofrecen las líneas básicas para cumplir con las obligaciones previstas en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) tras su modificación por el Real Decreto-ley 13/2012, de 30 de marzo.
En este sentido, hay que recordar que el Grupo de Trabajo del Artículo 29 en su Dictamen 4/2012 ha señalado que existen una serie de cookies exceptuadas, cuando se utilizan sólo con el fin de efectuar la transmisión de una comunicación, o en la medida que resulte estrictamente necesario para la prestación de un servicio expresamente solicitado por el destinatario, como son las de entrada del usuario, las cookies de autenticación o identificación o de seguridad, entre otras.
 
FUENTE. Nota informativa AEPD: (Madrid, 29 de abril de 2013).