jueves, 19 de diciembre de 2019
ENVIAR FELICITACIONES CUMPLIENDO EL RGPD
Se acercan unas fechas especiales, y el deseo de felicitar a clientes, proveedores y más allegados en el mundo laboral, pero cuidado con los envíos de felicitaciones navideñas. No debemos olvidar que la dirección de correo electrónico es un dato de carácter personal, que se encuentra protegido por la siguiente normativa:
-Así como la Ley 34/2002, de Servicios de la Sociedad de la Información y comercio
electrónico
(LSSI). Un
punto para destacar de la LSSI
en este ámbito es el siguiente: en esta Ley no se distingue entre datos de
personas físicas y jurídicas, por lo que todo lo indicado afecta tanto a un
envío a particulares como a empresas.
Antes
de desarrollar la interpretación de la normativa vigente para realizar el envío
de la felicitación de navidad con una base legítima correcta, recordamos la
forma en la que en cualquier caso se ha de realizar dicho envío.
Envío de un email a
varios destinatarios
Debemos
asegurarnos de que al realizar este envío por correo electrónico a varios
destinatarios siempre
incluiremos las direcciones en la casilla Con Copia Oculta (CCO), ya que en el
caso de dejar todas las direcciones en la casilla Para o Con Copia, estaremos
permitiendo que todos los receptores vean el correo electrónico de los demás,
lo cual sería una vulneración del deber de secreto sancionable por la Agencia
Española de Protección de Datos (AEPD).
A
este respecto, cuando al remitente del mensaje le sea exigible el deber de
secreto y siempre que no sean aplicables las excepciones relacionadas con los
supuestos en los que los titulares estén ligados por relaciones de ámbito
doméstico, laboral o profesional, se considera preciso el recurso a la
modalidad de envío que ofrecen los programas de correo electrónico disponibles
en el mercado, en los que se permite detallar las direcciones electrónicas de
los destinatarios múltiples en un campo específico del encabezado del mensaje:
el campo CCO (con copia oculta), en lugar del habitual CC. De este modo
evitaremos que el resto de los destinatarios pueda ver la dirección de correo
electrónico de otros y solamente pueda visualizar la suya propia y la del
remitente.
Base Jurídica para envío
de felicitaciones de Navidad
El
RGPD establece que debes tener una base
jurídica, es decir, una ‘razón‘
de las reconocidas en dicho reglamento para poder enviar las comunicaciones.
Estas ‘razones’ se encuentran recogidas en el artículo 6 del GDPR, donde
podemos encontrar que, para tratar los datos de una persona física, debe haber ocurrido lo que
exponemos a continuación. No hemos puesto las causas que no
pueden afectar al envío de felicitaciones para no liar o hacer más complicado
la información que deseamos ofrecer.
- Que la persona nos haya dado su consentimiento
- Que el tratamiento, es decir, el uso de sus datos, sea necesario para la consecución de un contrato
- Que haya un interés legítimo por parte de la empresa, siempre que frente a este interés no prevalezca el de la persona de la que se tratan los datos
Envío de felicitaciones
de Navidad en base al consentimiento
Una
de las ‘razones o bases legitimadoras para poder enviar comunicaciones es teniendo el consentimiento por
parte de la persona física a la que se le envía. Este
consentimiento debe ser informado y explícito. Además, deberemos poder
demostrar que disponemos de él.
Recabar
el consentimiento para enviar comunicaciones de estas características (en este caso felicitaciones de
Navidad) no es común, ya que:
- No es una comunicación comercial en sí misma, por lo que no nos vale un consentimiento de comunicaciones comerciales.
Por
tanto, si dispones del consentimiento
del interesado perfecto, podrás enviar felicitaciones de
navidad o de año nuevo sin problema. Si no dispones del consentimiento y
quieres enviarlas pero crees que, tal y como son tus clientes, es muy difícil
recabarlo, sigue leyendo porque explicamos otras formas para lograrlo.
Envío de felicitaciones
de Navidad en base al interés legítimo
Aunque
muchas empresas piensan que la única manera de enviar comunicaciones a clientes
es en base a un contrato o al consentimiento, lo cierto es que también podemos hacerlo en base al interés
legítimo. El RGPD así lo reconoce, y está ahí para poder
usarse.
El
interés legítimo se basa en la necesidad, bajo una serie de circunstancias restrictivas, por
parte de la empresa, de comunicarse con el cliente. En el caso de las
felicitaciones navideñas tenemos una comunicación que no es estrictamente
comercial, es decir, no estamos vendiendo un producto en concreto (más allá de
nuestra imagen de marca).
Para
ser lo más ajustados a la realidad vamos a diferenciar entre varias
posibilidades. Dependiendo de cada una podremos aplicar el interés legítimo o
no.
- Clientes actuales: en este caso se trata de un tratamiento que, según nuestro criterio, sí que se enmarcaría dentro del interés legítimo. El envío de una felicitación navideña podría entenderse que forma parte de una relación normal conforme a las costumbres de nuestro país con un cliente.
- Clientes antiguos sin consentimiento: salvo que el cliente haya manifestado su oposición al tratamiento de datos, o algún otro de los derechos que le amparan en base al RGPD y que impidan este tipo de comunicaciones, desde nuestra opinión sí que estaríamos legitimados en base al interés legítimo el envío de una felicitación navideña. Ello en base a que han mostrado interés en el pasado sobre nuestros productos y podríamos entender que deseamos seguir manteniendo relaciones en un futuro. A pesar de todo si se da esta situación habría que estudiar cada caso concreto.
- Clientes potenciales con el que tengamos un consentimiento para enviar comunicaciones comerciales: aunque no se trata de una comunicación comercial estricta, entendemos que el consentimiento para enviar comunicaciones comerciales es más agravado que el de envío de comunicaciones que sean ‘de educación’ como en este caso, por lo que también estaríamos legitimados.
- Clientes potenciales sin consentimiento ni trato anterior: No podemos enviarles una felicitación navideña ya que el tratamiento no se basaría en ninguna base legitimadora.
Esperamos
que el contenido de este boletín extraordinario RGPD-LOPD sea de utilidad
y nos ayude a felicitar a nuestros clientes, proveedores y amigos en estas
entrañables fechas, cumpliendo con la actual Normativa General de Protección de
Datos.
¡Felices Fiestas!
martes, 19 de noviembre de 2019
BOLETÍN NOTICIAS RGPD-LOPD NOVIEMBRE 2019
BOLETÍN DE NOTICIAS
NOVIEMBRE 2019
PROTECCIÓN DE DATOS Y
SEGURIDAD INFORMÁTICA
Noticias de prensa sobre Protección de Datos más interesantes publicadas durante los meses de:
SEPTIEMBRE, OCTUBRE Y NOVIEMBRE 2019.
PROTECCIÓN DE DATOS Y
SEGURIDAD INFORMÁTICA
10/09/2019. REGISTRO HORARIO. Registro de jornada y derecho a la protección
de datos. FUENTE: elderecho.com (AMPLIAR)
11/09/2019. Ingeniería de la Privacidad. FUENTE: aepd.es (AMPLIAR)
16/09/2019. Los autónomos pueden saltarse un requisito en la protección de
datos. FUENTE: autonomosyemprendedores.es (AMPLIAR)
18/09/2019. Una fuga de datos médicos afecta a unos 50 países y millones de
pacientes. FUENTES: abc.es
(AMPLIAR)
01/10/2019. El TJUE avisa a los sitios web de que no pueden descargar
'cookies' sin el permiso "activo" del internauta. FUENTE:
elderecho.com (AMPLIAR)
02/10/2019. Brechas de seguridad: protégete ante la pérdida o robo de un
dispositivo portátil. FUENTE: aepd.es (AMPLIAR)
02/10/2019. Protección de Datos multa a Eroski con 150.000 euros por
difundir el vídeo del hurto de Cifuentes FUENTE. Lavanguardia.com (AMPLIAR)
04/10/2019. Todo lo que haces en WhatsApp que puede ser delito. FUENTE:
eldia.es (AMPLIAR)
11/10/2019. Multa a Vueling.com con 30.000 euros por no dar la posibilidad
de oponerse a sus 'cookies'. FUENTE: publico.es (AMPLIAR)
17/10/2019. La AEPD publica una guía para facilitar la aplicación de la
privacidad desde el diseño. FUENTE: aepd.es (AMPLIAR) - PDF
GUÍA PRIVACIDAD DEDSE EL DISEÑO
19/10/2019. Los partidos no podrán recabar opiniones políticas de Internet
para su propaganda bajo multa de hasta 20 millones de euros. FUENTE:
expansión.com (AMPLIAR)
23/10/2019. Personajes públicos, privacidad y la Ley de Protección de Datos.
FUENTE. Legaltoday.com (AMPLIAR)
23/10/2019. Los móviles y los portátiles disparan las "brechas de
seguridad" de los datos. FUENTE: rtv.es (AMPLIAR)
24/10/2019. Montero viola la ley de protección de datos. FUENTE. Heraldo.es (AMPLIAR)
24/10/2019. Escudo de la privacidad UE-Estados Unidos: su tercer examen se
congratula de los avances y define medidas para mejorarlo. FUENTE:
noticiasjuridicas.com (AMPLIAR)
31/10/2019. La desprotección de datos de los "paraísos digitales.
FUENTE: lavanguardia.com
(AMPLIAR)
04/11/2019. La AEPD publica recomendaciones para aquellos que utilicen
técnicas de hash en la seudonimización de datos. FUENTE: aepd.es (AMPLIAR)
08/11/2019. Protección de Datos lanza la guía actualizada sobre
correcto uso de cookies. FUENTE. Aepd.es (AMPLIAR)
PDF GUÍA COOKIES
AEPD
08/11/2019. Contratos públicos y protección de datos. FUENTE: elglobal.es (AMPLIAR)
15/11/2019. Cifrado y Privacidad: cifrado en el RGPD. FUENTE: aepd.es (AMPLIAR)
17/11/2019. Un Gran Hermano que todo lo ve en la oficina. El uso de cámaras
de vigilancia es una de las materias más conflictivas en el ámbito del trabajo.
FUENTE: elpais.com (AMPLIAR)
18/11/2019. El INE comienza hoy a rastrear millones de móviles para conocer
la movilidad de los españoles. FUENTE: rtv.es (AMPLIAR)
.
viernes, 25 de octubre de 2019
martes, 15 de octubre de 2019
Directrices del Tribunal de Justicia de la Unión europea sobre el uso de Cookies.
La colocación de ‘cookies’ requiere el
consentimiento activo de los internautas
La Ley de Servicios de
la Sociedad de la Información establece que los usuarios deben dar su
consentimiento después de haberles dado información clara y completa de la
utilización de las cookies, conforme a la normativa de protección de datos. La
Agencia Española de Protección de Datos ha venido aceptando el consentimiento
tácito, mediante la fórmula de que el continuar navegando suponía la aceptación
de la política de cookies, debido a que, con
la anterior normativa, este sistema era válido.
Con la aplicación del Reglamento General de
Protección de Datos el consentimiento tácito ha dejado de ser válido, debiendo ser prestado mediante una clara acción positiva por
parte del usuario. Es por ello, por lo que las autoridades europeas han ido
aplicando el consentimiento expreso que señala el RGPD.
El Tribunal de Justicia de la Unión Europea, a través de la Sentencia del
asunto C-673/17, ha proporcionado unas directrices claras para un correcto
cumplimiento del RGPD en relación a la información facilitada y consentimiento
otorgado en las políticas de cookies.
¿Qué son las
cookies? ¿Tratan datos personales?
Son pequeños
archivos de texto que se almacenan en el directorio del navegador de nuestro
ordenador cuando las aceptamos. Estos archivos pueden tratar, o no, datos
personales, por lo tanto, en la medida en que estos puedan ser accedidos por
terceras empresas, deberán ser protegidos en cumplimiento de la normativa. La
igualdad de trato ante la información almacenada o consultada por las cookies
en el ordenador del usuario sean o no datos personales, la tenemos
acreditada a través de los artículos 2 f) y 5.3 de la Directiva 2006/136 y
artículos 4, punto 11 y 6, apartado 1, letra a), del Reglamento 2016/679, y del
considerando 24 de la Directiva 2002/58. Todo ello interpretado en la Sentencia del TJUE
673/17 en el punto 2 de la declaración del citado tribunal,
donde se dice expresamente que “no deben interpretarse de manera diferente
en función de que la información almacenada o consultada en el equipo terminal
del usuario de un sitio de Internet sean o no datos personales en el sentido de
la Directiva 95/46 y del Reglamento 2016/679.”
¿Cómo dar
fiabilidad al tratamiento de los datos personales que usen las cookies?
Para que el
uso de las cookies de una web sea realizado de forma adecuada, tal y como nos
expone la STJUE C-673/17, debemos disponer del consentimiento del usuario
mediante un acto afirmativo claro que refleje una manifestación de
voluntad libre, específica, informada e inequívoca del interesado, mismos
términos que recoge el considerando 32 del RGPD en relación con el
consentimiento prestado.
Para que
esta manifestación de voluntad sea acorde a la legislación, y pueda considerarse,
por ende, un acto afirmativo, no deberemos disponer de botones pre-marcados
por defecto, de forma que el usuario deba marcar expresamente en caso de
que desee dar su consentimiento para que se puedan utilizar cookies en su
dispositivo. Tampoco es válido el disponer del consentimiento a través de
silencio o de inacción del usuario.
¿Cómo
anunciar y solicitar al usuario el uso de cookies?
En el caso
de que vuestro sitio web utilice cookies sobre las que sea necesario informar y
obtener el consentimiento, esta información deberá estar a disposición del
usuario de forma clara y completa, con carácter permanente y en un
lugar accesible y visible del sitio web, por ejemplo,en el footer de la
página junto con el resto de avisos legales. Asimismo, para la instalación y
utilización de las cookies no exentas, como decíamos, el usuario deberá
haber otorgado su consentimiento expreso para su uso.
¿Qué cookies
están exentas?
Quedan
exceptuadas de estos requisitos según el artículo 22.2 LSSICE y el Dictamen
4/20123 del Grupo de Trabajo del Artículo 29 las cookies utilizadas para alguna
de estas finalidades:
-Permitir
únicamente la comunicación entre el equipo del usuario y la red.
-Estrictamente
prestar un servicio expresamente solicitado por el usuario.
-Cookies de
entrada del usuario.
-Cookies de
autenticación o identificación de usuario (únicamente de sesión).
-Cookies de
seguridad del usuario.
-Cookies de
sesión de reproductor multimedia.
-Cookies de
sesión para equilibrar la carga.
-Cookies de
personalización de la interfaz de usuario.
¿Qué debo
incluir en mi web si utilizo cookies no exentas?
1.Primera
capa: banner informativo.
Para
elaborar la primera capa (mediante un banner o pop-up emergente de cookies), se
deberá evitar incluir cualquier tipo de información que pueda generar confusión
o ambigüedad, como, por ejemplo: “utilizamos cookies para personalizar su
contenido” o “para mejorar su navegación” o fórmulas similares y,
como hemos dicho, frases como ‘si continúa navegando por nuestra web
entendemos que otorga su consentimiento…’.
El contenido
de esta primera capa (banner) debe contener:
-La identidad
del responsable del tratamiento.
-La indicación
del uso de cookies tanto propias como de terceros.
-La finalidad
de las cookies utilizadas (analíticas, publicitarias, si elaboran perfiles,
etc).
-Un enlace a
la segunda capa Política de Cookies propiamente dicha.
-Un botón
que facilite ACEPTAR la instalación de las cookies.
Y
finalmente, se puede incluir un botón en el mismo banner que permita RECHAZAR
TODAS las cookies o incluir un botón CONFIGURAR COOKIES que nos
lleve a un panel de gestión de las mismas.
2.-Segunda capa: panel de gestión de
cookies
En este
panel intermedio, donde accederemos al clicar en el botón CONFIGURAR COOKIES
debemos permitir al usuario:
-Seleccionar
(con un check o botón) las cookies que permitimos pudiendo seleccionar solo
las cookies que nos interesen.
-Seleccionar
RECHAZAR TODAS para inhabilitar todas las cookies.
-Ir a la POLÍTICA DE COOKIES completa para ampliar info.+
3) Tercera
capa: política de cookies En esta
tercera capa (política de cookies) se incluirá toda esta información:
-Nombre de
las cookies.
-Finalidad
de las cookies.
-Caducidad.
-Proveedor de las cookies.
-Proveedor de las cookies.
-La forma de
desactivar o eliminar las cookies enunciadas en los principales navegadores
web.
-Podría
integrarse en esta capa el panel de configuración de cookies mencionado en el
apartado anterior en cada cookie.
-Información
relacionada con el tratamiento de datos personales prevista en el artículo 13
RGPD, que habrá de ofrecerse de forma concisa, transparente, inteligible y con
un lenguaje claro y sencillo.
.
PINCHAR EN LA IMAGEN PARA DESCARGAR PDF
.
Suscribirse a:
Entradas (Atom)