PROTECCIÓN DE DATOS

NUESTROS SERVICIOS

  • Revisión y verificación de los procesos, actividades y servicios (Auditoria de protección de datos).
  • Revisión y/o Redacción del Registro de Actividades a medida y totalmente personalizado donde se describan y detallen las medidas técnicas y organizativas necesarias para cumplir con las disposiciones del Reglamento Europeo General de Protección de Datos (RGPD) y el la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD).
  • Tramitación de reclamaciones y sanciones.
  • Redacción de cláusulas informativas para la obtención del consentimiento expreso, inequívoco e informado de los afectados.
  • Autorización de cesiones y encargos de tratamiento (subcontrataciones) de datos de carácter personal.
  • Defensa jurídica en procedimientos de tutela de derechos y procedimientos sancionadores de la Agencia Española de Protección de Datos competente (vía administrativa) y defensa en vía contencioso administrativa ante la Audiencia Nacional y el Tribunal Supremo.
  • Redacción de contratos o acuerdos de cesión de datos. Análisis y evaluación de acuerdos tipo utilizados para ceder datos personales a otras entidades.
  • Revisión de modelos de contratos de colaboración y de prestación de servicios, con empresas externas que tengan acceso a los datos de los clientes.
  • Redacción de contrato de tratamiento de datos por parte de terceros (contrato de encargado de tratamiento) obligatorio por ley con las especificaciones y describiendo las medidas de seguridad necesarias para el tratamiento de datos personales.
  • Redacción de las cláusulas de intercambio de datos -con obligaciones recíprocas- por las que se ceden y reciben datos personales. Incluyendo redacción de textos legales para el envío de EMAILINGS que permitan cumplir con la normativa vigente.
  • Redacción de avisos de privacidad para la recogida de datos a través de (formularios, SMS, o cualquier otro medio utilizado por el cliente).
  • Adecuación a las nuevas disposiciones establecidas el Reglamento Europeo General de Protección de Datos (RGPD) y en la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

Recomendaciones de la AEPD para minimizar el seguimiento durante tu navegación por Internet

La Agencia Española de Protección de Datos (AEPD), publicó recientemente una Nota Técnica muy interesante contentiva de tips o recomendaciones a tener en cuenta para minimizar el riesgo de nuestra privacidad mientras navegamos online, dicha nota está dirigida a usuarios con conocimientos tanto medios como avanzados del uso de internet.

 ¿Qué sucede cuando navegamos por Internet?

Cuando navegamos por Internet estamos expuestos a ciertas prácticas que afectan directamente a nuestra privacidad, como lo son el seguimiento de la actividad de navegación al visitar diferentes páginas webs. Este seguimiento normalmente se realiza a través de las famosas “cookies”, que no son más que ficheros que se descargan para almacenar y recuperar información, no solo en tu ordenador si no en cualquier otro equipo terminal como tus teléfonos móviles o tablets, cuyo principal objetivo es la elaboración de perfiles para ofrecerte publicidad ajustadas a tus características e intereses, recopilando a su vez información estadísticas de acceso a los servicios webs, que dependiendo de la forma que se utilicen pueden utilizarse para reconocer al usuario.

Pero, ¿sólo a través de las cookies pueden hacerme seguimiento a través de mi navegación en Internet?

No, además de las cookies existen otros métodos o técnicas para conseguir este propósito como las que se basan en identificadores únicos de publicidad o las implementadas mediante obtención de la huella digital del dispositivo. Puedes hacer clic en el siguiente enlace para más información sobre la primera técnica, o en este https://www.aepd.es/media/notas-tecnicas/nota-tecnica-android-advertising-id.pdf, para obtener más detalle de la segunda.

De igual manera, los logs (registros de actividad) de los servidores, pueden efectuar el referido seguimiento mediante la correlación de la información almacenada en diversos sitios webs. Asimismo, es posible el seguimiento de la actividad del usuario cuando para iniciar sesión en una web o en una aplicación concreta se utiliza la cuenta de Facebook, Google u otros perfiles de redes sociales. Es importante destacar, que estas técnicas de seguimiento de usuarios no son sólo para los navegadores que utilizan los ordenadores personales, los móviles, tablets y otros dispositivos inteligentes, como las Smart TV, también utilizan identificadores únicos de publicidad.

Por último, pero menos importante, se debe tener en cuenta otro elemento, y es que los navegadores web y los dispositivos también permiten iniciar sesión con una cuenta de correo electrónico, con lo cual, al mantener la sesión de usuario iniciada, el historial de navegación puede estar siendo enviado automáticamente al proveedor de ese servicio.

¿Qué podemos hacer para minimizar los riesgos de nuestra privacidad cuando usamos Internet?

Es importante que conozcas, que cuando visitas una página web no solo accedes a ese único sitio, sino que al mismo tiempo nuestra información es redirigida a múltiples servidores de terceros, que por lo general ofrecen al sitio web principal el servicio de publicidad y análisis para el seguimiento de la actividad de cada usuario. Por tal motivo, la mayoría de las técnicas que se utilizan para mejorar el control del seguimiento del usuario en Internet se basan en la posibilidad de minimizar la instalación de cookies de terceros, o evitar directamente, que se acceda a esos sitios de terceros. A continuación, algunos tips o recomendaciones contenidas en la infografía publicada por la AEPD para minimizar el seguimiento de nuestra actividad al utilizar Internet:

Si quieres ampliar el contenido de esta información visita el siguiente enlace: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-publica-recomendaciones-privacidad-navagacion

Se actualiza la Guía sobre el uso de cookies de la AEPD de conformidad con las directrices del Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos (CEPD) creado bajo el amparo del Reglamento General de Protección de Datos (RGPD), que sustituyó al Grupo de Trabajo del Artículo 29, el pasado 04 de mayo de 2020 adoptó en sus Directrices 05/2020 aclaraciones respecto a la condicionalidad del consentimiento y el consentimiento inequívoco de conformidad con el referido reglamento, motivo por el cual la AEPD actualizó el contenido de su “Guía sobre el uso de cookies”, que conlleva a que los prestadores de servicios de la sociedad de la información modifiquen sus políticas de cookies e introduzcan herramientas de gestión de las mismas antes del 31 de octubre de 2020.

La AEPD indica que lo que pretende con la actualización y las soluciones propuestas en dicha guía, es orientar sobre cómo cumplir con las obligaciones previstas en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), de acuerdo con lo establecido en el RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD). El referido artículo 22 relativo a los “Derechos de los destinatarios de servicios” prevé en su apartado segundo lo siguiente:

“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. (…).” (Subrayado nuestro).

Lo anterior, será de aplicación a cualquier dispositivo de almacenamiento y recuperación de datos (cookies y/o tecnología similar de almacenamiento y recuperación de información), en cualquier equipo terminal de los destinatarios, siendo destinatarios según la LSSICE “toda persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información” (internet). Con lo cual, sí se utilizan cookies que efectúan tratamiento de datos personales, los responsables de tal tratamiento, es decir, los prestadores del servicio (titulares de páginas web, plataformas y aplicaciones), deberán asegurarse del cumplimiento de las exigencias adicionales previstas por la normativa sobre protección de datos personales (RGPD y LOPDGDD).

En este sentido, las obligaciones legales a cumplir son:

  1. obligación de transparencia, que no es más que el deber de información (claro y completo) que se debe facilitar previamente al usuario sobre la utilización de las cookies y, en particular, sobre los fines del tratamiento de los datos que se almacenen, y
  2. obligación de obtención del consentimiento por parte del usuario, el cual podrá conseguirse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. También podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies de conformidad con lo anterior. En ningún caso, la mera inactividad del usuario implicará la prestación del consentimiento por sí misma, y no podrán utilizarse los denominados “muros de cookies» que no ofrezcan una alternativa a dicho consentimiento.

Es importante destacar, que quedan exceptuadas del cumplimiento de las obligaciones dispuesta en el artículo 22.2 LSSICE, las cookies conocidas como “cookies técnicas”, utilizadas para las finalidades que se detallan a continuación:

  • Permitir únicamente la comunicación entre el equipo del usuario y la red.
  • Estrictamente prestar un servicio expresamente solicitado por el usuario.
  • Cookies de “entrada del usuario”.
  • Cookies de autenticación o identificación de usuario (únicamente de sesión).
  • Cookies de seguridad del usuario.
  • Cookies de sesión de reproductor multimedia.
  • Cookies de sesión para equilibrar la carga.
  • Cookies de personalización de la interfaz de usuario.
  • Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales.

Por consiguiente, se recomienda una revisión de las cookies utilizadas en la actualidad, a fin de verificar si se cumple o no con las previsiones de la LSSICE, y adicionalmente, en materia de protección. Nuestro despacho posee personal cualificado que puede ayudarte en este sentido. Si quieres ampliar esta información así como sus implicaciones legales, puedes contactarnos a través de info@easyabogados.com.

Privacy Shield UE-EE.UU declarado inválido por el Tribunal de Justicia de la Unión Europea

Mediante comunicado de prensa Nº 91/20 de fecha 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea anunció la publicación de la Sentencia en el asunto C-311/18 “Data Protection Commissioner/Maximillian Schrems y Facebook Ireland” de la misma fecha, que invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de Privacidad UE-EE.UU, y a su vez declara, que es válida la Decisión 2010/87 de la Comisión relativa a las Cláusulas Contractuales Tipo para la transferencia de datos personales a los encargados de tratamiento establecidos en el tercer país.

Con lo cual, al haber declarado la Gran Sala que el “Escudo de Privacidad (Privacy-Shield UE – EE.UU)” es inválido, se considera transferencia internacional a toda cesión o comunicación de datos personales desde un Estado miembro de la Unión Europea hacia los EE.UU, debiéndose regularizar esta situación a través de Cláusulas Contractuales Tipo de protección de datos que dicho Tribunal considera “gozan de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea por el RGPD, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea”.

Al parecer, dichas Cláusulas Contractuales Tipo están siendo actualizadas por la Comisión Europea, y se espera sean publicadas en breve.

Empresas como Google y Mailchimp, a día de hoy, cuentan con Cláusulas Contractuales Tipo reconocidas por las autoridades competentes en materia de protección de datos de la UE. Otras como Zoom, indican en sus políticas de protección de datos, que si realizan transferencias internacionales de datos personales de residentes en la UE fuera de esta, tratarán los mismos en un territorio que ofrezca un nivel adecuado de protección de la información personal de acuerdo con lo establecido por la Comisión Europea, o bien, aplicarán las medidas de seguridad adecuadas para proteger la información personal mediante cláusulas contractuales tipo de la Comisión Europea.

Con lo cual, y mientras las Cláusulas Contractuales Tipo son actualizadas y publicadas por la Comisión Europea, te recomendamos que confirmes sí los proveedores que estas utilizando, que se encuentra establecidos en EE. UU, y qué se consideraban, cumplían con las garantías suficientes para implementar las medidas técnicas y organizativas apropiadas de acuerdo con los requisitos del RGPD al estar adheridos al Privacy Shield, cuentan con Cláusulas Contractuales Tipo, válidas y reconocidas, por las autoridades europeas competentes en materia de protección de datos. De igual manera, si estás por elegir proveedor, que por razón a la actividad que le encomiendes deba tratar datos personales de tu titularidad; por ahora, y a fin de evitar incumplimientos innecesarios en esta materia, podrías escoger proveedores sitos dentro de la UE o que ofrezcan las mismas garantías que éstos.