NOTICIAS BLOG DIGITAL-TIC

FAQ. SELECCIÓN DE PERSONAL Y TRATAMIENTO DE DATOS PERSONALES

/en ,

1.¿La empresa puede solicitar todo tipo de datos personales en el contexto de la selección de personal?

NO. La empresa sólo puede solicitar aquellos datos personales que sean estrictamente necesarios y pertinentes para valorar la candidatura a un puesto de trabajo. Sobre la información necesaria para apreciar la capacidad de un candidato a un puesto de trabajo y evaluar sus aptitudes, se debe limitar a aquella que permite identificar al candidato más adecuado con la finalidad de verificar competencias para el puesto.Con carácter general no se pueden pedir datos relacionados con la condición familiar, hábitos o características físicas cuando no esté relacionada con el desempeño del puesto vacante como tampoco datos de salud ni certificado de antecedentes penales o salvo contadas excepciones tasadas por ley.

2. ¿La empresa debe facilitar información al candidato sobre el tratamiento de sus datos personales?

La información facilitada debe ser clara, sencilla, inteligible y de fácil acceso y se debe proporcionar antes de la recogida de los datos personales. El escenario ideal seria facilitar la información básica sobre el tratamiento de datos personales después del formulario donde se recogen los datos y se coloque un enlace que dirija a la información ampliada, esto es, a la política de privacidad del candidato.

3. ¿La empresa puede usar los datos personales para otras finalidades?

NO. La empresa no puede tratar los datos personales para otras finalidades que sean diferentes e incompatibles con la finalidad principal por cuanto rige el principio de limitación de finalidad.

4. ¿La empresa puede conservar mi CV de forma indefinida?

NO. La empresa no puede conservar mi CV de forma indefinida sino sólo durante el tiempo necesario para alcanzar la finalidad perseguida. En caso de no ser seleccionado se considera el plazo de 1 año como tiempo prudencial a contar desde su envío.

5. ¿La empresa puede pedir referencias a terceros?

SI, bajo determinadas condiciones. La empresa puede pedir referencias siempre y cuando el candidato haya sido informado previamente y lo haya consentido, esto es, que las facilite el propio candidato y la empresa y/o empresa a las que se vayan a pedir cuenten con el consentimiento del exempleado. En caso contrario, se produciría una cesión inconsentida de datos personales entre las empresas.

6. ¿Es el consentimiento la base de legitimación para el tratamiento de datos personales de los candidatos en el proceso de selección?

NO. La base de legitimación para el tratamiento de datos personales del potencial candidato es la adopción de medidas contractuales a solicitud de la persona interesada. No obstante, el consentimiento si será la base de legitimación para la cesión del CV entre empresas del grupo y también para la conservación y el envío de nuevas ofertas vacantes por correo electrónico cuando no ha sido finalmente seleccionado.

7. ¿La empresa puede indagar en los perfiles del candidato en redes sociales?

NO, con carácter general. La indagación en los perfiles de redes sociales de las personas candidatas sólo se justifica si están relacionados con fines profesionales y el tratamiento de los datos obtenidos por esta vía únicamente será posible cuando se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo solicitado y se haya informado a la persona candidata sobre ese tratamiento.

8. ¿Puede usar la empresa herramientas de IA para la selección de personal?

SI, bajo ciertas condiciones. Se tendrá que analizar la viabilidad del sistema de IA, contar con datos suficientes y representativos y que el impacto del error del sistema en los candidatos se bajo, disponer de recursos técnicos para la construcción y el mantenimiento, contar con una estrategia de compliance con evidencias documentales y adoptar unas garantías en beneficio de los trabajadores. Entre otras garantías, realizar un análisis de riesgo y de seguridad, informar a los trabajadores y representantes legales, de forma clara y comprensible, garantizar la intervención humana, personas con formación adecuada y específica; garantizar el derecho a la explicación de decisiones tomadas individualmente; tener un plan de gobernanza de los datos e implementar procedimientos de contratación y control periódico de proveedores IA, si se usa un sistema de IA provisto por terceros.

SEPB. DIRECTRICES SOBRE LA IA GENERATIVA

/en ,

SEPB. DIRECTRICES SOBRE LA IA GENERATIVA

Recientemente, se ha publicado por el Supervisor Europeo de Protección de Datos (SEPD) unas directrices sobre el uso de la inteligencia artificial generativa dirigidas a instituciones, órganos, oficinas y agencias de la Unión Europea, no obstante, puede servir de pauta para su aplicación a la empresa privada.

Las conclusiones que sacamos son las siguientes:

  1. RESPETO RGPD: Los sistemas de IA generativa (IAG) que realizan un tratamiento de datos personales deben respetar las obligaciones de protección de datos y principios establecidos en el RGPD, en particular el de minimización y exactitud.

 

  1. TRATAMIENTO DE DATOS EN CUALQUIER FASE: El tratamiento de los datos personales se puede llevar a cabo en cualquier fase del ciclo de vida del sistema de IA generativa y comportar actividades de tratamiento de recogida, entrenamiento, interacción con el sistema y generación de contenido.

 

  1. SISTEMAS PROPIOS O DE TERCEROS E IDENTIFICACIÓN DE ROLES: Las empresas pueden desarrollar un sistema de inteligencia artificial generativa en su empresa o bien implementar un sistema de inteligencia artificial generativa existente identificando en cualquier caso el rol y las obligaciones de cada uno de los participantes.

 

  1. DATA SETS: Los data sets deben ser cuidadosamente diseñados, estar bien estructurados, seguir un proceso de entrenamiento debidamente supervisado, así como someterse a un seguimiento periódico.

 

  1. GARANTÍAS CONTRACTUALES: Cuando se use data sets de entrenamiento, prueba o validación proporcionados por un tercero, deben obtenerse garantías contractuales y documentación sobre los procedimientos utilizados para garantizar la minimización y la exactitud de los datos utilizados para el desarrollo del sistema.

 

  1. CONTROLES A PROVEEDORES: Cuando un proveedor de IA afirma no tratar datos personales para sus sistemas ya sea por que usa datos anonimizados o datos sintéticos se debe solicitar prueba de los controles adoptados para garantizarlo.

 

  1. BASE JURÍDICA: El tratamiento de datos personales requiere una base jurídica. Los proveedores de servicios de modelos generativos de IA pueden utilizar el interés legítimo como base para el tratamiento de datos, en particular en lo referente a la recogida de datos utilizados para desarrollar el sistema, incluidos los procesos de entrenamiento y validaciones. No obstante, deberán realizar el correspondiente ejercicio de ponderación.

 

  1. ETICA Y NO DISCRIMINACIÓN: La aplicación de procedimientos y mejores prácticas para minimizar y mitigar los sesgos debería ser una prioridad en todas las fases del ciclo de vida de los sistemas generativos de IA.

 

  1. MEDIDAS DE SEGURIDAD: El uso de sistemas de IA generativa puede amplificar los riesgos de seguridad existentes o crear otros nuevos y se deberían integrar controles específicos adaptados a las vulnerabilidades de estos sistemas.

 

  1. EQUIPOS INTERDISCIPLINARES: Desde el punto de vista organizativo en la empresa, la implantación de sistemas de IA generativa cumpliendo con el RGPD no debe ser un esfuerzo unipersonal, sino que debe existir un diálogo continuo entre todas las partes interesadas a lo largo del ciclo de vida del producto.

 

  1. POLÍTICAS Y PROTOCOLOS: Se debe contar con políticas, protocolos y procesos debidamente documentados en relación con el uso de sistemas de inteligencia artificial generativa usados incluyendo un registro de sistemas o aplicaciones, un análisis de riesgos, evaluación de impacto cuando existe un alto riesgo para los derechos y libertades fundamentales de las personas.

 

 

✍️https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/edps-guidelines-generative-ai-embracing-opportunities-protecting-people_en

NOVEDOSA SENTENCIA DEL TRIBUNAL SUPREMO SOBRE LA RESPONSABILIDAD PENAL PERSONA JURÍDICA EN CASOS DE DELITO FISCAL

/en ,

A continuación, unos breves apuntes sobre la reciente sentencia del Tribunal Supremo 298/2024, de 8 de abril de 2024[1].

  1. ANTECEDENTES

El acusado Norberto, representante y apoderado mancomunado de una empresa (TECONSA) y accionista del 51 % del capital social de otra empresa (OPALO INTERIORES) deja declarar a la Hacienda Pública la percepción de retribuciones dinerarias y en especie (rendimientos del trabajo) y la obtención de ingresos irregulares por actividades económicas simuladas que pretendían encubrir la obtención de determinadas cantidades de origen irregular para su propio lucro personal (ganancias patrimoniales no declaradas).

La cantidad defraudada asciende a 288.253 euros cuantía que supera los 120.000 euros por lo que entra en ámbito del delito fiscal. Además del acusado se condenan como cooperadores necesarios a cuatro personas físicas y a tres sociedades ligadas con unos u otros condenados en base a la actuación de sus socios o directivos, y por cuya cuenta actúan.

  1. CUESTIONES DE INTERÉS

Esta sentencia y en lo que aquí interesa en relación con la responsabilidad penal de las personas jurídicas, trata de varias cuestiones interesantes: i) la participación de las personas jurídicas en en el delito cometido por otro, en este caso, la comisión del delito por personas físicas con facultades de administración y dirección sobre la empresa: ii) la concurrencia del beneficio directo o indirecto a favor de la persona jurídica; iii) la carga de la prueba sobre la existencia de un programa de compliance.

  • Sobre el delito cometido por otro y nivel de participación

El artículo 31 bis del Código Penal fija los presupuestos para la concurrencia de responsabilidad penal de la persona jurídica:

“1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho(…)”.

FUNDAMENTO DE DERECHO CUARTO

“La responsabilidad penal de una persona jurídica además de un elemento nuclear positivo (comisión de un delito por quien actúa como directivo o empleado del ente) (i) , otro normativo (que se trate de uno de los delitos en que está prevista esa posible responsabilidad) (ii) y otro negativo (que no esté implantado un plan  de cumplimiento eficaz que haya tenido que ser burlado para la actuación delictiva del agente) (iii) , reclama un elemento accesorio que es pieza imprescindible: el delito, objetivamente considerado y con independencia del móvil del agente, ha de redundar en beneficio directo o indirecto de la persona jurídica (iv)”.

Aquí, la sentencia señala que no es necesaria para que surja la responsabilidad penal de la persona jurídica que el directivo o empleado que actúe por cuenta de ella o a su servicio sea el autor principal del delito ya que el 32 bis piensa en todas las formas de participación.  

FUNDAMENTO DE DERECHO TERCERO:

“(…) Cuando el art. 31 bis habla de «delitos cometidos» por determinadas personas ligadas al ente colectivo está pensando en todas las formas de participación y no solo en la autoría directa.(…) Cuando se habla de comisión de un delito se alude a todos los responsables penales, sea cual sea su participación, y en todas sus formas de aparición, también la tentativa. Quien intenta, sin lograr consumarlo, perpetrar un delito, también ha cometido un delito. Quien induce a otro a ejecutar un delito, ha cometido un delito en la semántica del CP”.

  • Sobre el beneficio directo o indirecto de la persona jurídica

El delito por el que se hace responsables a las personas jurídicas es una defraudación tributaria ligada al IRPF de 2012 de Norberto.

Aquí, la sentencia señala que el beneficio o interés de que habla el art. 31 bis CP ha de estar asociado al delito por el que se hace responsable penal a la persona jurídica. Es necesario que sea precisamente el delito el origen o causa, directa o indirecta, del beneficio.

FUNDAMENTO DE DERECHO SEXTO

“(…)Si observamos desde esa perspectiva lo acaecido, tal elemento (el beneficio) ha de negarse: ni aparece en el hecho probado, ni cabe intuir o imaginar en qué medida el fraude fiscal de Norberto ha podido beneficiar a cada una de esas Sociedades; o qué potencialidad para ello podía albergar”. La negrita es nuestra.

  • Sobre la carga de la prueba sobre la existencia de un plan de compliance

Aquí, la sentencia señala que la carga de la prueba de un plan de cumplimiento eficaz como factor excluyente de la responsabilidad recae sobre la defensa. De forma que concluye:

FUNDAMENTO DERECHO CUARTO

“(…) Se trata de un elemento negativo, lo que, al margen de cuál sea su naturaleza, acarrea ciertas elementalesconsecuencias procesales. Entre otras, que la carga de la alegación de ese factor excluyente de laresponsabilidad recae, en principio, en la defensa. Si ésta se abstiene de proponer prueba alguna al respecto, y no realiza ni siquiera un amago de aportar un plan de cumplimiento y/o demostrar que la empresa seajustaba en su funcionamiento a cada uno de los requisitos que perfila el Código Penal, será legítimo entenderacreditado que no existía tal plan de cumplimiento”.

  1. CONCLUSIONES
  • Para que surja la responsabilidad penal de la persona jurídica no es necesario que el directivo o empleado que actúe por cuenta de ella o a su servicio sea el autor principal del delito ya que la norma está pensada para todas las formas de participación incluidos los inductores y cooperadores.
  • El beneficio o interés económico directo o indirecto ha de estar asociado al delito por el que se hace responsable penal a la persona jurídica. Es necesario que sea precisamente el delito el origen o causa, directa o indirecta, del beneficio.
  • La carga de la prueba de un plan de cumplimiento eficaz como factor excluyente de la responsabilidad recae sobre la defensa.

[1] https://personasjuridicas.es/inc/uploads/2024/04/STS-2024.298.pdf

responsabilidad penal #empresas#beneficio#carga compliance#autoría

USO DE SISTEMAS DE IA: RIESGOS Y RECOMENDACIONES PARA EMPRESAS

/en ,

Se ha aprobado finalmente por el Parlamento Europeo el Reglamento de Inteligencia Artificial como norma pionera en el mundo y que pretende servir de guía para otros países como lo fue en su día el RGPD en el ámbito de la protección de datos de carácter personal.

Se trata de un gran avance en la medida en que en esta norma se intenta buscar un equilibrio entre la innovación y los valores y derechos establecidos por la Unión Europea.

No obstante, lo anterior, nadie duda que el uso de sistemas de inteligencia artificial puede comportar numerosos riesgos que deben ser tenidos en cuenta. A continuación, unas breves ideas para poder situarnos sobre los posibles riesgos existentes:

✅La IA está concebida un como programa de software que se desarrolla mediante técnicas o estrategias que relacionan determinados objetivos predeterminados y generan una respuesta en forma de contenidos, predicciones, recomendaciones o decisiones.

✅El diseño de los algoritmos de IA mediante técnicas de aprendizaje automatizado entre otras, comporta que se traten datos personales. Se introducen datos en el entorno de pruebas y posteriormente se usa el algoritmo.

La toma de decisiones basadas en un algoritmo puede afectar a las personas. P.e. selección de personal, evaluación del rendimiento laboral, concesión de ayudas públicas, concesión de créditos.

Los algoritmos de IA deben programarse y diseñarse de manera adecuada de forma que no se produzcan sesgos, discriminación y lesión de los derechos y libertades de las personas.  Una programación y un diseño erróneo puede comportar un elevado riesgo de discriminación.

✅Los principales riesgos en la fase de diseño son garantizar el principio de minimización, transparencia y seguridad en el diseño y el respeto a la privacidad y a la protección de datos. Y en muchas ocasiones riesgos en conexión con otras normativas

Los algoritmos de IA que contienen datos personales se han de construir y programar respetando la normativa de protección de datos, tener una base de legitimación y garantizar el cumplimiento de los principios de protección de datos.

La IA generativa se entrena con datos, contenidos, imágenes y aprende en función de los datos y el contenido que dispone. Es muy importante que esos datos y contenido sean reales para evitar los sesgos algorítmicos y la infracción de derechos propiedad industrial o intelectual de terceros y problemas de confidencialidad, privacidad. Ej., Chat GPT, Bing, Gemini.

La IA generativa puede comportar problemas específicos en relación con la privacidad, confidencialidad, derechos de autor y propiedad intelectual sobre la obtención de contenidos para entrenar y de los contenidos generados con la IA.

Los empleados de una organización al usar IA generativa deben tener en cuenta que no pueden introducir datos personales ni información confidencial de la empresa o de terceros como tampoco introducir obras protegidas. Se recomienda la redacción de una política de uso de sistemas de IA generativa de forma que conozcan los usos permitidos y prohibidos.

RECOMENDACIONES PARA LAS EMPRESAS EN EL USO DE IA

Los principales retos y desafíos a los que se enfrentan las empresas en el uso de sistemas de IA son, por un lado, ser transparentes e informar a las personas con claridad sobre dicho uso y las consecuencias, incluidos sus derechos, entre otros a recibir explicaciones sobre decisiones basadas en IA y a presentar reclamaciones. Y, por otro lado, evitar sesgos algorítmicos y violaciones de derechos de privacidad, confidencialidad y derechos de autor, secretos empresariales.

A continuación, un listado de recomendaciones que pueden resultar de ayudar:

✅ Valorar la necesidad y proporcionalidad de su uso y tener claro la finalidad para la que quieren ser usados los sistemas de inteligencia artificial.

✅ Realizar un análisis de riesgos para valorar el posible impacto que dicho uso puede tener en las personas adoptando las medidas necesarias de carácter organizativo y técnico para poder mitigarlos.

✅ Contratar con proveedores de sistemas de inteligencia artificial que pueden garantizar el cumplimiento de la normativa y los derechos de las personas y realizar un control periódico de cumplimiento.

✅ Fomentar la intervención humana en la decisión última que puede afectar a la persona y que tiene su origen en el uso de la IA.

Revisar las condiciones de los proveedores de sistemas de inteligencia artificial generativa para averiguar a quién le corresponde la propiedad intelectual de los resultados generados y en su caso, integrar la creatividad e intervención humana de la empresa sobre los resultados obtenidos.

✅Mantener un registro de la documentación generada con inteligencia artificial incluyendo entradas y resultados obtenidos.

✅Disponer de los recursos necesarios, técnicos humanos y materiales a nivel interno que permitan hacer un seguimiento de los sistemas de inteligencia artificial usados en la empresa y del cumplimiento de las normativas que se vayan aprobando.

Formar a los empleados en el uso de sistemas de inteligencia artificial cuando están permitidas para el desarrollo de sus funciones y limitar su acceso a personas autorizadas.

✅Crear una política para los empleados sobre el uso de sistemas de inteligencia artificial generativa donde se informe de usos permitidos y prohibidos. Es básico no introducir información confidencial, ni datos personales, obras protegidas por derechos de propiedad intelectual etc…

✅Fomentar una cultura empresarial de uso responsable de sistemas de inteligencia artificial.

IA#uso responsable# cultura empresarial#sesgos# discriminación

https://www.europarl.europa.eu/news/es/press-room/20240308IPR19015/la-eurocamara-aprueba-una-ley-historica-para-regular-la-inteligencia-artificial

GUÍA AEPD COOKIES ANALÍTICAS EXTERNAS

/en ,

GUÍA AEPD COOKIES ANALÍTICAS EXTERNAS

La mayor parte de las webs usan cookies o tecnologías similares para obtener estadísticas tráfico y de rendimiento. La AEPD flexibiliza los criterios y no es necesario recabar el consentimiento cuando se usan en los siguientes casos:

✅ Medición exclusiva de la audiencia de la página web o aplicación por parte del editor y producción de datos estadísticos anónimos.

✅Los datos no se pueden cotejar con otras operaciones de tratamiento ni tampoco se deben transmitir a terceros.

✅No deben permitir el seguimiento agregado de la navegación de la persona que usa diferentes aplicaciones o navega por varios sitios web.

✅Se establece un listado sobre las mediciones que se consideran estrictamente necesarias.

 

Además, se fijan unas GARANTÍAS para el respeto de los derechos de las personas:

✅ Información al usuario del uso de cookies y tecnologías similares para medición de audiencia en la Política de Privacidad.

✅Duración de 13 meses y no extensión automática en nuevas visitas.

✅La información recopilada se conservará como máximo durante 25 meses.

✅Revisión periódica de la duración y período de conservación.

✅Cuando se acude a un proveedor de servicios de medición externo se debe firmar un acuerdo de encargo de tratamiento y realizar una evaluación del cumplimiento del contrato.

✅Si el proveedor de servicios de medición externo da servicio a varios editores debe ofrecer garantías que los datos se recogen procesan y almacenan de manera independiente para cada editor y que las cookies o tecnologías similares son independientes las unas de las otras y de cualquier otra cookie o tecnología similar.

AEPD#cookies#tecnologías similares#estadísticas tráfico# consentimiento#guía

https://www.aepd.es/guias/guia-cookies-analiticas-externas.pdf

/en ,

TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA Y SENTENCIAS RELEVANTES

EL TJUE SEÑALA QUE EL TEMOR A UN POTENCIAL USO INDEBIDO DE DATOS PERSONALES PUEDE CONSTITUIR POR SÍ SOLO UN DAÑO O PERJUICIO INMATERIAL (MORAL)

El origen de la cuestión prejudicial es el acceso no autorizado a un sistema informático de la agencia pública de recaudación búlgara y publicación en Internet de datos personales.

En relación a los requisitos para una indemnización de daños y perjuicios inmateriales a favor de una persona por la exposición de sus datos personales a raíz de un ciberataque la sentencia afirma que:

✅La comunicación o acceso no autorizado a los datos personales no comporta de forma automática que las medidas de protección no eran apropiadas y los jueces deben examinarlas en cada caso concreto.

✅El responsable debe probar que las medidas son apropiadas

✅Cuando el acceso o la comunicación no autorizada ha sido realizada por terceros, “ciberdelincuentes” se puede obligar al responsable a indemnizar a los que sufren un daño salvo que se puede probar que el hecho que provoca el daño no le es imputable.

El temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un «daño o perjuicio inmaterial».

Indemnización#dañomoral#responsabilidad#ciberataque#datos personales#TJUE

STJUE de 14 de diciembre de 2023

️https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230191es.pdf

EL TJUE DELIMITA LAS CONDICIONES PARA LA IMPOSICIÓN DE MULTAS POR INFRACCIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS

En una reciente Sentencia del Tribunal de Justicia de la Unión Europea (STJUE) se ha delimitado el marco de referencia para que las autoridades de control de protección de datos puedan imponer multas a los responsables del tratamiento por infracción de la normativa de protección de datos.

El origen de la cuestión prejudicial proviene entre otros, de un tribunal alemán en el litigio ocasionado por una multa de 14 millones de euros impuesta por la autoridad de protección de datos alemana a una sociedad inmobiliaria por no tener medidas de seguridad necesarias para la supresión periódica de los datos personales de los arrendatarios que ya no eran necesarios o que se mantenían indebidamente almacenados por otras causas.

En particular, se concluye que:

✅ Sólo las infracciones que se cometen de forma intencionada o negligente pueden comportar la imposición de multas administrativas.

✅Ninguno de los factores del artículo 83.2 del RGPD presupone que se pueda generar responsabilidad del responsable sin una conducta culpable, por lo que, el elemento de la culpa en la comisión de la infracción es un requisito esencial.

No es necesario que la infracción con carácter previo sea imputable o imputada a una persona física concreta en el caso de infracciones cometidas por personas jurídicas.

✅Se puede imponer multa a un responsable del tratamiento por las operaciones efectuadas por un encargado del tratamiento siempre que las operaciones se puedan imputar al responsable.

 ✅El importe máximo de la multa en el caso que el destinatario sea una empresa que forme parte de un grupo de empresas se calcula sobre la base de del volumen de negocios del grupo.

Multas#culpa#infracción#negligencia#TJUE#culpa

✍️ Sentencia deTJUE de 5 de diciembre de 2023

REGLAMENTO EUROPEO PROTECCIÓN DATOS

/en

SE INICIA LA CUENTA ATRÁS

 “Adaptamos su empresa a la nueva normativa europea en protección de datos”

MOTIVOS DE ADAPTACIÓN

  • Porque es una imposición legal y en caso incumplimiento las sanciones oscilan entre los 10 millones y 20 millones de euros.
  • Afecta a empresas y a trabajadores autónomos con independencia de su tamaño y facturación y si se han adaptado previamente a la LOPD.
  • Adopción de medidas de seguridad «a medida y adecuadas» en función del análisis de riesgos de los tratamientos de datos de carácter personal.
  • Para potenciar la imagen de marca y generar transparencia al usuario.

Para más información contacte con nosotros y diríjase al profesional especializado rocio.rossello@crconsultoreslegales.com y estaremos encantados de ayudarle.

 

 

 

IP DINAMICA Y DATO DE CARACTER PERSONAL

/en

La IP dinámica recibe la consideración de dato de carácter personal siempre que la persona física pueda ser identificada o identificable, se cumplan los requisitos impuestos por la Sentencia del Tribunal de Justicia de la Unión Europea de 19 de octubre de 2016 (STJUE) y su consideración de dato personal se incluya dentro de los supuestos contemplados en el Reglamento de Protección de Datos (RPD). Los requisitos que fija la STJUE y el RPD son los siguientes:

  1. Una persona física es identificada por norma general a través de su nombre y apellidos, dirección de correo electrónico. La dirección IP dinámica no es una información relativa a persona física identificada puesto que con esa dirección no se revela la identidad de la persona física propietaria del ordenador desde el cual se realiza la conexión a Internet y consulta del sitio web, sin embargo, la persona física puede ser identificable a través de su dirección IP.
  2. Se considera que una persona física puede ser identificable cuando su identidad pueda determinarse directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social. Haciendo una interpretación más extensiva de la identificación indirecta y de acuerdo con el Reglamento Europeo de Protección de Datos, se puede identificar indirectamente a una persona además de con un número de identificación (DNI o Pasaporte), con datos de localización y con datos de identificadores en línea, incluimos dentro de los datos de identificadores en línea, las direcciones de los protocolos de internet donde se incluye la IP.
  3. Para determinar si una persona es identificable según la STJU hay que tener en cuenta el conjunto de medios que pueden ser razonablemente usados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona. Se considera que no existen medios razonables cuando la identificación del interesado está prohibida por ley o sea irrealizable por el esfuerzo que supone teniendo en cuenta los costes, el tiempo y los recursos humanos.
  4. Respecto a la consideración de dato personal de las direcciones IP dinámicas registradas por un proveedor de servicios en línea cuando una persona consulta su página web, será considerado como dato personal sujeto a la normativa de protección de datos, siempre y cuando el proveedor de servicios antes citado disponga de la información adicional que permite asociar la dirección IP con esa persona física.

Aquí nos preguntamos si el combinar la dirección IP dinámica que dispone el proveedor de servicios en línea con los datos que dispone el proveedor de acceso a Internet es un medio que pueda ser razonablemente utilizado para identificar al interesado. De entrada apuntar que por norma no será posible la cesión de dichos datos «información adicional» por parte del proveedor de acceso a internet al proveedor de servicios en base al deber de sigilo respecto a los datos de carácter personal, sin embargo, este puede solicitar dicha información en el marco de una investigación penal o en caso de ataques cibernéticos. Por lo tanto en estos casos, el proveedor de servicios dispone de medios que pueden usarse razonablemente para identificar a la persona física con la ayuda del proveedor de acceso o de la autoridad judicial competente.

Conclusión: la IP dinámica es un dato personal para el proveedor de productos y servicios en Internet cuando este dispone de medios legales para identificar a la persona interesada gracias a la información adicional facilitada por el proveedor de acceso a Internet.

EL DERECHO AL OLVIDO DE LOS EMPRESARIOS

/en

En numerosas ocasiones, se ha tratado la cuestión del derecho al olvido en el ámbito de las personas físicas, y asociado el borrado del rastro digital bajo determinadas circunstancias.

Recordamos, a modo de apunte, el caso de un ciudadano español en el cual se obligaba al motor de búsqueda Google a eliminar de la lista de resultados obtenida a través de una búsqueda efectuada a partir del nombre de una persona, los vínculos a páginas web publicadas por terceros y que contenían información relativa a esa persona, aunque no se hubieran borrado previa o simultáneamente de aquellas páginas web y aunque la publicación en dichas páginas fuera lícita. En aquel caso concreto, prevalecía el derecho del interesado a proteger su vida privada, sobre el derecho a la información y a la libertad de prensa de los terceros que accedían a Internet en busca de información de esa persona en cuestión y sobre los intereses económicos del gestor del motor de búsqueda.

Ahora se ha publicado una sentencia del Tribunal de Justicia de la Unión Europea[1] que trata del derecho al olvido y/o supresión digital de los datos de carácter personal de los representantes de las empresas, personas físicas, en el ámbito de las sociedades de responsabilidad limitada y anónimas publicados en los Registros mercantiles o registros de sociedades.

La cuestión prejudicial planteada al Tribunal de Justicia de la Unión Europea tiene su origen, en un pleito iniciado por un empresario italiano, que solicitó ante los tribunales de su país que la información relativa a sus datos de representación (nombre y apellidos y cargo) en una empresa de la que había sido administrador único y liquidador mucho tiempo atrás y que ya estaba disuelta, se eliminarán del registro de sociedades, porque le perjudicaban en la venta de unos inmuebles de una sociedad en la cual también figuraba como administrador único.

En este caso, el TJUE afirma que debemos acudir a la finalidad de la inscripción de dichos datos en el Registro para poder ponderar los intereses en juego, esto es, si prevalece por un lado, el interés de la persona física a solicitar que se supriman o se bloqueen tras un determinado lapso de tiempo los datos personales inscritos o que se restrinja su acceso, o por contra, primar los intereses de terceros que en base al principio de publicidad registral, le permiten conocer los actos esenciales de la sociedad y los datos de la identidad de las personas que tienen el poder de obligarla.

En el caso particular del empresario italiano, para determinar si prevalece el interés de aquel en la eliminación de dichos datos de representación una vez disuelta la sociedad sobre el principio de publicidad registral, el Abogado General sostiene que es posible que dichos datos sean necesarios mucho tiempo después, para averiguar los actos que ha realizado dicha sociedad mientras estaba activa o incluso para interponer acciones contra los miembros de sus órganos o liquidadores y más cuando estamos ante sociedades que tienen limitada su responsabilidad al patrimonio social. Este hecho, unido a la heterogeneidad de los plazos de prescripción previstos por las diferentes normas nacionales impide que se pueda establecer un plazo único para poder eliminar o bloquear dichos datos.

En conclusión y de acuerdo con la Sentencia, prevalece de entrada la necesidad de proteger los intereses de terceros en su relación con las sociedades anónimas y las sociedades de responsabilidad limitada, para garantizar la seguridad jurídica frente a los intereses particulares.

La valoración sobre las razones preponderantes y legítimas, y si está excepcionalmente justificado, le corresponderá a los diferentes Estados miembros de acuerdo con sus legislaciones nacionales.

 

 

 

 

[1] Sentencia del Tribunal de Justicia de la Unión Europea de 9 de marzo de 2017 http://curia.europa.eu/juris/document/document.jsf?text=&docid=188750&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=503360.

EL PRINCIPIO DE RESPONSABILIDAD PROACTIVA EN EL TRATAMIENTO DATOS PERSONALES

/en

Tras la aprobación del Reglamento europeo de protección de datos, aquellas empresas tratan datos por sí mismos y/o que contratan servicios de terceros, deben extremar su diligencia.

Esta máxima diligencia se aplicará tanto en el tratamiento propio de los datos personales que realice en el normal desarrollo de su actividad como en la elección del proveedor adecuado que accede y/o trata datos de carácter personal por razón de la prestación de un servicio al responsable del tratamiento.

El Reglamento europeo fija el principio de la responsabilidad proactiva del responsable del tratamiento de los datos personales, en la elección de los proveedores con los que trabaja debiendo asegurarse que aquellos cumplen con la normativa europea de protección de datos en relación a la implantación de medidas técnicas y organizativas apropiadas, para garantizar un nivel adecuado de protección en consonancia al riesgo que suponga el tratamiento de los datos personales.

Ya no basta con cumplir un artículo u otro de la normativa, sino que se tiene que poder demostrar que el tratamiento de los datos de carácter personal es acorde con las disposiciones del Reglamento y además se ha de estar en disposición de acreditarlo ante cualquier requerimiento del organismo competente.

Para demostrar el cumplimiento por parte del responsable del tratamiento de los datos, la normativa alude a la adhesión a códigos de conducta o mecanismos de certificación.

De acuerdo con lo dispuesto en la reciente guía[1] publicada por la AEPD con la colaboración de la Agencia catalana y vasca de protección de datos, el principio de responsabilidad proactiva supone “un actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleve a cabo.

¿Quién es responsable del tratamiento?

Es responsable aquel que decide sobre la finalidad y usos del tratamiento. Tiene un poder de decisión sobre qué hacer con los datos de carácter personal.

¿Quién es encargado del tratamiento?

Es encargado aquel accede y/o trata los datos de carácter personal de acuerdo con las instrucciones del Responsable por razón de la prestación de un servicio al responsable. No tiene poder de decisión sobre las finalidades del tratamiento de los datos, ni los puede usar para su interés propio. Numerosos ejemplos de encargados de tratamiento enumeran la Guía, en atención al servicio prestado de acuerdo con el ciclo de la vida de los datos personales que van desde la recogida, el registro, la organización, estructuración, modificación, extracción, consulta, uso, comunicación por transmisión, difusión, cotejo, interconexión, supresión y destrucción.

Son encargados de tratamiento más comunes los prestadores de servicios de hosting, las gestorías que confeccionan las nóminas, los prestadores de servicios informáticos, los prestadores de servicios de envío de cartas y paquetería, los prestadores de servicios de destrucción confidencial, gestores de servicios públicos municipales.

¿Quién debe adoptar las medidas técnicas y organizativas?

Tanto el responsable como el encargado han de implantar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento del Reglamento y en particular la pseudonimización de los datos personales, la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento, la restauración de datos personales en cuanto acceso y disponibilidad en caso de incidente físico o técnico y la verificación regular que dichas medidas garantizan la seguridad del tratamiento.      

Para la aplicación de estas medidas se tendrá en cuenta: i) el estado de la técnica; ii) los costes de la aplicación; iii) la naturaleza, alcance, contexto y fines del tratamiento; iv) riesgos para los derechos y deberes de las personas físicas.

Al responsable se le traslada la carga de la prueba de acreditar que ha sido diligente en la elección del encargado y que éste ofrece garantías suficientes de cumplimiento del Reglamento en cuanto a conocimientos especializados, fiabilidad y recursos.

¿Cómo puede probar el responsable que el encargado cumple?

El responsable tendrá que solicitar al encargado que le demuestre el cumplimiento de las medidas de seguridad necesarias en el acceso y tratamiento de los datos personales por cuenta del Responsable.

La forma más rápida que establece el Reglamento es que aquel se haya adherido a códigos de conducta o que tenga un certificado de cumplimiento de protección de datos emitido por la autoridad de control competente y/o por organismo de certificación acreditado.   Es importante en este punto evaluar la facilidad o en su caso dificultad de la obtención de dichos certificados por parte de la pequeñas y medianas empresas.

Debe asegurarse que el encargado implanta las medidas técnicas y organizativas antes citadas. La descripción detallada de las medidas se especificará en el contrato con el encargado o bien se fijarán de acuerdo con un código de conducta, sello, certificación u otro estándar donde queden reflejadas las medidas, las cuales a la fecha están pendientes de aprobación.

Para ello, el responsable deberá realizar en todo caso una valoración del riesgo del tratamiento de datos personales para los derechos y libertades de las personas de conformidad con el servicio prestado por el encargado.

Asociada a esta cuestión es de importancia capital citar la Sentencia del Juzgado de lo Penal número 6 de Barcelona donde se absuelve a un empleado de un delito continuado de descubrimiento de secretos en cuanto al acceso ilegítimo a buzones de correo electrónico corporativo y de un delito de revelación de secretos en relación a la remisión a ochenta cuentas de correo corporativo de documentos que contenían datos laborales y salariales de los trabajadores de la Corporació Catalana de Mitjans Audiovisuals (CCMA), de TV3 y de Catalunya Radio, debido a que las medidas de seguridad adoptadas por la corporación eran insuficientes.

Estas medidas de seguridad eran insuficientes porque:

  1. No había usuario y contraseña para acceder al Departamento afectado (Post-producción) por lo que no había un control de accesos a los equipos o al propio departamento, el acceso al mismo se producía mediante tarjeta y luego quedaba abierto para todos los integrantes (8-9 personas).
  2. Cualquiera podía instalar software sin supervisión, en este caso se instaló un sistema TOR y web Proxy y no existía ningún tipo de control.
  3. Los ordenadores corporativos sí tenían password y contraseña, pero se bloquean al transcurrir un largo período de tiempo, por lo que hasta el bloqueo cualquiera podía entrar en el ordenador del otro.
  4. Desde los ordenadores del Departamento afectado se podía acceder a Internet con posibilidad de acceso a los ordenadores corporativos introduciendo la contraseña.
  5. Las contraseñas no estaban encriptadas.

En conclusión, a partir de este momento y hasta la definitiva entrada en vigor del Reglamento de Protección de Datos, mayo de 2018 el responsable del tratamiento deberá adoptar el mismo las medidas técnicas y organizativas en el tratamiento de datos personales teniendo en cuenta estado de la técnica, los costes de la aplicación, naturaleza, alcance, contesto y fines del tratamiento y riesgos para las personas físicas y extremar la diligencia en cuanto a la elección de los proveedores-encargados del tratamiento- con los que trabaja y que acceden y/o tratan datos personales del responsable asegurándose que cumplen.

[1] https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf