Tag Archives: Datos personales

Diez requisitos de privacidad que debe cumplir el Certificado Verde Digital

Según informa la Comisión Europea, el Certificado Verde Digital de Vacunación (CVD) es una acreditación digital que contribuirá a garantizar que las restricciones actualmente en vigor puedan suprimirse de manera coordinada, facilitando la movilidad de los ciudadanos de la Unión Europea. Este certificado incluirá únicamente la información clave necesaria, como el nombre, la fecha de nacimiento, la fecha de expedición, la información pertinente sobre la vacuna / la prueba / la recuperación y un identificador único. En principio, la intención del Gobierno de España es tenerlo implantado en junio de este año, de modo que sea plenamente funcional de cara a los meses de verano.

aeropuerto, gente, maletas

 

Puesto que este es un proyecto que ha generado algo de controversia, a continuación, Ruth Benito, Of Counsel de ELZABURU y especialista en derecho de protección de datos personales y privacidad, realiza un análisis de los requisitos que a nivel de privacidad se espera de dicho certificado en su puesta en marcha:

1.- Protección de Datos y seguridad desde el diseño y por defecto

Este es el primer punto por dos motivos, fundamentalmente:

  1. Contrariamente a lo que se suele pensar, aplicar criterios de privacidad y seguridad desde el inicio de cualquier proyecto ayuda a sacar éste adelante con mejores resultados a nivel de eficacia del propio proyecto y de confianza de los individuos, minora los riesgos para estos y evita tener que realizar posteriores ajustes.
  2. Nos preocupa que en la propuesta de Reglamento europeo sobre el Certificado Verde Digital (CVD) se haya indicado que no se ha llevado a cabo una Evaluación de Impacto dada la urgencia existente, cuando tales evaluaciones son uno de los instrumentos que más confianza pueden aportar a la ciudadanía.

2.- Transparencia total

Los ciudadanos europeos tenemos derecho a conocer con exactitud cuál es la información que este certificado va a manejar sobre nosotros, cómo se va a manejar y quiénes son los implicados en dicho manejo.

La futura publicación del Reglamento sobre el CVD (ahora mismo sólo propuesta) aportará bastante información al respecto, pero aún quedarán muchas particularidades propias de cada Estado miembro, sobre todo respecto a las empresas, tecnología y medidas de seguridad aplicadas en cada caso.

3.- No discriminación

Algo en lo que varios países han hecho hincapié es que este CVD no debe permitir que se produzca ningún tipo de discriminación.

Este Certificado se crea para facilitar la libre circulación de los ciudadanos europeos de manera segura entre los Estados miembros de la UE. Por lo tanto, debe garantizarse que sólo se utilizará para este fin y no para otras cuestiones que podrían implicar discriminación, ni siquiera por parte del propio titular del certificado, como por ejemplo si se aprovechara en procesos de selección para puestos de trabajo.

Cabe cuestionarse si el CVD ya viene de serie con una cierta discriminación y es que aquellos que no se hayan podido vacunar aún ni hayan pasado la enfermedad, tendrán que costearse unas pruebas diagnósticas, cuyo resultado pueda figurar en el Certificado o puedan acreditarlo por otra vía a efectos de poder viajar.

4.- Utilidad y eficacia reales

La información reflejada en el CVD debe estar actualizada en todo momento, pero también debe ser apropiada para el objetivo perseguido. Este es un punto que parece que a día de hoy no se ha resuelto de manera total y es que no se tiene aún evidencia científica de que las personas inmunizadas, bien por haber pasado la enfermedad bien por haber sido vacunadas, no sean transmisoras de la enfermedad, es decir que no puedan contagiar a otros.

Por otra parte, tampoco se sabe, por ser pronto aún, cuánto tiempo durará esa inmunidad. En consecuencia, la información no parece todo lo fiable que sería deseable para los fines que se persiguen, lo que puede chocar con el principio de exactitud de los datos. Entendemos que se debe ir avanzando en la cuestión y que se tendrán en cuenta las conclusiones y evidencias científicas para realizar los ajustes necesarios en el sistema que garanticen la mayor eficacia del mismo con una correcta utilización de nuestros datos personales.

5.- Minimizar los datos

Tanto los que se manejen en las “tripas” del CVD como los que finalmente se reflejen en la aplicación o el papel a la hora de viajar, deben ser los mínimos realmente necesarios para el objetivo perseguido.

No sabemos aún con exactitud cuál será la información que se muestre cuando se haga uso del pasaporte, pero es algo que debe analizarse con detalle. Por ejemplo, podría bastar con una especia de “Apto” o “No apto” para viajar, si no hiciera falta conocer cuál es la situación que habilita a la persona (estar vacunado, haber pasado la enfermedad o tener una prueba diagnóstica con resultado negativo), o podría ser necesario conocer la situación concreta habilitante pero no hacer falta, a efectos de permitir el acceso al territorio, saber qué vacuna concreta se ha inoculado, o qué tipo de test se ha realizado, etc.

6.- Vigilar a los compañeros de viaje

Las autoridades nacionales deberán evaluar si los proveedores de la tecnología, infraestructura, almacenamiento, etc., ofrecen garantías suficientes a fin de que el manejo de esa información personal, que es sensible, se realice con las medidas de seguridad apropiadas y no se vayan a producir injerencias injustificadas en los derechos de los ciudadanos europeos. En todo caso, entendemos que la empresa o empresas elegidas, de cara a España, deberán cumplir con las medidas que resulten necesarias en virtud del Esquema Nacional de Seguridad.

7.- Interoperabilidad

Tal y como ya se recoge en la propuesta de Reglamento europeo, deben reunirse unas condiciones uniformes para la expedición, verificación y aceptación de los certificados en todos los países de la UE. De otro modo no se estaría facilitando realmente la movilidad de los europeos en territorio de la Unión.

8.- Universal y gratuito

La propuesta de Reglamento también prevé, acertadamente, que el CVD debe ser universal y gratuito, lo que no significa que tenga que permitirnos viajar gratis y por todo el mundo (¡ya quisiéramos!), sino que todos los europeos deben poder acceder al certificado de manera gratuita.

La gratuidad es realmente una condición para que el CVD sea universal. Pero también debe garantizarse que podrán beneficiarse del mismo de manera efectiva ciertos sujetos vulnerables, como por ejemplo menores de edad (quienes además no están recibiendo la vacuna), personas con discapacidad (accesibilidad) o personas desfavorecidas por la brecha digital.

9.- El que parte y reparte se lleva un tortazo

Esto no es una tarta de la que se pueda sacar tajada. Por lo tanto, las autoridades y compañías involucradas en el CVD, fuera de los fines previstos, no pueden compartir la información sanitaria de los europeos o aprovecharla en modo alguno y los operadores transfronterizos de servicios de transporte de viajeros que deban acceder a los certificados, no deberían generar sus propias bases de datos con la información de éstos.

10.- Que no venga para quedarse

El CVD sólo tiene sentido, y por tanto justificación y legitimación, mientras dure la pandemia y/o emergencia sanitaria. Por lo tanto, superada tal situación (ojalá sea más pronto que tarde), tanto el certificado como la tecnología que lo sustenta debe cesar y la información sanitaria de los europeos que haya quedado almacenada en los sistemas del CVD debe ser eliminada.

 

Anteriormente publicado en Confilegal, por Luis Javier Sánchez.

Para más información, puede escuchar la entrevista en la que participó Ruth Benito para Ventaja Legal, de Capital Radio.

Autora: Ruth Benito

Visite nuestra página web

Datos personales. Salvaguardas para el Brexit

Si tu empresa tiene algún proveedor, matriz, filial, partner o colaborador establecido en Reino Unido, es muy probable que esté transfiriendo datos personales a dicho país. En ese caso es sumamente conveniente saber qué puede hacerse, si finalmente llega el Brexit, para poder seguir transfiriendo esa información y beneficiándose de esas relaciones sin incumplir la normativa sobre protección de datos ni exponerse a duras sanciones por ello.

Y es que, una vez se haya consumado la desvinculación de Reino Unido, las comunicaciones de datos personales a dicho país serán consideradas como Transferencias Internacionales de Datos (TID), al pasar a ser un país tercero de la UE y del EEE.

 

El Reglamento General de Protección de Datos (RGPD) es la normativa más estricta en materia de privacidad a nivel mundial. De ello se deriva que, en caso de que los datos se envíen a un país fuera del Espacio Económico Europeo (EEE), el nivel de seguridad y garantías disminuyen. Así, la regla general es que no se permiten esos flujos de datos salvo que se cumpla alguno de los siguientes supuestos:

  • Que el país de destino de los datos cuente con una Decisión de Adecuación: la Comisión Europea, tras estudiar la normativa de privacidad del país, considera que reviste las garantías suficientes para estar acorde al nivel europeo, como ha sido el reciente caso de Japón el pasado 24 de enero. Sin embargo, aunque el Reino Unido ha adaptado su legislación nacional al Reglamento europeo de Protección de Datos (el RGPD), el Comité Europeo de Protección de Datos o CEPD (el antiguo Grupo de Trabajo del Artículo 29) ya apunta que, a día de hoy, no cuenta con tal decisión de adecuación y lo cierto es que su tramitación puede llevar un tiempo precioso durante el que no se pueden paralizar los flujos de datos al Reino Unido.
  • Que se hayan adoptado garantías adecuadas: aun sin contar el país de destino con una decisión de adecuación, se puede habilitar la transferencia de datos si se cuenta con alguna de las garantías que la avalan, de las cuales las más importantes son:
    • Cláusulas tipo: previsiones contractuales que obligan al receptor de los datos a adoptar medidas y garantías que permiten un nivel de protección equiparable al europeo.
    • Normas corporativas vinculantes: más conocidas por sus siglas en inglés, las BCR (Binding Corporate Rules), consisten en un conjunto de normas políticas o códigos de conducta jurídicamente vinculantes que un grupo de empresas diseña e implanta, con la finalidad de ofrecer las garantías suficientes para que las transferencias de datos intra grupo resulten seguras. Es un mecanismo exclusivo para los grupos empresariales, y deben presentarse a la Autoridad de Control pertinente para su revisión y, en su caso aceptación.
  • Códigos de conducta y mecanismos de certificación: estos mecanismos son una novedad introducida por el RGPD. Los códigos de conducta consisten en normas sectoriales de autorregulación, el planteamiento es similar al de las BCR pero en lugar de a un grupo industrial, aplicado a un sector empresarial. De otra, el RGPD establece la posibilidad de la creación de mecanismos de certificación en materia de protección de datos (tales como sellos o marcas) a fin de demostrar el cumplimiento de la normativa aplicable. El CEPD está actualmente trabajando en una serie de directrices para armonizar estas condiciones.
  • Que resulte aplicable alguna de las excepciones tasadas: el RGPD deja algo de margen, estableciendo que, aun cuando la TID esté dirigida a un destino que no se considere seguro, ni tampoco se haya blindado la comunicación con garantías adecuadas, se podrá llevar a cabo en caso de que se pueda amparar en algunas de las situaciones excepcionales que contempla. El CEPD ya advierte que, al tratarse de excepciones deben ser interpretadas de una manera estricta, debiendo acudir a las mismas sólo de manera ocasional y no como regla general.

De esta suerte, aun cuando el Reino Unido no lograra alcanzar un acuerdo antes de su marcha definitiva, o si dicho acuerdo no contempla previsiones en materia de protección de datos, no conllevaría necesariamente el aislamiento de flujos de datos personales de la UE, si bien su fluidez dependerá de la decisión que le merezca a la Unión Europea, y de la anticipación o rápida respuesta por parte de las empresas del resto de Europa que tengan relación con el Reino Unido.

Actualización enero 2020:

El pasado 31 de diciembre de 2020, se alcanzó el “Acuerdo de Comercio y Cooperación entre la Unión Europea y la Comunidad Europea de la Energía Atómica, por una parte, y el Reino Unido de Gran Bretaña e Irlanda del Norte, por otra”.

Este acuerdo tiene un carácter exhaustivo y, entre otros muchos aspectos, trata la regulación de los flujos de datos entre la Unión Europea y el Reino Unido. Así, en el artículo FINPROV.10ª de este Acuerdo se establece que la transmisión de datos personales de la UE al Reino Unido no se considerará Transferencia Internacional de Datos en tanto no transcurran cuatro meses (más dos de prórroga) desde la fecha del Acuerdo.

Las partes en el Acuerdo prevén que, antes de este plazo, se habrán realizado todas las acciones necesarias para que el Reino Unido cuente con una Decisión de Adecuación que ampare los flujos de datos personales internacionales de la UE a aquel.

Autores: Fernando Díaz y Ruth Benito

Visite nuestra página web: http://www.elzaburu.es/ 

Nueve cuestiones básicas sobre la nueva Ley de Protección de Datos (II)

Derechos digitales

Adicionalmente al campo de protección de datos, en su Título X la norma establece una discutida, entre los profesionales del sector, y discutible serie de previsiones en relación con derechos en el ámbito digital como son la neutralidad de Internet, su acceso

universal, su promoción en el ámbito educativo o la ampliación del derecho al olvido al ámbito de las RRSS.

En el ámbito laboral

En relación con el ámbito laboral establece una amplia protección a los trabajadores, descargando en el empleador la necesidad de adaptar sus políticas internas a factores nuevos como son:

  1. a) Protección de la intimidad en el uso de dispositivos digitales y acceso tasado a su contenido.
  2. b) Desconexión digital, a fin de garantizar el respeto al tiempo de descanso fuera del tiempo de trabajo.
  3. c) Mayor regulación de las condiciones para la videovigilancia y grabación de sonidos válida.
  4. d) Derecho de la intimidad del trabajador frente a sistemas de geolocalización.
Herencia digital

Salvo estipulación testamentaria en contrario, los herederos, personas vinculadas al fallecido y/o que hayan sido designadas por él, podrán acceder a sus contenidos en redes sociales y plataformas digitales y dar instrucciones a los prestadores de estos servicios sobre su uso, modificación, destino y eliminación.

Acceso a la primera parte de este post aquí

Autores: Ruth Benito y Fernando Díaz

Visite nuestra página web: http://www.elzaburu.es/

Nueve cuestiones básicas sobre la nueva Ley de Protección de Datos (I)

El 6 diciembre ha sido publicada en el BOE la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) que fue aprobada por el Pleno del Senado el anterior 21 de noviembre.

Si bien el Reglamento General de Protección de Datos (RGPD) no deja a los Estados miembro de la UE un margen de actuación muy amplio, motivo por el que la nueva Ley se remite con frecuencia a dicho Reglamento, sin embargo, ésta sí contempla algunas previsiones novedosas que reflejamos en este post informativo.

El Delegado de Protección de Datos

Adicionalmente a las previsiones que ya contempla el Reglamento General de Protección de Datos (RGPD) al respecto, la norma establece un total de 16 supuestos en los que resulta preceptivo que se designe a un DPD.

Así, empresas de publicidad que lleven a cabo profiling, operadores que desarrollen la actividad del juego vía canales electrónicos, entidades aseguradoras, centros docentes o empresas de servicios de inversión relacionadas con el mercado de valores, entidades financieras y ciertas compañías energéticas, entre otras, se verán afectadas por esta previsión.

Transparencia e información

Mediante su artículo 11, la LOPDPGDD convierte en norma lo que hasta ahora venían siendo recomendaciones de la Agencia Española de Protección de Datos y del antiguo Grupo de Trabajo del Artículo 29 en relación con el sistema de información en doble capa.

De este modo, si ahora se acude a este método de información por niveles, necesariamente la primera capa deberá contener como mínimo los aspectos que este artículo 11 exige:

  1. La identidad del responsable y, en su caso, su representante.
  2. La finalidad del tratamiento.
  3. La posibilidad de ejercer los derechos de protección de datos.
  4. Si los datos no se obtienen directamente del titular, además el tipo de datos y su fuente de obtención.

Menores de edad

Mantiene el criterio del límite de edad en los 14 años e introducen previsiones en pro de la defensa del menor y su interacción con el ámbito digital, como son la posible intervención del Ministerio Fiscal en aquellos casos de utilización o difusión de imágenes e información personal de menores en las RRSS en caso de que estos supongan una intromisión ilegítima en sus derechos fundamentales.

Interés legítimo e interés público

Se recogen expresamente determinados tratamientos de datos respecto de los cuales se presume que el responsable tiene interés legítimo o que se llevan a cabo con base en el interés público.

Respecto a los primeros, encontraríamos los sistemas de información crediticia, la modificación estructural de sociedades o su traspaso y el caso de los datos de contacto de empresarios individuales y profesionales liberales, siempre y cuando su tratamiento se circunscriba únicamente al ámbito profesional en tanto a su localización y contacto para prestación de servicios especializados.

Por su parte, en relación con el interés público, tenemos la videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas.

La polémica sobre los partidos políticos

En sus disposiciones finales, la nueva LOPD contempla la modificación de la Ley del Régimen Electoral, permitiendo a los partidos políticos la recopilación y uso de datos recabados a través de páginas web y otras fuentes de acceso público, así como avalar el envío de propaganda electoral, incluso por vía electrónica, al confirmar que dicha propaganda no debe considerarse como comunicación comercial.

Desde un punto de vista técnico, destaca la consideración implícita de las páginas web como fuentes de acceso público, ya que hasta ahora Internet no era considerada como tal.

Sistema de sanciones

La norma concreta y gradúa las conductas infractoras de la normativa de protección de datos en las tradicionales categorías de (i) leve, (ii) grave y (iii) muy grave, manteniendo las cuantías ya asentadas en el RGPD, que oscilan entre un mínimo de 10.000.000€ o el 2% de facturación anual global y un máximo de 20.000.000€ o el 4% de facturación anual global.

 

Acceso a la segunda parte de este post aquí

Autores: Ruth Benito y Fernando Díaz

Visite nuestra página web: http://www.elzaburu.es/

¿Cuándo pueden las autoridades públicas acceder a los datos de las tarjetas SIM?

Acceso de las autoridades públicas a los datos electrónicos que permiten identificar a los titulares de las tarjetas SIM activadas con un teléfono móvil sustraído: no limitado a delitos graves al ser injerencia no grave en derechos fundamentales.

El 16 de febrero de 2015 el Sr. Hernández Sierra presentó una denuncia ante la Policía española por un robo con violencia, durante el cual resultó herido y le sustrajeron la cartera y el teléfono móvil. El Juzgado de Instrucción denegó el 5 de mayo de 2015 la solicitud efectuada por la Policía Judicial consistente en que se ordenase a diversos proveedores de servicios de comunicaciones electrónicas la transmisión de los números de teléfono activados, desde el 16 de febrero hasta el 27 de febrero de 2015, con el código IMEI del teléfono móvil sustraído, así como los datos personales o de filiación de los titulares o usuarios de los números de teléfono correspondientes a las tarjetas SIM activadas con dicho código, como su nombre, apellidos y, en su caso, dirección.

El Ministerio Fiscal recurrió en apelación la denegación de dichas diligencias, invocando la sentencia del Tribunal Supremo de 26 de julio de 2010 en un caso similar. La Audiencia Provincial de Tarragona decidió suspender el procedimiento, recordando la modificación de la Ley de Enjuiciamiento Criminal (operada por la Ley Orgánica 13/2015, de 5 de octubre, para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica) y planteó dos cuestiones prejudiciales ante el TJUE:

1.- ¿La suficiente gravedad de los delitos como criterio que justifica la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE puede identificarse únicamente en atención a la pena que pueda imponerse al delito que se investiga o es necesario, además, identificar en la conducta delictiva particulares niveles de lesividad para bienes jurídicos individuales y/o colectivos?

2.- En su caso, si se ajustara a los principios constitucionales de la Unión, utilizados por el TJUE en su sentencia de 8 de abril de 2014 [Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238] como estándares de control estricto de la Directiva, la determinación de la gravedad del delito atendiendo solo a la pena imponible ¿cuál debería ser ese umbral mínimo? ¿Sería compatible con una previsión general de límite en tres años de prisión?

El TJUE resuelve ambas cuestiones en su sentencia de 2 de octubre de 2018 (asunto C-207/16).

En esta sentencia se declara que, conforme al principio de proporcionalidad, en el ámbito de la prevención, investigación, descubrimiento y persecución de delitos solo puede justificar una injerencia grave el objetivo de luchar contra la delincuencia que a su vez esté también calificada de grave. Sin embargo, cuando la injerencia que implica dicho acceso no es grave, puede estar justificada por el objetivo de prevenir, investigar, descubrir y perseguir delitos en general.

Los datos solicitados por la Policía española solo permiten vincular, durante un período determinado, la tarjeta o tarjetas SIM activadas con el teléfono móvil sustraído y los datos personales o de filiación de los titulares de estas tarjetas SIM. Sin un cotejo con los datos relativos a las comunicaciones realizadas con esas tarjetas SIM y de localización, estos datos no permiten conocer la fecha, la hora, la duración o los destinatarios de las comunicaciones efectuadas con las tarjetas SIM en cuestión, ni los lugares en que estas comunicaciones tuvieron lugar, ni la frecuencia de estas con determinadas personas durante un período concreto. Por tanto, dichos datos no permiten extraer conclusiones precisas sobre la vida privada de las personas cuyos datos se ven afectados, no pudiendo calificarse de injerencia grave en los derechos fundamentales de esos individuos.

La injerencia que supone el acceso a dichos datos puede estar justificada por el objetivo de prevenir, investigar, descubrir y perseguir delitos en general, al que se refiere el artículo 15, apartado 1, primera frase, de la Directiva 2002/58, sin que sea necesario que dichos delitos estén calificados como graves.

En consecuencia, se declara que el acceso de las autoridades públicas a los datos que permiten identificar a los titulares de las tarjetas SIM activadas con un teléfono móvil sustraído, como los nombres, los apellidos y, en su caso, las direcciones de dichos titulares, constituye una injerencia en los derechos fundamentales de estos, consagrados en los citados artículos de la Carta, pero no presenta una gravedad tal que dicho acceso deba limitarse a la lucha contra la delincuencia grave en el ámbito de la prevención, investigación, descubrimiento y persecución de delitos en general.

Esperemos que esta sentencia contribuya a despejar las reticencias de nuestros Tribunales a la hora de prevenir, investigar, descubrir y perseguir cualquier tipo de delito en el que se requiera la adopción de medidas de investigación tecnológicas, ponderando los distintos intereses en juego pero sin frustrar las posibilidades reales de esclarecimiento de los hechos.

Autor: Juan José Caselles
Visite nuestra página web: http://www.elzaburu.es/

Buscar

Archivo

Formulario de suscripcion

Sí, soy humano*

Se ha enviado un mensaje de confirmación; por favor, haga clic en el enlace de confirmación para verificar su suscripción.
Este email ya está en uso
Debes escribir un email válido
Debes cliquear el captcha
El captcha no es correcto