Protección de datos

¿Puedo utilizar empresas de EEUU para almacenar datos personales?

¿Qué está pasando con las transferencias internacionales de datos a EEUU?

En estos últimos meses, muchos habréis leído u escuchado que ya no podemos almacenar datos personales en programas, servidores…que estén alojados en EEUU (el caso más típico y sobre el que he recibido más consultas es Dropbox).

Esto no es así del todo, paso a explicarme:

Hasta la fecha, para poder almacenar datos personales de nuestros clientes, trabajadores, usuarios, etc. en servidores, empresas, programas…debíamos asegurarnos de que dichos datos personales se quedaban en Europa para cumplir con la ley de protección de datos ya que, la normativa de protección de datos proviene de una Directiva Europea que vincula a todos los Estados miembros, más o menos, en la misma medida (dependiendo de cómo cada Estado haya implantado los requisitos legales mínimos de la Directiva Europea. En el caso de España, actualmente, es de las normativas más restrictivas).

No obstante y pese a lo dicho, cabía la posibilidad de que se almacenasen datos personales fuera de Europa, por ejemplo, en EEUU, siempre y cuando, la empresa donde su fuesen a almacenar estuviese adherida al “Safe Harbor” o “protocolo de puerto seguro”.

Seguir leyendo

¿Puedo comprar o vender una base de datos?

Recientemente, me ha llegado una consulta en relación a la compraventa de bases de datos. Y es que, es muy común iniciar un proyecto en el que se recogen datos personales de usuarios y clientes, consiguiendo finalmente una gran base de datos y que, posteriormente, se quiera sacar provecho económico de la misma, ya sea adquiriéndola o vendiéndola.

Cuando hablamos de comprar o vender una base de datos, en realidad, de lo que estamos hablando es de ceder o comunicar los datos personales de nuestros clientes o usuarios a terceros y, para poder hacer esto, debemos cumplir una serie de requisitos.

Así, para poder ceder o comunicar a terceros los datos personales de nuestros clientes o usuarios es necesario que:

  • Exista consentimiento expreso por parte del titular de los datos.
  • Se le indique al titular de los datos con qué finalidad se van a ceder sus datos.

Seguir leyendo

¿Cuándo puedo enviar correos comerciales?

Una de las situaciones más comunes que me encuentro a la hora de adaptar empresas a la normativa de protección de datos, es que éstas suelen tener como práctica habitual enviar correos comerciales, sobre sus productos y servicios, a otras empresas o personas físicas que consideran que pueden llegar a ser clientes potenciales y, la pregunta es ¿pueden hacerlo?

¿Las empresas pueden enviar correos comerciales a otras empresas y/o personas físicas?

La respuesta es no, salvo que, los correos comerciales se envíen a empresas o personas físicas que ya son clientes, aunque estos no hayan consentido expresamente el uso de sus datos para el envío de correos comerciales.

Así lo establece el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI):

Artículo 21 Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Seguir leyendo

Delegado de Protección de Datos (DPO)

El Data Protection Officer (DPO) o Delegado de Protección de Datos (su traducción al castellano) es la nueva figura contemplada en la propuesta del Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (Reglamento General de Protección de Datos).

Dicho Reglamento Europeo de Protección de Datos, que será de aplicación directa para todos los estados miembros de la Unión Europea, aun no ha sido aprobado, pero todo parece indicar que cuando lo haga (prevista su aprobación para el 2016) lo hará contando con la figura del Delegado de Protección de Datos que vendrá a ser semejante a la del Responsable de Seguridad, que tenemos actualmente.

¿Dónde se regula la figura del Delegado de Protección de Datos (DPO)?

La figura del DPO viene recogida en los artículos 35 a 37 de la propuesta de Reglamento General de Protección de Datos.

¿Cuándo será obligatorio contar con un Delegado de Protección de Datos (DPO)?

Será obligatorio designar un Delegado de Protección de Datos (DPO) en los siguientes casos:

Seguir leyendo

¿Qué textos legales debe tener mi página web?

textos legalesAlgunas de las preguntas que nos hacemos cuando tenemos una página web son ¿necesito textos legales para mi web? ¿qué textos legales necesito? ¿dónde debo colocarlos?

A través de este artículo vamos a dar respuesta a esta y otras preguntas sobre los textos legales que necesita una web, su contenido y dónde deben ser colocados.

En primer lugar, la respuesta a si una página web necesita textos legales es sí, cualquier tipo de página web, aunque sea meramente informativa, necesita un Aviso Legal (o facilitar un mínimo de información).

Aviso Legal

El aviso legal es el texto legal que debe tener cualquier página web y que debe contener los datos identificativos del titular de la misma. Así, de conformidad con el artículo 10 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), cualquier página web debe informar, como mínimo de:

Seguir leyendo

Anonimato de los donantes de gametos (óvulos y esperma)

Una persona de mi entorno más cercano ha donado en un par de ocasiones óvulos, con la única finalidad de ayudar a madres que por problemas de fertilidad no pueden tener hijos de forma natural, y lo curioso es, que me ha hecho preguntas como ¿la pareja que recibe el óvulo pueden llegar a saber quien soy? ¿cuántas veces puedo donar? ¿el niño que nazca puede llegar a saber quien soy?

Estas preguntas, que me han parecido muy interesantes, me han obligado a estudiar el tema de la regulación de la reproducción humana asistida en España y me gustaría, por si alguien lo encuentra de interés, compartir la información que he recopilado sobre el anonimato de los donantes de gametos (óvulos y esperma) y la confidencialidad que debe regir en todo el proceso.

¿Dónde está regulado el anonimato de los donantes de óvulos y esperma?

La regulación del anonimato de los donantes de óvulos y esperma (gametos) viene recogido en el artículo 5 de la Ley 14/2006, de 26 de mayo, sobre técnicas de reproducción humana asistida.

Seguir leyendo

¿Qué es el documento de seguridad de la LOPD? Contenido y Modelo

El Documento de Seguridad es el documento que deben tener todas las empresas/profesionales que deben cumplir con la LOPD.

Las empresas que deben cumplir con la LOPD son todas aquellas que recojan datos personales de personas físicas (trabajadores, clientes, cámaras de videovigilancia…). Y, en este sentido, el Documento de Seguridad debe recoger las medidas de seguridad de la empresa respecto de los datos personales que trata.

¿Es obligatorio tener un documento de seguridad?

Siempre que recojamos y tratemos datos personales de personas físicas, estaremos obligados a cumplir con la LOPD y, en ese caso, estaremos obligados a disponer de un documento de seguridad.

Por tanto, una de las obligaciones básicas para cumplir con la normativa de protección de datos es disponer de un documento de seguridad. En definitiva, sí es obligatorio disponer de un documento de seguridad.

Seguir leyendo

¿Debe mi empresa cumplir con la LOPD?

Desde el momento en que una empresa tiene trabajadores o recoge datos personales (nombre, apellidos, teléfono, dirección, etc.) de sus clientes, la respuesta es sí, la empresa debe cumplir con la LOPD.

Por tanto, cualquier empresa deberá cumplir con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), salvo que, se trate de una empresa sin trabajadores, sin cámaras de videovigilancia y cuyos clientes únicamente sean personas jurídicas (profesionales autónomos u otras empresas). Es decir,  empresas que solo recojan y traten datos de autónomos o empresas. Situación ésta, cuanto menos, poco habitual.

¿Qué implica cumplir con la LOPD?

Para cumplir con la normativa de protección de datos (LOPD) deben cumplirse una serie de requisitos:

Seguir leyendo

Contrato de tratamiento de datos personales (artículo 12 LOPD)

En principio y cuando de proteger los datos personales de los ciudadanos se trata, nuestra normativa es muy exigente y establece que, cuando vamos a comunicar datos personales de los que somos responsables (trabajadores, clientes, alumnos, pacientes…) a terceras personas o empresas es necesario que, previamente, hayamos obtenido el consentimiento expreso del titular de los datos, para llevar a cabo esa cesión de datos personales.

No obstante, existen excepciones a esta regla que permiten facilitar datos personales a terceros sin tener que obtener el consentimiento del titular de los datos. Así, podremos facilitar datos personales a terceros sin tener que pedir el consentimiento del afectado, siempre y cuando, esa comunicación de datos sea necesaria para que ese tercero pueda prestarnos un servicio.

En este sentido el artículo 12.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece:

No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

Seguir leyendo

La Privacidad desde el Diseño y las Evaluaciones de Impacto en la Protección de Datos

Privacidad desde el diseñoEl uso de las nuevas tecnologías es parte ya de nuestra vida diaria y fruto de ello, cada día nacen nuevos productos y servicios ofrecidos a través de medios tecnológicos (por ejemplo, aplicaciones móviles). El problema de dichos productos y servicios es que son creados con una finalidad concreta y con un objetivo económico claro y pocas veces, mientras se diseña y crea el producto o servicio, se piensa en cómo, una vez terminado, va a afectar dicho proyecto a la privacidad del usuario que lo utilice, es decir, cómo se va a proteger la intimidad del usuario que utilice el producto.

Y es aquí, cuando nace el término o el concepto “la privacidad desde el diseño“, la idea de que el diseño del producto o servicio que vamos a crear debe tener en cuenta, desde un principio, la protección de la privacidad del usuario. En caso contrario, nos encontramos que una vez terminado el proyecto no somos capaces de encajar su diseño (ya terminado) con el cumplimiento de la normativa de protección de datos.

Para evaluar si nuestro producto o servicio cumple con “la privacidad desde el diseño” podemos utilizar varias herramientas, una de ellas son las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos.

Seguir leyendo