¿Puedo utilizar empresas de EEUU para almacenar datos personales?

¿Qué está pasando con las transferencias internacionales de datos a EEUU?

En estos últimos meses, muchos habréis leído u escuchado que ya no podemos almacenar datos personales en programas, servidores…que estén alojados en EEUU (el caso más típico y sobre el que he recibido más consultas es Dropbox).

Esto no es así del todo, paso a explicarme:

Hasta la fecha, para poder almacenar datos personales de nuestros clientes, trabajadores, usuarios, etc. en servidores, empresas, programas…debíamos asegurarnos de que dichos datos personales se quedaban en Europa para cumplir con la ley de protección de datos ya que, la normativa de protección de datos proviene de una Directiva Europea que vincula a todos los Estados miembros, más o menos, en la misma medida (dependiendo de cómo cada Estado haya implantado los requisitos legales mínimos de la Directiva Europea. En el caso de España, actualmente, es de las normativas más restrictivas).

No obstante y pese a lo dicho, cabía la posibilidad de que se almacenasen datos personales fuera de Europa, por ejemplo, en EEUU, siempre y cuando, la empresa donde su fuesen a almacenar estuviese adherida al «Safe Harbor» o «protocolo de puerto seguro».

Seguir leyendo

¿Puedo comprar o vender una base de datos?

Recientemente, me ha llegado una consulta en relación a la compraventa de bases de datos. Y es que, es muy común iniciar un proyecto en el que se recogen datos personales de usuarios y clientes, consiguiendo finalmente una gran base de datos y que, posteriormente, se quiera sacar provecho económico de la misma, ya sea adquiriéndola o vendiéndola.

Cuando hablamos de comprar o vender una base de datos, en realidad, de lo que estamos hablando es de ceder o comunicar los datos personales de nuestros clientes o usuarios a terceros y, para poder hacer esto, debemos cumplir una serie de requisitos.

Así, para poder ceder o comunicar a terceros los datos personales de nuestros clientes o usuarios es necesario que:

  • Exista consentimiento expreso por parte del titular de los datos.
  • Se le indique al titular de los datos con qué finalidad se van a ceder sus datos.

Seguir leyendo

¿Qué textos legales debe tener mi página web?

textos legalesAlgunas de las preguntas que nos hacemos cuando tenemos una página web son ¿necesito textos legales para mi web? ¿qué textos legales necesito? ¿dónde debo colocarlos?

A través de este artículo vamos a dar respuesta a esta y otras preguntas sobre los textos legales que necesita una web, su contenido y dónde deben ser colocados.

En primer lugar, la respuesta a si una página web necesita textos legales es sí, cualquier tipo de página web, aunque sea meramente informativa, necesita un Aviso Legal (o facilitar un mínimo de información).

Aviso Legal

El aviso legal es el texto legal que debe tener cualquier página web y que debe contener los datos identificativos del titular de la misma. Así, de conformidad con el artículo 10 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), cualquier página web debe informar, como mínimo de:

Seguir leyendo

¿Qué es el documento de seguridad de la LOPD? Contenido y Modelo

El Documento de Seguridad es el documento que deben tener todas las empresas/profesionales que deben cumplir con la LOPD.

Las empresas que deben cumplir con la LOPD son todas aquellas que recojan datos personales de personas físicas (trabajadores, clientes, cámaras de videovigilancia…). Y, en este sentido, el Documento de Seguridad debe recoger las medidas de seguridad de la empresa respecto de los datos personales que trata.

¿Es obligatorio tener un documento de seguridad?

Siempre que recojamos y tratemos datos personales de personas físicas, estaremos obligados a cumplir con la LOPD y, en ese caso, estaremos obligados a disponer de un documento de seguridad.

Por tanto, una de las obligaciones básicas para cumplir con la normativa de protección de datos es disponer de un documento de seguridad. En definitiva, sí es obligatorio disponer de un documento de seguridad.

Seguir leyendo

¿Debe mi empresa cumplir con la LOPD?

Desde el momento en que una empresa tiene trabajadores o recoge datos personales (nombre, apellidos, teléfono, dirección, etc.) de sus clientes, la respuesta es sí, la empresa debe cumplir con la LOPD.

Por tanto, cualquier empresa deberá cumplir con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), salvo que, se trate de una empresa sin trabajadores, sin cámaras de videovigilancia y cuyos clientes únicamente sean personas jurídicas (profesionales autónomos u otras empresas). Es decir,  empresas que solo recojan y traten datos de autónomos o empresas. Situación ésta, cuanto menos, poco habitual.

¿Qué implica cumplir con la LOPD?

Para cumplir con la normativa de protección de datos (LOPD) deben cumplirse una serie de requisitos:

Seguir leyendo

Contrato de tratamiento de datos personales (artículo 12 LOPD)

En principio y cuando de proteger los datos personales de los ciudadanos se trata, nuestra normativa es muy exigente y establece que, cuando vamos a comunicar datos personales de los que somos responsables (trabajadores, clientes, alumnos, pacientes…) a terceras personas o empresas es necesario que, previamente, hayamos obtenido el consentimiento expreso del titular de los datos, para llevar a cabo esa cesión de datos personales.

No obstante, existen excepciones a esta regla que permiten facilitar datos personales a terceros sin tener que obtener el consentimiento del titular de los datos. Así, podremos facilitar datos personales a terceros sin tener que pedir el consentimiento del afectado, siempre y cuando, esa comunicación de datos sea necesaria para que ese tercero pueda prestarnos un servicio.

En este sentido el artículo 12.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece:

No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

Seguir leyendo

La Privacidad desde el Diseño y las Evaluaciones de Impacto en la Protección de Datos

Privacidad desde el diseñoEl uso de las nuevas tecnologías es parte ya de nuestra vida diaria y fruto de ello, cada día nacen nuevos productos y servicios ofrecidos a través de medios tecnológicos (por ejemplo, aplicaciones móviles). El problema de dichos productos y servicios es que son creados con una finalidad concreta y con un objetivo económico claro y pocas veces, mientras se diseña y crea el producto o servicio, se piensa en cómo, una vez terminado, va a afectar dicho proyecto a la privacidad del usuario que lo utilice, es decir, cómo se va a proteger la intimidad del usuario que utilice el producto.

Y es aquí, cuando nace el término o el concepto «la privacidad desde el diseño«, la idea de que el diseño del producto o servicio que vamos a crear debe tener en cuenta, desde un principio, la protección de la privacidad del usuario. En caso contrario, nos encontramos que una vez terminado el proyecto no somos capaces de encajar su diseño (ya terminado) con el cumplimiento de la normativa de protección de datos.

Para evaluar si nuestro producto o servicio cumple con «la privacidad desde el diseño» podemos utilizar varias herramientas, una de ellas son las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos.

Seguir leyendo

Cesión de datos personales

Cesión de datos personales¿Qué es la cesión de datos personales?

Cuando una  administración, empresa o autónomo que trata datos personales (clientes, trabajadores, etc) los comunica a terceros ajenos, hablamos de cesión de datos personales. Por ejemplo, estamos ante una cesión de datos personales, cuando una empresa comunica a otra los datos personales de sus clientes o trabajadores.

La definición de lo que es una cesión de datos personales la encontramos regulada en el artículo 3 i) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que establece que la cesión de datos personales o comunicación de datos es: Toda revelación de datos realizada a una persona distinta del interesado.

Requisitos para poder realizar una cesión de datos:

Para poder llevar a cabo una cesión de datos personales o comunicación  de datos, de conformidad con la normativa, es necesario:

Obtener el consentimiento del titular de los datos. El afectado por la cesión de los datos, debe ser informado y consentir expresamente la comunicación de los datos, para ello es necesario que sepa a quién se van a ceder y con qué finalidad. en este sentido, el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal regula la obtención y características del consentimiento del titular de los datos.

Seguir leyendo

¿Qué puede hacer Facebook con mis datos personales e imágenes?

Facebook es, actualmente, la red social más importante del mundo con casi 1.300 millones de usuarios en activo. Esta red social, conocida por todos y creada por Mark Zuckerberg, nunca ha dejado de ser polémica por el uso que hace de los datos personales e imágenes de sus usuarios.

Facebook, como cualquier servicio que se presta a través de internet de forma gratuita, en realidad tiene un coste y ese coste son nuestros datos personales, en definitiva, nuestra privacidad.

Así, Facebook obtiene sus beneficios, no de sus usuarios (que no pagan por hacer uso de la red social), sino de los anunciantes que pueden colocar publicidad en los perfiles de los usuarios dependiendo de las preferencias de éstos. Lo que quiere decir, que Facebook recoge y trata los datos personales de sus usuarios, para posteriormente,  hacer un uso comercial de los mismos.

Seguir leyendo

Listas de morosos y protección de datos personales

¿Qué son las listas de morosos?

Las listas de morosos o ficheros de morosidad, son los registros donde se incluyen las personas o empresas que tienen deudas económicas. Estos ficheros son ofrecidos por empresas que prestan un servicio de información sobre la solvencia patrimonial y el crédito de las personas y empresas.

Las listas de morosos más conocidas, actualmente, son las del RAI y Asnef-Equifax.

¿Quién puede colocar a alguien en la lista de morosos?

El acreedor de la deuda podrá ceder los datos personales del deudor a las empresas que gestionan las listas de morosos para que los introduzcan, siempre y cuando:

  • Haya informado al deudor, en el momento de celebrar el contrato o previo requerimiento, que en caso de no producirse el pago en el término previsto para ello, los datos relativos al impago podrán ser comunicados a ficheros de morosidad.
  • Exista una deuda cierta, vencida y exigible.
  • No hayan transcurrido más de seis años desde que se originó la deuda o se realizó el último intento de cobro.
  • Exista un requerimiento previo de reclamación del acreedor al deudor.

Seguir leyendo