Buenas noticias para nuestra privacidad

Habrá que analizarlo detenidamente, pero en principio nos darán a elegir qué compartimos y qué no. Mi única duda es la complejidad que supondrá para el usuario y la reiteración de autorización de permisos que supone.

http://cincodias.com/cincodias/2016/09/05/empresas/1473072995_778059.html

“sí, por ejemplo, Telefónica cree que los grupos de internet personalizan la publicidad que envían a los usuarios con los datos que estos generan, sin que estos clientes obtengan nada a cambio. Pallete señaló que las operadoras de telecomunicaciones generan más información que cualquier OTT. “Ellos emulan los algoritmos mientras nosotros lo sabemos por el consumo que los usuarios hacen de nuestros servicios”, dijo el ejecutivo.

“Vamos a poner los datos a disposición de los usuarios, y que sean ellos quienes decidan qué hacen con esa información, si la comparten o no”, dijo. Pallete puso el ejemplo de Uber, que saca partido de la geolocalización que ofrece la red de un operador, “La gente tiene que saber de verdad cuál el verdadero valor de estar en una red como la de Telefónica”, dijo.”

 

Anuncios

Las quejas por derecho al olvido no se podrán dirigir a Google en España

El Tribunal Supremo da la razón a Google Spain y le exonera de la corresponsabilidad en el tratamiento de datos personales sobre el derecho al olvido. Esta sentencia obliga a los usuarios españoles a dirigir sus reclamaciones a directamente a Google Inc., en Estados Unidos.

http://www.expansion.com/juridico/sentencias/2016/03/14/56e6c06d22601d3a318b4627.html

El Tribunal de Justicia de la UE no permite la transferencia de datos a EEUU

Gran vuelta de tuerca a la protección de datos de carácter personal en Europa. El Tribunal de la UE no reconoce a las empresas adscritas al “puerto seguro” de EEUU.
Ésto significa a efectos prácticos que las empresas o instituciones españolas que utilicen las aplicaciones más conocidas de la nube para almacenar datos deberán obtener autorización del director de la Agencia Española de Protección de Datos para ello, ya que se considera una transferencia internacional de datos.

http://www.elmundo.es/tecnologia/2015/10/06/5613822ce2704ec1198b456e.html

Windows 7 y 8 ahora “espían” tus datos y privacidad igual que Windows 10

http://www.elconfidencial.com/tecnologia/2015-09-02/windows-7-y-8-ahora-espian-tus-datos-y-privacidad-igual-que-windows-10_996303/

“Hemos ido cediendo terreno, aceptando, aceptando y aceptando, hasta llegar a un punto en que nos parece normal compartir nuestra vida con una multinacional. Hoy en día ya casi es inevitable, hay muy poco que podamos hacer”  Yago Jesús. Especialista en seguridad informática.

Bloqueo de datos: Cómo actuar

El bloqueo de datos es uno de los temas que más dudas suscita entre los profesionales que nos dedicamos a la protección de datos de carácter personal, y en concreto, a la aplicación del Reglamento de Desarrollo de la LOPD.

Para disipar estas dudas, tenemos que empezar por analizar la introducción del concepto en nuestra normativa, en concreto, en los artículos 4 y 16 de la LOPD:

“Artículo 4 Calidad de los datos

….

  1. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.”

“Artículo 16 Derecho de rectificación y cancelación

  1. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.

  1. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.”

Asimismo, encontramos una explicación algo más extensa al concepto introducido en los artículos 5 y 8 del Reglamento de Desarrollo de la LOPD:

“Artículo 5 Definiciones

  1. b)Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

…”

 

“Artículo 8 Principios relativos a la calidad de los datos

  1. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.

Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.

…”

De estos artículos extraemos tres definiciones que nos servirán para aclarar conceptos fundamentales: cancelación, supresión y bloqueo, tratando de explicarlos a continuación:

  • Cancelación: Cese en uso del dato por parte de la entidad. No podemos tratar el dato como hemos hecho hasta ahora, con múltiples usuarios que por su función y rol en la  entidad necesitan del mismo para su trabajo diario. El dato desaparece de nuestra actividad diaria por ser excesivo, inadecuado o haber terminado la finalidad para la que se recabó.
  • Supresión: Borrado físico del dato, o cómo se prefiere llamar en algunas organizaciones internacionales de certificación, la “destrucción” del dato.
  • Bloqueo: He aquí el problema. Seguimos con la explicación ya que es el motivo del artículo.

Cuando hablamos de bloquear, ¿en qué consiste exactamente? ¿Qué tenemos que hacer? A continuación, una explicación sobre las acciones prácticas a tomar.

Ya que la normativa no nos indica las formas de bloqueo, somos los profesionales los que tenemos que recomendar acciones para llevarlo a cabo y es por lo que existen consultas al respecto a la Agencia Española de Protección de Datos. Como ejemplo, adjunto fragmento del informe jurídico elaborado por el organismo en el que aclara algunos conceptos, pero como es habitual, no adopta soluciones prácticas.

Informe Jurídico 0451/2013

…..

Por tanto, una vez cancelados y bloqueados los datos, deberán preservarse las mismas medidas de seguridad que existían durante la vigencia del fichero sólo en la medida que sean necesarias para asegurar la adecuada custodia de los datos, que sólo sean accesibles por la persona especialmente designada y que la información sea legible para que esté a disposición de quién esté legitimada para solicitarla. Así, aunque el fichero en origen tenía medidas de seguridad de nivel alto, en virtud del art. 32.5 de la Ley 10/2010, no será necesario que se adopten sistemas de gestión de soportes y documentos a que se refieren los arts. 92, 97 y 101 RDLOPD, puesto que no cabe la entrada y salida de soportes. Tampoco la realización de copias de respaldo o recuperación, o la realización de una auditoría bianual. O la determinación de funciones y obligaciones de usuarios, puesto que los mismos no existen; pero existirán otras obligaciones que sí deberán mantenerse, puesto que ha de asegurarse que únicamente podrá acceder a los datos quien esté expresamente designado – en este caso se afirma el director financiero. Deberá también garantizarse que la información está debidamente custodiada, bien con restricciones de acceso físico, bien limitaciones a los sistemas informáticos.”

Analizando tanto los artículos en cuestión como el informe jurídico de la Agencia, entiendo que hay que distinguir dos soluciones diferenciadas, una para los ficheros automatizados y otra para los no automatizados.

Para los ficheros automatizados las soluciones que propongo son las siguientes:

  • Almacenamiento de los registros bloqueados en una aplicación o base de datos separada de la original con acceso exclusivamente del administrador de sistemas o de la propia aplicación (propietario del dato). Si hiciese falta acceder a los datos bloqueados, la dirección mediante petición escrita y firmada, solicitará al administrador los datos requeridos.
  • El asesor jurídico determinará la vigencia de los datos bloqueados, procediéndose al borrado físico de los mismos por el administrador cuando esto ocurra y siempre con la firma de dirección para la realización del proceso.
  • Si una aplicación a la que acceden múltiples usuarios dejase de tener funcionalidad y por tanto procediera el bloqueo de datos, se revocarán todos los permisos de acceso a los usuarios, quedando a disposición únicamente del administrador de la misma para poder responder a los trámites descritos en los párrafos anteriores.
  • Para aplicaciones en las que continuamente se añaden y se cancelan registros, se creará una tabla/base de datos paralela donde cada registro cancelado aparezca con la fecha del borrado de la tabla/base de datos original. Ello nos permitirá tener una lista dinámica de los registros que se tendrán que borrar físicamente cuando el período de responsabilidades derivadas finalice.
  • Como indica el informe jurídico de la Agencia, las únicas medidas de seguridad a cumplir con éstas acciones será la de controlar y gestionar el acceso a los datos. Teniendo en cuenta que sólo el administrador puede hacerlo, se considera realizado el cumplimiento de los principios de control de acceso e identificación y autenticación.
  • Si cumplidos los plazos de conservación legal necesitamos extraer los datos para fines estadísticos, históricos o científicos, tendremos que disociar los datos, o lo que es lo mismo, conservar los campos que nos interesen sin que con todos ellos podamos identificar a la persona a la que pertenecen.

Para los ficheros no automatizados, la solución más adecuada es la consistente en disponer de un archivo/habitáculo/armario exclusivamente los datos que hayan sido cancelados por las razones habituales dispuestas en la normativa, entendiendo que única y exclusivamente pueden tener llave la dirección o la persona encargada del área en el que estén depositados. Los requerimientos para el acceso serán los mismos que para los ficheros automatizados, firma y solicitud de dirección y acceso y custodia por parte del encargado del área en cuestión. Igual que para los ficheros automatizados, las demás medidas de seguridad quedan anuladas por la inhabilitación de los datos almacenados para las funciones propias del negocio o proceso.

Es probable que en organizaciones pequeñas se conserven los datos sin aplicar ninguna política al efecto, pero el hecho es que no hay diferencia entre el cumplimiento efectivo del bloqueo y la cancelación por el tamaño de la organización, por lo que se recomienda en estos casos realizar filtros periódicos que nos permitan cumplir con la normativa.

Por tanto, y para resumir el proceso a seguir en cuanto al bloqueo de datos, incluyo un esquema conceptual desde el punto de vista técnico:

Dibujo