Cómo adaptar la LOPD y LSSI en tu empresa y en tu web

Transcripción

1 Cómo adaptar la LOPD y LSSI en tu empresa y en tu web

2 Índice del curso 1. Documento de Seguridad Qué es el documento de seguridad? Qué aspectos deben recogerse en el documento? Aspectos legales de tu e-commerce Ámbito en el que se aplica la LSSI A quién afecta la LSSI Qué información debes proporcionar en tu web Obligaciones específicas de los proveedores de servicios Política de Cookies Qué son las cookies Cookies a las que no les afecta la lssi Partes intervinientes Tipos de cookies Obligaciones de las partes Deber de información Obtención del consentimiento Y si no doy mi consentimiento? Aspectos legales del Cloud Computing Qué es el cloud computing Actores en el modelo del Cloud Computing Garantías contractuales: contrato de tratamiento Qué debe incluir el contrato del tratamiento del Cloud Computing Puerto Seguro vs. Caso Schrems Qué es el puerto seguro o Safe Harbour? Sentencia del TJUE Efectos legales tras al sentencia Publicidad. Requisitos del marketing El derecho al olvido Qué es el derecho al olvido Dónde puedo ejercerlo? Criterios de aplicación del derecho al olvido Cómo ejercitar el derecho ante los buscadores

3 8. Novedades Reglamento Europeo de Protección de Datos Garantías para los titulares de datos personales Obligaciones de los responsables y encargados del tratamiento Autoridades de control Reclamaciones y sanciones

4 El objetivo de este curso es que el alumnado conozca aspectos prácticos para que tanto su web como su empresa cumplan los requisitos legales de la LOPD y LSSI. También se dará respuesta a todas las inquitudes legales surgidas en el marco legal del marketing, el cloud computing, la política de cookies y el derecho al olvido. Por otra parte se esbozarán las novedades previstas de la nueva normativa europea en esta materia. 1. Documento de Seguridad 1.1 QUÉ ES EL DOCUMENTO DE SEGURIDAD? En el curso Cómo adaptar la LOPD y LSICE a tu empresa y a tu web, Parte I, se explicaron los fundamentos legales que tiene que cumplir toda empresa en materia de los datos personales que se manejan. Una de las obligaciones, consistía en disponer de un Documento de Seguridad donde se recojan todas las medidas de seguridad de la empresa respecto de los datos personales que trata. Esta obligación está regulada en el artículo 88.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999: El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información. El documento de seguridad deberá actualizarse siempre que haya cambios sustanciales y, en su caso, anualmente para mantenerlo en todo momento actualizado, según la situación actual de la empresa. La Agencia Española de Protección de Datos, ha puesto a disposición en su página web una guía para elaborar el documento de seguridad y un modelo de documento de seguridad en formato editable que nos puede servir de guía para personalizarlo con las medidas de seguridad implantadas en nuestra empresa: modelo_doc_seguridad (1) 4

5 1.2 QUÉ ASPECTOS DEBEN RECOGERSE EN EL DOCUMENTO? El Documento de Seguridad debe contener las medidas de seguridad, tanto técnicas como organizativas de la empresa, en relación a los datos personales que recoge y trata. A continuación resumimos los puntos que deberá contener el Documento de Seguridad: 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO: Identificación y presentación de la empresa, sus servicios y ámbito de aplicación del documento de seguridad. 2. FICHEROS: Indicación de los ficheros que la empresa tiene (clientes, pacientes, trabajadores, cámaras de seguridad, etc.) y su estructura, (es decir, nombre del fichero, origen de los datos, forma de tratamiento de los datos -soporte papel o informático-), tipos de datos que se recogen (nombre, apellidos, dirección postal, teléfono, dirección electrónica ), nivel de seguridad del fichero (básico, medio o alto) y la empresa encargada de gestionar el fichero si la hubiere (por ejemplo: la gestoría laboral es la encargada de gestionar el fichero de RRHH, en tanto y en cuanto, elabora las nóminas de los trabajadores). 3. MEDIDAS DE SEGURIDAD: Relación de las medidas de seguridad que la empresa ha implantado para proteger los ficheros. 4. ENCARGADOS DE TRATAMIENTO: Siempre que los haya en el supuesto en que una empresa ha contratado la prestación de un servicio y en función de dicha prestación tienen acceso a datos personales. (Por ejemplo: la gestoría laboral, gestoría fiscal, la empresa de mantenimiento informático, la empresa de prevención de riesgos laborales, etc.). 5. INVENTARIO DE SOPORTES: Se trataría de indicar y relacionar todos los soportes con acceso a datos personales (equipos informáticos o aplicaciones). 6. RESPONSABLES EN LA EMPRESA: Lista del personal de la empresa con acceso a datos y las funciones y obligaciones de cada uno de ellos (a qué ficheros acceden y qué pueden acceder con los datos personales que tratan). 5

6 2.Aspectos legales de tu e-commerce La Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), incorpora en nuestro ordenamiento jurídico la Directiva 2000/31/CE del Consejo y del Parlamento Europeo en la que se regulan determinados aspectos jurídicos de los Servicios de la Sociedad de la Información, en particular los relativos al comercio electrónico. La LSSI establece las reglas necesarias para ofrecer las garantías legales necesarias en el entorno de Internet. En el portal podemos encontrar toda la información relacionada con esta ley y su derechos y obligaciones derivadas. 6

7 2.1. ÁMBITO EN EL QUE SE APLICA LA LSSI La LSSI se aplica a los siguientes servicios relacionados con Internet cuando constituyan una actividad económica o lucrativa para el prestador del servicio en cuestión. Este cuadro recoge el ámbito en el que se aplica: Servicios relacionados con Internet: Comercio electrónico Contratación en línea Información y publicidad Servicios de intermediación Que constituyan una actividad económica o lucrativa para el prestador del servicio Ingresos directos:comercio electrónico Ingresos indirectos:publicidad o patrocinio En principio, la LSSI no se aplica a las actividades realizadas sin ánimo de lucro (como las de los partidos políticos, sindicatos, asociaciones, ONGs, etc.) mientras no constituyan una actividad económica A QUIÉN AFECTA LA LSSI La LSSI afecta a quienes prestan servicios relacionados con Internet: Proveedores de servicios de intermediación Empresas que brindan conexión a Internet a sus clientes (ISP). Prestadores de servicios de alojamiento de datos. Servicios de enlaces. Buscadores Empresas Que realicen actividades económicas a través de Internet Particulares Que realicen actividades económicas a través de Internet Si tu empresa tiene una página web con información sobre tu actividad, productos y servicios, pero éstos no pueden contratarse a través de la página web, también te afecta la Ley en relación a los datos de información general que debe proporcionar tu web. Si eres un particular y tienes una página web, la LSSI no se aplicará si no realizas ningún tipo de actividad económica a través de la misma, pero si tienes alojada publicidad en forma de "banners", "pop-ups", y recibes remuneración 7

8 por los mismos, la LSSI sí será aplciables. (No estarás obligado si esta publicidad no genera ningún ingreso al particular por haber sido impuestos a cambio de la prestación de un servicio gratuito de alojamiento, por ejemplo). Como internet opera en un ámbito internacional, la LSSI afectará a prestadores: - Establecidos en el España: Todos - En otro estado de la UE o en el Espacio Económico Europeo: Les aplicará su normativa si es menos exigente que la española; salvo si en la relación interviene un consumidor en cuyo caso se aplicará la norma más garantista para él. - Establecidos en otro país que no sea en la UE: La LSSI sólo es aplicable si los consumidores españoles compran en tiendas virtuales que dirijan su actividad o se hayan puesto en contacto con el consumidor a través del correo electrónico QUÉ INFORMACIÓN DEBES PROPORCIONAR EN TU WEB INFORMACIÓN PERMANENTE EN TU WEB La LSSI establece que los prestadores de servicios relacionados con Internet deben indicar en su página web: - Nombre o denominación social y datos de contacto completos. - Número de identificación fiscal (NIF) - Número de inscripción en el Registro Mercantil si la empresa estuviera registrada en éste o cualquier registro público. - Si la actividad que ejerce precisa de autorización administrativa previa, los datos relativos a la misma, (por ejemplo agencias de viajes, servicios de alquiler turísticos, armerías, centros y servicios sanitarios ) - Si ejerce profesión regulada, datos del colegio profesional y número de colegiado, título académico y códigos deontológicos aplicables. - Códigos de conducta a los que esté adherido en su caso (por ejemplo, Confianza-online) - Información completa del precio de sus productos (indicando impuestos) INFORMACIÓN ANTES DE CELEBRARSE EL CONTRATO (INICIAR LA COMPRA EN TU WEB) - Las condiciones generales de contratación que rijan el contrato. - Los trámites o pasos que debe seguir para celebrar el contrato. - Si va a archivar el documento electrónico del contrato y si va ser accesible. - Los medios técnicos que pone a su disposición para identificar y corregir los errores en la introducción de los datos antes de confirmarlos. 8

9 - La lengua o lenguas en las que puede formalizarse el contrato. (Cuando se acceda a los servicios mediante dispositivos que cuenten con pantallas de formato reducido -por ejemplo un teléfono móvil-, se dará por cumplida esta obligación si se facilita la dirección de Internet donde se encuentre dicha información). INFORMACIÓN DESPUÉS DE CELEBRARSE EL CONTRATO (UNA VEZ QUE TU USUARIO HA COMPRADO) - Confirmar la recepción del pedido o aceptación del contrato por correo electrónico al mail señalado por el usuario en un plazo de 24 horas tras la recepción. Se recomienda recoger el consentimiento a tus usuarios de haber léido, aceptado y entendido la política legal, o política de privacidad: 2.4.OBLIGACIONES ESPECÍFICAS DE LOS PROVEEDORES DE SERVICIOS Los proveedores de servicios de intermediación (aquellos que brindan conexión a Internet o alojamiento de datos, buscadores, proveedores de enlaces ) tienen además unas obligaciones específicas: - Colaborar con los órganos públicos para la ejecución de resoluciones que no puedan cumplirse sin su ayuda. - Informar a sus clientes sobre los diferentes medios técnicos que aumenten los niveles de seguridad de la información (anti-virus, anti-programas espía, filtros de correo); las herramientas existentes para el filtrado y restricción de acceso a determinados contenidos y servicios; y las posibles responsabilidades en que los usuarios pueden incurrir por el uso de internet con fines ilícitos. 9

10 En cuanto a su responsabilidad, además: - No son responsables de los contenidos que transmiten o alojan o a los que facilitan acceso, si no participan en su elaboración o no tienen conocimiento de la ilegalidad de los mismos. - Son responsables si conocen su ilicitud y no actúan rápidamente para retirarlos o imposibilitar el acceso a ellos. 10

11 3.Política de Cookies Las «cookies» permiten a los prestadores de servicios relacionados con Internet almacenar y recuperar datos sobre los usuarios almacenados en sus equipos. Cuando estos prestadores empleen cookies, deben: - Informar de manera clara y completa sobre su utilización y finalidad - Recabar el consentimiento del usuario 3.1.QUÉ SON LAS COOKIES Entendemos por Cookies a aquellos archivos o dispositivos que se descargan en el equipo de un usuario que está navegando por una web o aplicación con la finalidad de almacenar datos que podrá utilizar la empresa responsable de su instalación. Estas Cookies pueden facilitar la navegación del usuario y además puede ofrecer una publicidad basada en ocasiones en sus hábitos de navegación. La LSSI recoge en su artículo 22 cómo proceder en caso de que en tu web o aplicación haya cookies instaladas, ya que tienen implicaciones importantes en relación con la privacidad de los usuarios: - Deben dar su consentimiento - Se debe proporcionar una información clara y completa sobre su utilización. La LSSI pretende garantizar la confianza de los usuarios para que éstos sean conscientes de que sus hábitos de navegación en ocasiones van a ser conocidos por prestadores de servicios en Internet, que puedan valorar las ventajas asociadas a dicho conocimiento y que sepan cómo gestionar la aceptación o el rechazo de tales ventajas. Por ello, la LSSI requiere la obtención de un consentimiento informado con el fin de asegurar que los usuarios son conscientes del uso de sus datos y las finalidades para las que son utilizados. 3.2.COOKIES A LAS QUE NO LES AFECTA LA LSSI Las cookies que tengan por finalidad: Permitir únicamente la comunicación entre el equipo del usuario y la red. Estrictamente prestar un servicio expresamente solicitado por el usuario. 11

12 Quedan exceptuadas del ámbito de la LSSI y por tanto no será necesario informar ni obtener el consentimiento sobre su uso. Entre las cookies exceptuadas estarían aquellas que tienen por finalidad: Cookies de «entrada del usuario» Cookies de autenticación o identificación de usuario (únicamente de sesión) Cookies de seguridad del usuario Cookies de sesión de reproductor multimedia Cookies de sesión para equilibrar la carga Cookies de personalización de la interfaz de usuario Cookies de complemento (plug-in) para intercambiar contenidos sociales 3.3.PARTES INTERVINIENTES USUARIO Es el destinatario, persona física, que accede a la web de un editor, pudiendo diferenciarse entre usuario registrado y no registrado. EDITOR Es cualquier empresa prestadora de servicios de la sociedad de la información titular de una página web a los que puede acceder un usuario y para cuya prestación se utilizan cookies. Por ejemplo, éste sería el caso del titular de una carpintería que disponga de una página web a través de la cual ofrezca: Información relacionada con los servicios que presta. Si dispone de una tienda on-line Si ha creado una aplicación móvil para cuyo funcionamiento puede ser necesario la utilización de cookies. Si ofrece desde su web espacios publicitarios a los anunciantes para cuya gestión es necesaria la utilización de cookies. A la luz de esta definición se puede observar el doble papel o función que puede desarrollar un editor. Actúa como prestador de un servicio al usuario, para cuya prestación puede ser necesaria la utilización de cookies. Cuando actúa como soporte puede además ofertar a los anunciantes espacios publicitarios que estarán gestionados bien por el mismo editor o bien por una o más entidades simultáneamente. 12

13 ANUNCIANTE Cuando el titular de la carpintería además de actuar como editor de su propia página web, actúa como anunciante al contratar la difusión publicitaria de sus productos o servicios directamente con otro editor o con una red publicitaria. REDES PUBLICITARIAS Son un conjunto de entidades que, actuando en nombre y representación directa o indirectamente de uno o varios editores, ofrecen, también directamente a los anunciantes o, indirectamente a través otros demandantes, como las Agencias de publicidad, la posibilidad de obtener espacios publicitarios o algún tipo de resultado concreto como clicks, ventas o registros, a través de la gestión y tratamiento de los datos obtenidos de la utilización de las cookies descargadas o almacenadas en los equipos terminales de los usuarios, cuando éstos acceden a los servicios prestados por el editor. 3.4.TIPOS DE COOKIES Para entender mejor qué son las cookies y cómo se aplican, podemos clasificarlas en función de una serie de categorías. No obstante una misma cookie puede estar incluida en más de una categoría. Tipos de cookies según la entidad que las gestione Cookies propias: Son aquéllas que gestiona el editor de la web y las envía al equipo del usuario que visita su web o aplicación. Cookies de tercero: Son aquéllas que se envían al equipo del usuario desde un equipo o dominio que no es gestionado por el editor de la web, sino por otra entidad que tratará los datos obtenidos través de las cookies. También serían aquellas cookies que se instalan desde el dominio gestionado por el editor pero cuando la información que se recoja por dichas cookies es gestionada por un tercero. Tipos de cookies según el plazo de tiempo que permanecen activadas Cookies de sesión: Son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Se conservan para la prestación del servicio solicitado por el usuario en una sola ocasión (p.e. una lista de productos adquiridos). Cookies persistentes: Son un tipo de cookies en el que los datos siguen almacenados en el terminal del usuario y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años. 13

14 Tipos de cookies según su finalidad Cookies técnicas: Cookies que permiten al usuario la navegación a través de una página web o aplicación y la utilización de sus diferentes opciones o servicios (identificar la sesión, acceder a partes de acceso restringido, recordar los artículos de tu pedido). Cookies de personalización: Cookies que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas (idioma, tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc. Cookies de análisis: Cookies que permiten el seguimiento y análisis del comportamiento de los usuarios de los sitios web en que se encuentran. La información recogida mediante este tipo de cookies se utiliza para la elaboración de perfiles de navegación de los usuarios. Cookies publicitarias: Son aquéllas que permiten la gestión de los espacios publicitarios que el editor haya incluido en una página web en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios. Cookies de publicidad comportamental: Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo. 3.5.OBLIGACIONES DE LAS PARTES Las obligaciones legales impuestas por la normativa son dos: El deber de información La obtención del consentimiento. Con carácter previo se recomienda llevar a cabo una revisión de las cookies que se utilizan con el fin de poder identificarlas, analizar si son cookies propias o de terceros, de sesión o permanentes y, concretando su función para poder decidir si las mismas se encuentran o no en el ámbito de aplicación del artículo 22. Debe valorarse específicamente si es necesaria la instalación de cookies persistentes puesto que los riesgos para la privacidad podrían reducirse mediante la utilización de cookies de sesión. En todo caso, las soluciones que se implementen para dar cumplimiento a las obligaciones del art.22.2 LSSI deben ser tecnológicamente neutrales y que, por tanto, deben ser soluciones que la mayoría de navegadores reconozcan 14

15 3.6.DEBER DE INFORMACIÓN CÓMO DEBE SER LA INFORMACIÓN QUE DEBE FACILITARSE La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser: Completa, para que los usuarios entiendan la finalidad de por qué se van a instalar y conocer los usos que se les darán. Accesible: En el caso de que un usuario preste su consentimiento para el uso de cookies, la información sobre cómo revocar el consentimiento y eliminar las cookies o la información de cómo poder gestionar las cookies deberá de estar a su disposición de forma accesible y permanente a través la página web desde la que se presta el servicio. Clara: Con un lenguaje y contenido adecuado al nivel del tipo de usuario medio al que se dirige esa página web. Si el perfil tiene elevados conocimientos de internet, puede no ser necesario proporcionar la información básica sobre qué son las cookies y cómo funcionan, si bien deberán incluir en todo caso información detallada sobre qué tipo de cookies se utilizan en esa página y con qué fines. Visible: Hay que tener en cuenta el diseño y mecánica de la página web. Cuanto mejor encaje la información que se ofrezca sobre las cookies con el resto de los contenidos de la página web y su mecánica de funcionamiento, más probable es que esa información sea leída por los usuarios. CASOS PRÁCTICOS: CÓMO FACILITAR LA INFORMACIÓN En segundo lugar, en relación con la accesibilidad y visibilidad de la información sobre cookies se puede potenciar de las siguientes formas: Formato del enlace: Incrementando el tamaño del enlace utilizando una fuente diferente que distingan ese enlace del texto normal de la página web y de otros enlaces. Posicionamiento del enlace: En un lugar donde capte la atención de los usuarios. Denominación descriptiva: La utilización de una expresión explicativa como por ejemplo Política de cookies, en lugar de una expresión más general como Política de privacidad. Otras técnicas que ayudan a destacar el enlace informativo: Encuadrar o subrayar el enlace, desplegar un aviso cuando el puntero del ratón pasa sobre el enlace o utilizar una imagen o icono sobre el que se pueda hacer clic y que anime a buscar más información. 15

16 QUÉ INFORMACIÓN HAY QUE FACILITAR La información puede desplegarse en forma de capas. Este sistema consiste en mostrar la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información adicional sobre las cookies. PRIMERA CAPA Advertencia del uso de cookies no exceptuadas que se instalan al navegar por dicha página. Identificación de las finalidades de las cookies que se instalan. En su caso, advertencia de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies. Un enlace a una segunda capa informativa en la que se incluye una información más detallada. EJEMPLO: Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí. Vemos aquí el ejemplo de cómo se dispone en la web de SPRI: 16

17 SEGUNDA CAPA Definición y función de las cookies EJEMPLO: Qué son las cookies? Una cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario. Información a través de un cuadro o listado sobre el tipo de cookies que utiliza la página web y su finalidad. En el ejemplo de : 17

18 Información sobre la forma de desactivar o eliminar las cookies enunciadas a través de las funcionalidades facilitadas por el editor, las herramientas proporcionadas por el navegador o el terminal o través de las plataformas comunes que pudieran existir, para esta finalidad, así como la forma de revocación del consentimiento ya prestado. EJEMPLO: Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador. Internet Explorer: windows.microsoft.com/es-xl/internet-explorer/deletemanage-cookies#ie=ie-10 FireFox: support.mozilla.org/es/kb/borrar%20cookies Chrome: support.google.com/chrome/answer/95647?hl=es Safari: Los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios en su política de privacidad sobre cómo puede retirarse el consentimiento y eliminarse las cookies. En todo caso, podrá informarse al usuario sobre las consecuencias derivadas de la retirada de dicho consentimiento, como por ejemplo, del impacto que puede tener en las funcionalidades de la página web. 18

19 Información sobre la identificación de quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros con los que editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con identificación de estos últimos. 3.7.OBTENCIÓN DEL CONSENTIMIENTO Las modalidades de prestación del consentimiento pueden ser variadas: Fórmula expresa: Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique consiento, acepto, u otros términos similares. Esta fórmula puede ser más apropiada para usuarios registrados. Infiriéndolo de una determinada acción: También podrá obtenerse infiriéndolo de una determinada acción realizada por el usuario, pero puede presentar mayores dificultades de prueba sobre su obtención (en todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma). En los casos en que el usuario no manifieste expresamente si acepta o no la instalación de las cookies, pero continúe utilizando la página se podría entender que éste ha dado su consentimiento, siempre que se le haya informado claramente en este sentido. A estos efectos, y a modo de ejemplo, se entenderá que se ha prestado el consentimiento al seguir navegando cuando tras informar sobre el uso de cookies: El usuario ha utilizado la barra de desplazamiento, siempre y cuando la información sobre las cookies sea visible sin hacer uso de ésta; El usuario ha clicado sobre cualquier enlace contenido en la página Y SI NO DOY MI CONSENTIMIENTO? En el caso de que el usuario no de su consentimiento para la instalación de las cookies, el editor de la web puede impedir la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario. No obstante si ha rechazado las cookies, no podrá denegarse el acceso al servicio en aquellos supuestos en que tal denegación impida el ejercicio de un derecho legalmente reconocido al usuario, cuando el único medio de ejercitar tal derecho sea la web. (Ejemplo, la baja en un servicio telefónico, de acceso a Internet o de otro tipo). 19

20 4.Aspectos legales del Cloud Computing En un entorno de cloud computing la gestión de la información está de forma virtual en manos del cliente que contrata los servicios de la nube, que la trata a través de Internet accediendo a soluciones de bases de datos, correo electrónico, nóminas o gestión de recursos humanos de acuerdo a sus necesidades. El proveedor del servicio puede encontrarse en cualquier lugar del mundo y su objetivo será proporcionar los servicios citados optimizando a la vez sus propios recursos a través de, por ejemplo, prácticas de deslocalización, compartición de recursos y movilidad o realizando subcontrataciones adicionales. 4.1 QUÉ ES EL CLOUD COMPUTING El cloud computing es una solución que evita que el usuario tenga que realizar inversiones en infraestructura para el tratamiento de información ya que utiliza la que pone a su disposición el prestador del servicio de cloud computing. De esta forma, el cloud permite el uso de recursos de hardware, software, almacenamiento, servicios y comunicaciones que se encuentran distribuidos geográficamente y a los que se accede a través de redes públicas, de forma dinámica, cuando se necesita, mientras se necesita y abonando una tarifa (cuando no es gratuita) sobre lo que se consume; es decir, proporcionando a sus clientes un servicio de tecnologías de información bajo demanda. Como consecuencia de lo anterior, el mismo contratista puede desconocer la localización precisa de sus datos y no disponer del control directo de acceso a los mismos, de su borrado y de su portabilidad, ya que la información no está físicamente en su poder aunque, si esa información contiene datos de carácter personal, sí está bajo su responsabilidad desde el punto de vista de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD). 4.2 ACTORES EN EL MODELO DEL CLOUD COMPUTING Usuarios y clientes: Empresas, entidades, departamentos, etc., que para implementar sus procesos de tratamiento de información contratan recursos a través de la red. El cliente que contrata servicios de cloud computing es el responsable del tratamiento de los datos personales. Aunque contrate un servicio de Cloud con una gran compañía multinacional la responsabilidad no se desplaza al prestador 20

21 del servicio, ni siquiera incorporando una cláusula en el contrato con esta finalidad. Como el cliente que contrata servicios de cloud computing es responsable del tratamiento de los datos, la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos. Proveedor de servicios de cloud computing: Los que proporcionan los recursos de cloud computing. El proveedor que ofrece la contratación de cloud computing es un encargado del tratamiento según la normativa de protección de datos. El proveedor de cloud computing puede ser el prestador único de los mismos cuando todos los recursos para proporcionarlos pertenecen al propio proveedor. Es decir, dispone de toda la infraestructura necesaria, que administra directamente, y no subcontrata a terceros en función de la distinta carga de trabajo que tenga. Cuando el prestador ofrece directamente al usuario un servicio que construye sobre la subcontratación a terceros de elementos necesarios para implementarlos (hardware, almacenamiento, comunicaciones, etc.), como es el caso de los partners. A su vez, los subcontratistas pueden subcontratar de nuevo parte del servicio que proporcionan al prestador final a terceras y sucesivas compañías. Este es un modelo de cadena de subcontrataciones que en teoría podría no tener fin, y cuyo objeto es redimensionar continuamente los recursos de la nube de forma dinámica y en función de las condiciones del mercado. Partners de los proveedores de Cloud: Son los que crean, ofrecen y soportan servicios adicionales en la nube que venden al usuario final como licencias de uso, por ejemplo, creando una aplicación de marketing que se ejecuta en la nube a partir de servicios más básicos de la misma. Los partners se sitúan entre el cliente y el proveedor de la nube. 4.3 GARANTÍAS CONTRACTUALES: CONTRATO DE TRATAMIENTO La contratación de servicios de cloud computing se realizará a través de un contrato de prestación de servicios (contrato de tratamiento) que deberá incorporar las cláusulas de garantías a las que obliga la Ley Orgánica de Protección de Datos. Atendiendo a la relación contractual establecida entre el cliente y el proveedor de la nube, también este contrato se puede clasificar como negociado o de adhesión. 21

22 Contrato negociado: Un contrato entre el cliente y el proveedor es negociado si el primero tiene, o se le ofrece, la capacidad para fijar las condiciones de contratación en función del tipo de datos que se van a procesar, las medidas de seguridad exigibles, el esquema de subcontratación, la localización de los datos, la portabilidad de los mismos y cualquier otro aspecto de adecuación a la regulación. Contrato de Adhesión: Que es lo que se oferta en la mayoría de los casos. Se trata de contratos con cláusulas contractuales cerradas, en las que el proveedor de cloud fija las condiciones en un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opción para negociar sus términos, aunque hay que tener en cuenta que esto no eximirá, a ninguno de los dos, de las responsabilidades que determina la LOPD. 4.4 QUÉ DEBE INCLUIR EL CONTRATO DEL TRATAMIENTO DEL CLOUD COMPUTING 1.- ASPECTOS PREVIOS A TENER EN CUENTA Debe evaluar el tipo de datos que trata atendiendo a su mayor o menor sensibilidad (nivel bajo, medio, alto). Debe informarse sobre los tipos de nube (privada, pública, híbrida) y las distintas modalidades de servicios. Con esta información debe decidir para qué datos personales contratará servicios de cloud computing y cuáles prefiere mantener en sus propios sistemas de información. 2.- CONOCER SI INTERVIENEN TERCERAS PARTES El cliente debe solicitar y obtener información sobre si intervienen o no terceras empresas (subcontratistas) en la prestación del cloud computing. Lo habitual es que intervengan terceras empresas. De ser así: Tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a una página web o a través de otras opciones de información que le facilite el prestador del servicio). Tiene que dar su conformidad a la participación de terceras empresas, al menos delimitando genéricamente los servicios en los que participarán (p. ej. en el alojamiento de datos). Para ello, el prestador del servicio de cloud computing tiene que informarle sobre la tipología de servicios que pueden subcontratarse con terceros. El proveedor de cloud debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume. 22

23 3.- FIRMAR CON EL PRESTADOR DEL SERVICIO DE CLOUD COMPUTING UN CONTRATO DE TRATAMIENTO QUE INCLUYA LOS SIGUIENTES ASPECTOS: Determinar el objeto del servicio El contrato debe recoger el objeto del encargo de tratamiento específico. En el caso del Cloud computing, qué servicio se provee. Ubicación, Hay transferencia internacional de datos? La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren. Pregunte al prestador de servicios de cloud computing si hay transferencias internacionales de datos y, en caso afirmativo, con qué garantías. Países del Espacio Económico Europeo: Ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega. Países que no pertenecen al Espacio Económico Europeo: Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas. Se considera una garantía adecuada que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la Agencia Española de Protección de Datos. En ese caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos. Empresas de EEUU- Puerto Seguro: Antes de la sentencia de TJUE del 6 de octubre de 2015, las proporcionadas por las empresas ubicadas en los Estados Unidos que habían suscrito los principios de Puerto Seguro también era suficiente con hacer constar la transferencia en la notificación del fichero a la Agencia Española de Protección de Datos, pero ahora dicha sentencia ha dejado invalidada la Decisión por la que se estableció el reconocimiento del Puesto Seguro. Por lo que también se requiere de garantías extras: la transferencia internacional de datos necesitará autorización del Director de la Agencia Española de Protección de Datos, que podrá otorgarse en caso de que el exportador de datos aporte garantías adecuadas. 23

24 Medidas de seguridad exigibles Las medidas de seguridad son indispensables para garantizar la integridad, disponibilidad y confidencialidad de los datos personales. El proveedor del Cloud computing deberá especificar estas medidas en el contrato. Pero cómo garantizar que estas medidas son las óptimas? El cliente debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable. El proveedor de cloud computing debe acreditar que dispone de una certificación de seguridad adecuada. Puede acordarse que un tercero independiente audite la seguridad. El cliente debe ser informado diligentemente por el proveedor de cloud sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse). Confidencialidad de datos El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad. Portabilidad de datos La portabilidad significa que el proveedor ha de obligarse, cuando termine el contrato (bien rescisión del contrato, que el proveedor ponga fin a la prestación de su servicios, el cambio de su política comercial o cambio en el marco regulatorio), a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales. Las soluciones que ofrecen los proveedores de cloud computing pueden clasificarse como abiertas a la portabilidad o cerradas a la misma. Portabilidad cerrada: Cuanto más cerrada sea la portabilidad, mayor será la dificultad, o incluso imposibilidad, de poder realizar transferencia de datos a un coste razonable que haga que, de facto, el cliente esté cautivo del proveedor. 24

25 Portabilidad abierta: Cuanto mayor sea la facilidad de un usuario para transferir todos sus datos y aplicaciones desde un proveedor de cloud a otro (o a los sistemas propiedad del cliente), garantizando la disponibilidad de los datos y la continuidad del servicio. Se recomienda solicitar información y garantías al proveedor sobre la portabilidad de los datos personales. Destrucción o devolución de datos a fin de contrato Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. Un mecanismo apropiado es requerir una certificación de la destrucción emitido por el proveedor de cloud computing o por un tercero. 25

26 5.Puerto Seguro vs. Caso Schrems El 6 de octubre de 2015, el TJUE declaró inválida la decisión de la Comisión de 26 de julio de 2000 por la que se manifestaba que las entidades estadounidenses adheridas al régimen de puerto seguro garantizaban un nivel de protección adecuado para la transferencia de datos de carácter personal (Acuerdo Safe Harbor). Hasta esa fecha la Comisión había declaro que se consideraban adecuado el nivel de protección de datos de Suiza, Canadá, Argentina, Uruguay, Andorra, Israel, Nueva Zelanda y de las entidades estadounidenses adheridas al protocolo de Puerto Seguro. Esto suponía que las transferencias internacionales de datos a esos países o entidades se podían realizar sin mayores problemas: sólo se debía notificar a la Agencia Española de Protección de Datos para su registro. (En el resto de supuestos se necesitaba además la autorización del Director de la Agencia) QUÉ ES EL PUERTO SEGURO O SAFE HARBOUR? La Directiva europea 95/46/CE de protección de datos. El artículo 25.1 de dicha Directiva prohíbe las transferencias de datos personales a un país tercero, distinto de cualquiera de los Estados miembros de la Unión Europea, que no garantice un nivel de protección adecuado. Es evidente que la aprobación de la referida Directiva ponía difíciles las cosas a aquellas empresas norteamericanas que querían tratar datos obtenidos de ciudadanos europeos, debiendo someterse a interminables trámites burocráticos para obtener autorizaciones a la transferencia de datos. La Decisión 2000/520/CE de la Comisión Europea La presión de lobbies e instituciones norteamericanas a los organismos europeos por encontrar una solución a la cuestión encontró recompensa en la aprobación por la Comisión Europea de la Decisión 2000/520/CE que considera el nivel adecuado de protección de la transferencia de datos desde la Unión Europea a entidades de EE.UU. (generalmente empresas), siempre y cuando se cumplieran los principios de puerto seguro o safe harbor. 26

27 Así pues, la Decisión 2000/520/CE no reconoce el territorio estadounidense como con nivel adecuado de protección, sino que reconoce un nivel adecuado de protección a la transferencia internacional de datos a entidades o empresas adheridas a esos principios de puerto seguro, inspirados en la normativa europea en materia de protección de datos SENTENCIA DEL TJUE La Sentencia del Tribunal de Justicia señala que la Comisión estaba obligada a comprobar si Estados Unidos garantizaba efectivamente, con base en su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Directiva europea; comprobación que no realizó sino que se limitó a analizar el régimen de puerto seguro. La Sentencia señala que los principios de puerto seguro son sólo aplicables a las entidades estadounidenses que se han adherido a él, de modo que las autoridades norteamericanas no están sometidas a dicho régimen, prevaleciendo las exigencias de seguridad nacional, interés público y cumplimiento de la ley de EE.UU. sobre el régimen de puerto seguro. Por ello el régimen de puerto seguro posibilita injerencias por parte de las autoridades públicas norteamericanas en los derechos fundamentales de las personas. Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión de la Comisión 2000/520/CE de 26 de julio de Como consecuencia de esta sentencia, la autoridad irlandesa de control está obligada a examinar la reclamación del Sr. Schrems con toda la diligencia exigible y, al término de su investigación, deberá decidir si, en virtud de la Directiva, debe suspenderse la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de los datos personales EFECTOS LEGALES TRAS LA SENTENCIA Parece obvio que a la vista del fallo de la Sentencia se antoja necesario negociar un nuevo Acuerdo sobre los Principios de Puerto Seguro. Estas negociaciones, no obstante, al parecer se iniciaron en 2013 pero sobre la base del puerto seguro de la Decisión 2000/520/CE ahora declarada inválida por el TJUE. Quizá las grandes empresas norteamericanas dejen de transferir datos personales de ciudadanos europeos sus servidores de EE.UU. y los mantengan en los 27

28 servidores de sus filiales europeas, hasta que se encuentre otra solución que parece que necesariamente pasa por que Estados Unidos disponga de un nivel adecuado de protección de datos. Pero más preocupante es el caso de las empresas que disponen de menos recursos económicos y/o tecnológicos, que al final han contratado servicios de Hosting, de servicios de Mail Marketing o de Cloud Computing en un escenario en el que no era necesaria la autorización del Director de la Agencia Española de Protección de Datos para que los datos recabados por ellos fueran transferidos a los servidores de esos prestadores de servicios ubicados en Norteamérica y que ahora van a tener que adaptar sus políticas de privacidad, solicitar autorizaciones o cambiar de proveedores con lo que todo ello implica. 28

29 6.Publicidad. Requisitos del marketing La LSSI regula los requisitos específicos en el envío de publicidad por marketing o medios análogos (SMS). Claridad en su presentación: La publicidad debe presentarse como tal, de manera que no pueda confundirse con otra clase de contenido, e identificarse de forma clara al anunciante. Consentimiento o autorización previa del destinatario: Si se quiere enviar una comunicación comercial (una newsletter con novedades comerciales o boletín de noticias) el destinatario deberá haberlo solicitado o autorizado expresamente con carácter previo. Excepción: se permite el envío de comunicaciones comerciales a aquellos usuarios-clientes con los que ya exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente. Cómo puede ofrecer el consentimiento el destinatario? Por ejemplo, una vez informado, se le ofrece la oportunidad de manifestar su conformidad con el envío de comunicaciones comerciales haciendo "clic" en una casilla dispuesta al efecto. Este requisito no se cumple cuando, sin haber autorizado de forma expresa la recepción de comunicaciones comerciales, el destinatario tolera o no se opone a su envío, o cuando no responde a los mensajes por los que se solicita su consentimiento. Ofrecer la posibilidad de darse de baja: En todo caso, el prestador deberá ofrecer al destinatario de forma gratuita la posibilidad de oponerse al tratamiento de sus datos tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que se le dirijan. 29

30 7.El derecho al olvido El Tribunal de Justicia de la Unión Europea (TJUE) publicó el 13 de mayo de 2014 una sentencia que establecía que el tratamiento de datos que realizan los motores de búsqueda está sometido a las normas de protección de datos de la Unión Europea y que las personas tienen derecho a solicitar, bajo ciertas condiciones, que los enlaces a sus datos personales no figuren en los resultados de una búsqueda en internet realizada por su nombre QUÉ ES EL DERECHO AL OLVIDO El derecho al olvido es equiparable a los tradicionales derechos de y cancelación y oposición aplicados a los buscadores de internet. El derecho al olvido hace referencia al derecho a impedir la difusión de información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa. En concreto, incluye el derecho a limitar la difusión de datos personales en los buscadores cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima (en el caso de boletines oficiales o informaciones amparadas por las libertades de expresión o de información) DÓNDE PUEDO EJERCERLO? Para ejercer los derechos de cancelación y oposición (y, por tanto, el derecho al olvido) es imprescindible que el ciudadano se dirija en primer lugar a la entidad que está tratando sus datos, en este caso al buscador. Los buscadores mayoritarios han habilitado sus propios formularios (Google, Bing o Yahoo) para recibir las peticiones de ejercicio de derechos en este ámbito. Si la entidad no responde a la petición realizada o el ciudadano considera que la respuesta que recibe no es la adecuada, puede solicitar que la Agencia Española de Protección de Datos tutele su derecho frente al responsable. En función de las circunstancias de cada caso concreto, la Agencia determinará si lo estima o no. Esta decisión de la Agencia, a su vez, es recurrible ante los Tribunales CRITERIOS DE APLICACIÓN DEL DERECHO AL OLVIDO El Grupo de Autoridades europeas de protección de datos (GT29) ha aprobado un documento sobre la aplicación de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) relativa al denominado derecho al olvido. El texto analiza los pronunciamientos del Tribunal y desarrolla a lo largo de 25 puntos los criterios 30

31 interpretativos comunes que van a presidir la aplicación de la sentencia por parte de las Autoridades de los distintos Estados europeos. Responsabilidad de los motores de búsqueda. El afectado puede ejercer el derecho al olvido ante el buscador sin acudir previamente a la fuente original. Se entiende que los motores de búsqueda y los editores originales realizan dos tratamientos de datos diferenciados, con legitimaciones diferentes y también con un impacto diferente sobre la privacidad de las personas. Por eso no procede conceder el derecho frente al editor y sí frente al motor de búsqueda, por su difusión universal y por la información adicional que facilita sobre el mismo individuo cuando se busca por su nombre, ya que esto tiene un impacto desproporcionado sobre su privacidad. Análisis caso por caso. Es necesario realizar una ponderación caso por caso para alcanzar un equilibrio entre los diferentes derechos e intereses. Dado que es imprescindible valorar las circunstancias de cada solicitud y que se debe tener en cuenta sistemáticamente el interés de los usuarios en acceder a una información, aquellas que resulten de interés para el público por su naturaleza o por afectar a una figura pública no serán aceptadas. No se elimina información. El ejercicio de los derechos de cancelación y oposición realizados frente a los buscadores sólo afecta a La indexación de los resultados obtenidos en las búsquedas hechas mediante el nombre de la persona y no implica que la página deba ser suprimida de los índices del buscador ni de la fuente original. El enlace que se muestra en el buscador sólo dejará de ser visible cuando la búsqueda se realice a través del nombre de la persona que ejerció su derecho. Las fuentes permanecen inalteradas y el resultado se seguirá mostrando cuando la búsqueda se realice por cualquier otra palabra o término distinta al nombre del afectado. Libertades de expresión e información. Dado que en la valoración de las circunstancias de cada solicitud se debe tener en cuenta el interés de los usuarios en acceder a una información, aquellas que resulten de interés para el público por su naturaleza o por afectar a una figura pública no serán bloqueadas. La libertad de información, por tanto, no se ve afectada cuando se trata de información con interés general, ya que en esos casos no procede reconocer el derecho al olvido. 31