|
|
|
|
#SomosRyC
Novedades Nuevas Tecnologías - Primer Trimestre 2019
19 de Marzo de 2019
ÍNDICE
1.- La AEPD publica un estudio en el que advierte del peligro del “Fingerprinting” (conocido como “huella digital del dispositivo”)
2.- Aprobada la Ley de Secretos Empresariales
3.- La AEPD publica la revisión en inglés de su guía sobre la gestión de brechas de seguridad
4.- Creación del centro de operaciones de ciberseguridad para las Administraciones Públicas
5.- La AEPD publica un nuevo informe jurídico relativo al tratamiento de datos de salud
6.- La AEPD publica una circular sobre el tratamiento de datos personales relativos a opiniones políticas
1.- La AEPD publica un estudio en el que advierte del peligro del “Fingerprinting” (conocido como “huella digital del dispositivo”)
Definición
La Agencia Española de Protección de datos (“AEPD”) ha publicado su estudio “Fingerprinting o huella digital del dispositivo” en el que analiza cómo funcionan estas técnicas de identificación que, en ocasiones, pueden afectar a la privacidad de los usuarios. Con el término “huella digital”, la AEPD se refiere a “la recopilación sistemática de información sobre un determinado dispositivo remoto, con el objetivo de identificarlo, singularizarlo y poder hacer un seguimiento de la actividad del usuario con la finalidad de perfilarlo”. El hecho de individualizar el terminal supone, en opinión de la AEPD, individualizar a la persona que lo utiliza. El documento ofrece diversas recomendaciones tanto para los consumidores, indicándoles diferentes vías para evitar el seguimiento de su dispositivo, como para la industria, sobre cómo utilizar y explotar los datos obtenidos de conformidad a la normativa aplicable.
Tratamiento
Cuando el usuario accede a una página web con dicho dispositivo, el navegador ejecuta una serie de tratamientos con el objetivo de realizar una recopilación de sus datos que resulte lo suficientemente concreta como para individualizarlo, y los transmite al servidor que los almacena para su uso posterior. La utilización de estas técnicas, puede tener finalidades legítimas pero, a su vez, puede implicar un seguimiento de los usuarios recogiendo información sobre sus intereses sin que éstos seas conscientes de ello y, sin que lo puedan consentir.
Tal y como indica la AEPD, el perfilado no se limita a recopilar y analizar las búsquedas que realizan los usuarios, sino que tiene en cuenta diferentes aspectos como las aplicaciones descargadas, los programas instalados o, incluso, los movimientos del ratón o el tiempo que se detiene el usuario en determinada parte de la pantalla. Así, esta información permite confeccionar una “huella digital” del dispositivo.
Recomendaciones para los usuarios
Entre las recomendaciones para los usuarios incluidas en el documento, resaltamos las siguientes: (i) la opción de “Do not track” del navegador, que supone una petición por parte del usuario para evitar las técnicas de seguimiento; (ii) la instalación de bloqueadores o deshabilitación del Javascript, que evita la captura de parte de los datos del terminal pero que a su vez puede impedir la navegación efectiva en muchas páginas web; (iii) la recomendación de alternar el uso de navegadores, lo que permite que no toda la información sobre la actividad del usuario se asocie a un mismo identificador o, (iv) la ejecución del acceso a internet en máquinas virtuales.
Recomendaciones para los fabricantes y desarrolladores
En cuanto a las recomendaciones ofrecidas en el estudio para los fabricantes y/o desarrolladores, la AEPD insta a que éstos incluyan en sus dispositivos las opciones necesarias para que el usuario disponga de capacidades para denegar o aceptar el uso de estas tecnologías.
Recomendaciones para los responsables del tratamiento
Respecto a las entidades que quieran utilizar la huella, indica la AEPD que mientras el usuario no haya prestado su consentimiento, el responsable del tratamiento deberá abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma.
El documento concluye que, entre otras cosas, “las técnicas de fingerprinting recogen datos del equipo del usuario, de forma general, sin su conocimiento ni consentimiento, tratando información sobre las características del terminal, en algunos casos con una finalidad distinta del propósito técnico inicialmente previsto, mediante la ejecución en el terminal de aplicaciones que captan y transmiten datos hacia los servidores del responsable del tratamiento”. La AEPD indica que “el conjunto de datos recabados puede ser tan extenso que identifique inequívocamente al usuario, y entre los mismos se pueden encontrar algunos definidos como de categoría especial según el RGPD”.
Conclusión
De esta forma, concluye la AEPD que el tratamiento de los datos mediante técnicas de huella del dispositivo debe seguir los criterios recogidos en la “Guía del Uso de Cookies” de la AEPD y lo establecido en el RGPD.
Puede consultar la información completa a través del siguiente enlace .
2.- Aprobada la Ley de Secretos Empresariales
La Comisión de Justicia del Congreso de los Diputados ha aprobado la Ley 1/2019, de 20 de febrero de 2019, de Secretos Empresariales (“LSE”), que entrará en vigor el 13 de marzo de 2019. La Ley, publicada en el Boletín Oficial del Estado el 21 de febrero, tiene como objetivo la transposición al derecho nacional de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas.
La ley se estructura en veinticinco artículos distribuidos en cinco capítulos, una disposición transitoria y seis disposiciones finales.
Con la publicación de la nueva ley, se han definido conceptos que hasta ahora se encontraban dispersos en distintas normas, como en la Ley de Competencia Desleal o el Código Penal. De acuerdo con la LSE, se entiende por secreto empresarial “cualquier conocimiento o información de tipo tecnológico, científico, industrial, financiero, organizativo o comercial que se mantenga en secreto, tenga un valor empresarial por el hecho mismo de ser secreto, y haya sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto”. La información que se trata de proteger abarca no solo conocimientos técnicos, sino también datos empresariales relativos a clientes y proveedores, planes comerciales y estudios o estrategias de mercado.
La LSE también regula la naturaleza patrimonial del secreto empresarial estableciendo la transmisibilidad del mismo así como la posibilidad de pertenecer en cotitularidad a varias personas. La norma establece que el secreto empresarial puede también ser objeto de licencia con el alcance objetivo, material, territorial y temporal que en cada caso se pacte. El titular tendrá derecho a realizar todos los actos que integran la utilización del secreto empresarial, salvo pacto en contrario. La responsabilidad también es objeto de regulación al establecer que quien transmite a título oneroso un secreto empresarial o bien otorgue una licencia sobre el mismo, responderá, salvo pacto en contrario, frente a quien lo adquiera por los daños causados, en tanto en cuanto se declare con posterioridad que carecía de la titularidad o de las facultades necesarias para la realización del negocio que se trate. En todo caso, responderá siempre que hubiese actuado de mala fe.
Define las conductas que deben considerarse como violación de secretos empresariales e incorpora en su capítulo IV una serie de acciones de defensa de los secretos empresariales entre las que se encuentra la indemnización de daños y perjuicios estableciendo un plazo de prescripción para estas acciones de tres años.
Asimismo, la LSE regula los aspectos procedimentales y procesales otorgando la competencia territorial a los Juzgados de lo Mercantil del domicilio del demandado o, a elección del demandante, el de la provincia donde se hubiera realizado la infracción o se hubieran producido sus efectos. Le Ley concluye con una serie de reglas en materia de medidas cautelares para asegurar la efectividad de una posible sentencia condenatoria.
Por último, ha llevado a cabo una modificación del art. 13 de la Ley 3/1991, de 10 de enero, de Competencia Desleal en el que, manteniendo la atribución del carácter de competencia desleal a la violación de secretos empresariales, precisa que ésta se regirá por lo dispuesto en la LSE. De esta forma, la LSE actuará como ley especial frente a las previsiones de la LCD, susceptible, como ley general y en cuanto no se oponga a la especial, de ser utilizada para la integración de lagunas.
Tal y como indica el preámbulo de la norma, “se perfila el encaje de la nueva ley dentro del marco de protección que nuestro ordenamiento jurídico proporciona frente a la violación de los secretos empresariales, sin perjuicio de las consecuencias que, para los casos más graves, resulta de la aplicación de los tipos delictivos contemplados en los art. 278 y 279 del Código Penal”.
Puede consultar la Ley accediendo al siguiente enlace .
3.- La AEPD publica la revisión en inglés de su guía sobre la gestión de brechas de seguridad
Recordamos que el documento contiene criterios prácticos sobre cuándo notificar violaciones de seguridad a la autoridad de control en función del análisis de diferentes variables como el volumen de datos comprometidos, las categorías de datos afectados o la exposición a que se ven sometidos éstos.
El documento en ingles se encuentra disponible en el siguiente enlace . Si desea consultar la versión en español, puede acceder al mismo a través de este enlace .
4.- Creación del centro de operaciones de ciberseguridad para las Administraciones Públicas
El Consejo de Ministros ha dado luz verde a la creación del Centro de Operaciones de Ciberseguridad (SOC, por su denominación inglesa "Security Operations Center"), como instrumento de la Administración General del Estado (AGE), con el objetivo de prestar servicios horizontales de ciberseguridad que aumenten la capacidad de vigilancia y detección de las amenazas en la operación diaria de los sistemas de información y comunicaciones de la Administración, de forma que permita mejorar su capacidad de respuesta ante cualquier ataque.
Puede consultar más información en la nota de prensa disponible a través del siguiente enlace .
5.- La AEPD publica un nuevo informe jurídico relativo al tratamiento de datos de salud
En un nuevo informe jurídico publicado en su página web, la AEPD da respuesta a una consulta planteada por el Centro Nacional de Epidemiología (CNE) relativa a la base jurídica existente para el tratamiento de los datos personales de salud. En particular, la consulta plantea si existe una habilitación legal por parte de los organismos públicos para la cesión de datos personales de salud sin el consentimiento del interesado o si, por el contrario, es necesario contar con este consentimiento.
El CNE es un centro estatal perteneciente al Instituto de Salud Carlos III (ISCIII) que desarrolla tareas de vigilancia de algunas enfermedades sujetas a declaración obligatoria (sida, tuberculosis, etc.). Para identificar y vigilar estas patologías necesita utilizar diferentes bases de datos, clínicas y administrativas, gestionadas por otros organismos públicos.
En opinión de la AEPD, no es necesario el consentimiento de las personas afectadas para la cesión por parte de las Administraciones Públicas al CME de datos personales relacionados con la salud cuando se trate de salud pública o epidemiológica, por las razones que se exponen a continuación.
La actividad en materia de salud se encuentra recogida en la Ley General de Sanidad (Ley 14/1986, de 25 de abril) que reconoce como actividad fundamental del sistema sanitario la realización de estudios epidemiológicos para orientar con mayor eficacia la prevención de los riesgos para la salud. Por otro lado, la Ley General de Salud Pública (Ley 33/2011, de 4 de octubre) establece en su Titulo II una serie de actuaciones que deben llevar a cabo las Administraciones sanitarias. Entre ellas, promover la colaboración entre los servicios asistenciales intercambiando la información necesaria para la vigilancia de la salud pública, prevenir los problemas de salud, vigilancia de la salud pública, etc. Actuaciones que están, en todo caso, sujetas al respeto a la dignidad de la persona y a la intimidad personal y familiar.
En particular, según el art. 41 de la citada Ley General de Salud Pública, “las autoridades sanitarias podrán requerir a los servicios y profesionales sanitarios informes, protocolos u otros documentos con fines de información sanitaria…”. Por tanto, en base a dicha norma, las Administraciones sanitarias no necesitarán obtener el consentimiento de la persona afectada cuando esto sea estrictamente necesario para la tutela de la salud de la población. Es decir, se permite la cesión a otras Administraciones públicas cuando sea estrictamente necesario para la salud de la población.
Debemos recordar que el art. 9 del RGPD, si bien prohíbe el tratamiento de datos personales relativos a la salud de una persona, excepciona de dicha prohibición el tratamiento necesario por razones de interés público esencial, el que sea necesario por razones de salud del trabajador o por la existencia de interés público en el ámbito de la salud pública, entre otras.
Adicionalmente a lo anterior, la LOPDGDD en su Disposición Adicional decimoséptima, en su apartado b) establece que “las autoridades sanitarias e instituciones públicas con competencias en vigilancia de salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública”.
Si quiere consultar el texto completo, pinche en el siguiente enlace .
6.- La AEPD publica una circular sobre el tratamiento de datos personales relativos a opiniones políticas
El pasado 7 de marzo se publicó en el Boletín Oficial del Estado la Circular de la AEPD 1/2019 sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores, (en adelante, Circular 1/2019). La Circular 1/2019 entró en vigor al día siguiente de su publicación. La Circular 1/2019, que sigue la línea iniciada por el informe del Gabinete Jurídico de la Agencia del pasado diciembre, incluye una parte expositiva, once artículos, una disposición transitoria y una disposición final.
Como es sabido, la disposición final tercera de la LOPDGDD modificó la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (“LOREG”), introduciendo el polémico art. 58 bis con el objetivo de regular la recopilación y tratamiento de las opiniones políticas por parte de los partidos así como el envío de propaganda electoral. Ante las críticas y dudas suscitadas en relación a un posible uso abusivo por parte de los Partidos Políticos de las facultades recogidas en dicho artículo, la AEPD defiende una interpretación restrictiva del mismo conforme a lo establecido en la Constitución Española, de forma que no conculque derechos fundamentales, como el derecho a la libertad ideológica del artículo 16, la libertad de expresión e información del artículo 20, el derecho a la participación política del artículo 23 o el propio derecho a la protección de datos de carácter personal reconocido en el artículo 18.4.
¿Qué datos personales pueden ser objeto de tratamiento de acuerdo con la Circular 1/2019?
De acuerdo con lo dispuesto en el art. 5 “sólo podrán ser objeto de recopilación las opiniones políticas de las personas libremente expresadas por éstas en el ejercicio de sus derechos a la libertad ideológica y a la libertad de expresión reconocidos en los artículos 16 y 20 de la Constitución española”. En ningún caso podrán ser objeto de tratamiento otro tipo de datos personales a partir de los que, aplicando tecnologías como el tratamiento masivo de datos o las de inteligencia artificial, se puede llegar a inferir la ideología política de una persona. Según el texto, las únicas fuentes de las que se pueden obtener estos datos son las páginas web y aquellas fuentes que sean de acceso público. Se entiende por tales aquellas cuya consulta puede realizarse por cualquier persona, quedando excluidas aquellas cuyo acceso esté restringido a un circulo determinado de personas.
Garantías
El texto establece una serie de medidas específicas para proteger los intereses y derechos de los afectados. Entre ellas, se regula la obligatoriedad de nombrar un Delegado de Protección de Datos, la adopción de medidas técnicas como la seudonimización, agregación y anonimización, la obligación de consultar a la AEPD antes de proceder al tratamiento a no ser que el responsable justifique que ha adoptado medidas para mitigar los riesgos, etc. La solicitud de consulta a la AEPD o, en su defecto, la remisión de esa documentación deberá realizarse al menos 14 semanas antes del inicio del periodo electoral. El responsable o encargado del tratamiento deberán ser capaces de acreditar documentalmente la adopción de tales garantías. Una vez finalizado el periodo electoral, los datos personales deberán ser suprimidos.
Deber de información
Tomando como base las disposiciones del RGPD, la información debe realizarse de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo. En aquellos casos en los que la comunicación individual a los afectados resulte imposible o desproporcionada, deberá facilitarse en forma electrónica en la página web del responsable y en sus cuentas en redes sociales o servicios equivalentes.
¿Cómo se aplicará a las elecciones del 28 de abril y del 26 de mayo?
Conviene resaltar que la Circular 1/2019 ha introducido en su disposición transitoria una excepción respecto a los procesos electorales del 28 de abril y 26 de mayo, fijando el plazo en tres semanas antes del comienzo de la campaña electoral (no en el de 14 semanas), debiendo emitirse el correspondiente informe o adoptarse las medidas oportunas con anterioridad al inicio de la campaña.
Puede acceder al texto completo de la Circular 1/2019 en el siguiente enlace . Además, en la página web de la AEPD se encuentra disponible la Memoria de Análisis de Impacto Normativo y al informe del Gabinete Jurídico sobre el tratamiento de datos de opiniones políticas por parte de los partidos.
|
|
|
|
