Protección de Datos Empresarial

Las empresas manejan una serie de información y datos sobre sus clientes, trabajadores o terceros relacionados con sus actividades comerciales.

 

En la mayoría de los casos, estos datos son de carácter personal y deben ser tratados con sumo cuidado para evitar violentar la normativa de privacidad y datos personales.

 

¿Esta su empresa realizando un tratamiento correcto de estos datos? Haga un examen respondiendo a las siguientes cuestiones y sabrá que aspectos debe cambiar, mejor y proteger en su entorno laboral para la protección de datos de quienes actúan en el ejercicio de sus actividades.

 

1. ¿Tiene su empresa datos de carácter personal?

 

2. De qué tipos son los datos personales que trata?

 

3. ¿Definió para qué guarda esos datos y por cuánto tiempo los guardará?

 

4. ¿Tiene declaradas sus bases de datos ante algún ente regulador?

 

5. Cuando recolecta datos, ¿informa a los interesados que lo está haciendo?

 

6. Cuando capta datos, ¿pide el consentimiento a sus dueños?

 

7. Los empleados de su empresa, ¿están al tanto del deber de secreto y confidencialidad de los datos personales que usan?

 

8. ¿Han firmado sus empleados un compromiso de confidencialidad?

 

9. ¿Dispone su empresa de un documento de seguridad que contemple responsables y procedimientos específicos para el debido tratamiento de datos personales?

 

10. ¿Cómo obtiene datos su empresa?

 

11. ¿Conoce los derechos que la Ley otorga a las personas sobre sus datos personales?

 

12. ¿Sabrían en su empresa cómo actuar si un cliente le pide saber qué datos suyos guardan en la empresa y con qué finalidad o le pide darse de baja de sus bases de datos?

 

13 ¿Tiene un procedimiento establecido paraque los dueños de los datos ejerzan sus derechos de acceso, rectificación, cancelación y olvido?

 

14 ¿Capacita a su personal respecto al correcto uso de datos personales?

Anuncios

GOL a la NET

En el marco del evento multisectorial NetMundial celebrado los días 23 y 24 de abril d 2014 en la ciudad de Sao Paulo, la Presidenta de Brasil, Dilma Rousseff  sanciono 24 horas antes de la inauguración del evento, la denominada ley “Marco Civil de Internet” entre polémicas entre los diputados brasileños e innovando en la región al expedir una Ley con argumentos que muchas de nuestras legislaciones carecen; el gobierno brasileño mete un gol a la net.

 

El Marco Civil de Internet regula cuestiones como:

1. Las compañías no podrán limitar el acceso a los usuarios de Internet a determinados contenidos (#InternetLibre);

2. Las compañías no podrán cobrar precios diferentes por cada servicio prestado (#NeutralidadRed);

3. Se les prohíbe la inviolabilidad de las comunicaciones, a las compañías y proveedores de servicios de Internet;

4. Los proveedores de Internet deberán almacenar los registros de conexión por seis (6) meses y ponerlos a disposición de las autoridades previa autorización judicial.

 

En cuanto, a los puntos polémicos del Marco Civil de Internet, se encuentran los temas relacionados a la neutralidad en la red; el almacenamiento de datos y el castigo a los usuarios de Internet y NO a proveedores por contenidos vinculados. Igualmente se cuestiona la legalidad del artículo 15 del texto que representa para la sociedad civil, una amenaza a la libertad ya que obliga a las empresas a guardar los datos de los ciudadanos durante el término de seis (6) meses, trayendo como consecuencia un debilitamiento de la protección de la privacidad y protección de datos personales, y en cumplimiento del principio de presunción de inocencia se obliga a almacenar de manera obligatoria las acciones de los usuarios de Internet de forma indiscriminada y masiva.

Correos electrónicos y celulares son prueba de vínculo laboral

Hace un par de semanas, recibí un fallo del Tribunal Constitucional de Lima, Perú sobre los correos electrónicos y celulares como medio de prueba y su vinculación en el ámbito laboral. Lo considero muy útil y de refleionar para aplicación en el resto de países de la región.

 

Correos electrónicos y celulares son prueba de vínculo laboral

En una reciente sentencia del Tribunal Constitucional, a través de su Sala Segunda, estableció nuevos criterios para determinar los medios probatorios idóneos para determinar la existencia de una relación laboral. La particularidad de estos nuevos criterios es que aluden a medios tecnológicos, como el correcto electrónico o los teléfonos celulares.

El recurso de agravio constitucional que originó la precitada sentencia, fue interpuesto por Juan Alberto Velásquez Serquén, al haber sido declarada improcedente su acción de amparo por despido nulo contra la empresa Electronorte S.A.

En uno de los extremos de su sentencia, el Tribunal Constitucionales señala que “En buena cuenta, los correos electrónicos citados prueban que Electronorte le asignaba al recurrente su horario de trabajo, sus labores a desempeñar y supervisaba el desarrollo de las mismas; es decir Electronorte ejercía sobre el recurrente su poder de dirección a pesar de que no era su empleadora.”

Entonces, para que constituya un medio probatorio fehaciente, no basta sólo con la existencia de correos electrónicos dirigidos por el empleador a trabajador: se debe analizar su contenido. Estos deben contener información sobre turnos, asignación de actividades o funciones específicas y/o mostrar acciones de supervisión directa de la empresa.

En cuanto a los teléfonos celulares, se señala que “El plan de emergencia y los planes de contingencia obrantes de fojas 109 a 159,  prueban que Electronorte le entregó al recurrente un teléfono celular y asumió su  costo para que desempeñe sus labores de Asistente de Seguridad Patrimonial, a pesar de que SERNEGAMA S.A.C. era su empleadora y debía asumir por su sola cuenta  el costo del servicio de seguridad; es decir, ella debía asignarle al recurrente un  teléfono celular y no Electronorte.”

Sobre este punto, el TC considera que el hecho de que la empresa asigne un teléfono celular al trabajador y asuma directamente todos los costos ligados a este, y no la empresa de intermediación laboral, son prueba suficiente para determinar, en función al principio de primacía de la realidad, que existe una relación laboral.

Finalmente, el TC señala que los medios probatorios citados demuestran que entre Electronorte y el recurrente existió una relación laboral a plazo indeterminado que fraudulentamente fue encubierta mediante contratos de tercerización. Por dicha razón la extinción de su relación laboral es un despido arbitrario, por cuanto Electronorte no ha justificado la extinción en la comisión de una falta grave relacionada con su conducta o capacidad laboral, razón por la cual procede estimar la demanda y ordenar su reposición.”

Las redes sociales y la relación abogado-cliente

Quiero compartir en mi Blog, un artículo que leí hace un par de meses, de como las redes sociales y en este caso en específico, el WhatsApp no es el medio seguro que los clientes creen para transmitir información a sus abogados.

Lo primero que hice, luego de leer este artículo fue compartirlo con mis clientes y exigirles que por favor toda nuestra comunicación fuera por medio de correo electrónico y de una manera tan informal como una red social.

 

Los riesgos del uso de Whatsapp en la relación abogado-cliente

Francisco Pérez Bes, vicepresidente de ENATIC y miembro de la Comisión Jurídica del Consejo General de la Abogacía Española

Con fecha 2 de julio de 2013, la Autoridad Catalana de Protección de Datos (APDCAT), emitió un Dictamen a solicitud del Colegio de Abogados de Sabadell, el cual solicitó a dicho organismo regulador a que se pronunciara en cuanto a los eventuales riesgos que puede implicar el uso de las conocidas aplicaciones de mensajería instantánea “Whatsapp” y “Spotbros” en el ámbito profesional de las relaciones entre abogado y cliente, así como respecto del grado de adecuación de dicha herramienta a la normativa de protección de datos.

Tras un detenido análisis de la citada aplicación, tanto desde un punto de vista técnico como de los términos y condiciones de uso, las conclusiones a las que llega la APDCAT respecto de la idoneidad de su uso en este caso, son las de desaconsejar dicho uso dentro del ámbito de la relación profesional antes citada.

En este sentido, la APDCAT concluye que, sin perjuicio de la eventual responsabilidad legal que pudiera corresponder a la citada plataforma por el inadecuado tratamiento de los datos de sus usuarios, el abogado tiene un grado de responsabilidad específico respecto al tratamiento de los datos de sus propios clientes, entre lo que se incluye la elección del canal de comunicación más adecuado para tales fines.

A esto hay que añadir que, para la Autoridad Catalana, está claro que en el contexto de la relación entre abogado y cliente puede ser habitual la comunicación y tratamiento de datos considerados sensibles de los definidos en el artículo 7 de la LOPD, como pueden ser, por ejemplo, datos de salud o datos relativos a la comisión de infracciones penales o administrativas.

Tal circunstancia, unida al hecho de haberse detectado diversas vulnerabilidades de seguridad, lleva a considerar que el uso de las aplicaciones analizadas en el ejercicio de la abogacía en España, no resulta recomendable, ya que aquellas no garantizarían la seguridad de la información exigida por la normativa de protección de datos.

Para la realización de este Dictamen, la APDCAT se basa en la Opinión 2/2013, de 27 de febrero de 2013, emitida por el Grupo de Trabajo del Artículo 29, sobre aplicaciones en dispositivos inteligentes (“Opinion 2/2013, on apps on smart devices”). También se hace referencia al Dictamen de la Autoridad de Protección de Datos holandesa, de enero de 2013 (“Investigation into the processing of personal data for the “whatsapp” Mobile application by WhatsApp. Inc.”), en el que se analizan las actividades de dicha app a la vista de la normativa europea de protección de datos y privacidad; y al Dictamen de la Autoridad Federal de Canadá (Office of the Privacy Commissioner of Canada), también de enero de 2013, sobre la ley canadiense de protección de datos (“Findings under the Personal Information Protection and Electronic Documents Act – PIPEDA”).

El Dictamen de la APDCAT, una vez analizados, de forma detallada, los términos y condiciones de uso de la citada aplicación de mensajería instantánea, sostiene que, en tanto en cuanto Whatsapp utiliza (al igual que Spotbros), para la prestación de sus servicios, terminales situados en territorio español, a la misma le resulta de aplicación la legislación española, por lo que, a estos efectos, debe cumplir –sin excepción- con los principios y garantías recogidos en la normativa española sobre protección de datos de carácter personal. En relación a este extremo, hay que recordar que el Considerando 24 de la Directiva 2002/58/CE ya reconoce que los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda la información almacenada en tales equipos forman parte de la esfera privada de los usuarios, lo que implica que la información personal a la que se acceda a través de aplicaciones, debe quedar protegida por la LOPD.

El alcance de la normativa europea en estos supuesto ya fue analizada por el Grupo de Trabajo del Artículo 29 en su Documento de 30 de mayo de 2002, sobre la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la Unión Europea; y el Dictamen 8/2010 sobre Derecho aplicable. Asimismo, el artículo 5.3 de la Directiva 2002/58/CE prevé que en relación con el almacenamiento de información y la obtención de acceso a la información almacenada en el terminal de un abonado o usuario, se aplica la Directiva 95/46/CE sobre el consentimiento y el deber de información al usuario.

EL ABOGADO, RESPONSABLE DEL TRATAMIENTO DE DATOS DE SU CLIENTE

Llegados a este punto, la APDCAT afirma, acertadamente, que la relación abogado-cliente no puede incluirse en la excepción de relación en un ámbito doméstico, tal y como recoge el artículo 2.a) de la LOPD. En este sentido, el abogado sería responsable del tratamiento de los datos de su cliente y de los ficheros en que aquellos se incluyen, de manera que deberá velar por el cumplimiento de la normativa de protección de datos.

La problemática en este ámbito se incrementa desde el momento en que apps como Whatsapp se reservan el derecho (y así lo indica en sus términos y condiciones) a acceder no sólo a los datos personales del usuario (entre los que se encuentran nombres y otros datos, como pueden ser fotografías), sino también a los de las personas que el usuario tiene como contactos en su agenda telefónica. Esto implica, afirma la Autoritat en su Dictamen, que el uso de esta aplicación por parte del abogado en su relación con su cliente puede generar un tratamiento de datos personales de aquellos de sus clientes que aparecen como contactos en la agenda de su terminal e, incluso, de terceras personas (porque, por ejemplo, sus datos aparezcan en un mensaje o en un adjunto que se difunda por ese canal). En tal caso, las obligaciones de la LOPD también alcanzan a esta práctica, sin que, a día de hoy, haya quedado acreditado que Whatsapp cumpla con aquellas.

Continúa el Dictamen realizando un análisis de la falta de adaptación de Whatsapp a la normativa sobre protección de datos en otros aspectos tales como el consentimiento para el tratamiento de datos y la obligación de información previa al tratamiento de datos.

Otro elemento clave a la hora de la aplicación de este análisis al sector de la abogacía, es el de la carencia de medidas de seguridad adecuadas. En efecto, uno de los ejes fundamentales en torno al cual gira la normativa de protección de datos es el que tiene que ver con el cumplimiento de las medidas de seguridad técnicas que deben aplicarse al tratamiento de información personal, dependiendo del tipo de información que se maneje y del nivel de protección que deba aplicarse en cada caso, de conformidad con lo dispuesto en el artículo 9 de la LOPD y correspondientes (Título VIII) del Reglamento de desarrollo.

En este caso en particular, el Dictamen hace especial hincapié en el hecho por el cual los propios términos y condiciones de la herramienta que ahora nos ocupa, ya reconocen, de manera expresa, la inexistencia de medidas de seguridad apropiadas para mantener la debida privacidad de la información que en ella circula. Hay que recordar que, conforme a la normativa aplicable, debe ser la plataforma la encargada de aplicar las medidas de seguridad legalmente exigibles. Tampoco hay que olvidar que el abogado ostenta, igualmente, ciertas obligaciones de diligencia que debe aplicar a la información que dispone de sus clientes.

En relación a este punto, el Dictamen es claro cuando dice: “que los propios responsables del tratamiento desaconsejen la comunicación de datos sensibles a través de la app, resulta especialmente relevante a la hora de que el usuario –el abogado en este caso- valore la conveniencia de utilizarla, desde la perspectiva de la protección de datos, ya que las comunicaciones entre abogados y clientes pueden incluir habitualmente datos sensibles, los cuales pueden quedar desprotegidos, como parecen admitir las propias empresas responsables”.

MENSAJES ENVIADOS A LOS SERVIDORES DE WHATSAPP

Además, en este caso, la política de privacidad de Whatsapp afirma que ni se copia ni se guarda ni se archiva el contenido de los mensajes que se envían. Pero los mensajes que escriben los usuarios de esta herramienta son enviados a los servidores de Whatsapp, para que puedan remitirse a los destinatarios de los mismos, siempre y cuando sean, a su vez, usuarios de Whatsapp. Cuando el destinatario del mensaje no está conectado, dicho mensaje se almacena durante un periodo de 30 días, fecha a partir de la cual se borra en el caso de que no pueda ser entregado. Así pues, y a la vista de las afirmaciones anteriores, relacionadas con la ausencia de medidas de seguridad aceptables por la normativa española, la información contenida en esos mensajes puede quedar desprotegida, de manera que terceros puedan acceder inconsentidamente a esos contenidos, los cuales pueden contener datos y otra información de carácter personal.

En particular, en lo que se refiere a las vulnerabilidades identificadas tras el estudio y análisis de la APDCAT, destacan, de un lado, debilidades en la protección de las contraseñas de los usuarios. Según afirma la autoridad holandesa, hace algunos meses se constató que resultaba relativamente sencillo suplantar la identidad de un usuario en Whatsapp y enviar y recibir mensajes de forma fraudulenta. Esta situación –según parece- fue corregida. Pero, a día de hoy sigue constando como vulnerabilidad el hecho de que tal contraseña queda almacenada en un archivo no cifrado del terminal en el que la app ha sido descargada, lo que permitiría accesos no autorizados por parte de terceros a los contenidos de los mensajes entre el abogado y su cliente, pudiendo –incluso- ser manipulados.

De otro lado, también el cifrado de información es objeto de análisis en este Dictamen, alcanzándose la misma conclusión en cuanto a la no observancia de las medidas de seguridad necesarias en aquellos casos en que los mensajes incluyan información de carácter sensible. En efecto, aún a pesar de que la información que, en forma de mensajes instantáneos, se transmite por la app, pueda estar encriptada, su almacenamiento en el terminal no es el adecuado para protegerla de acceso inconsentidos de terceros. Por lo que, de nuevo, nos encontramos ante una carencia crítica que convierte a esta app en no apta para que el abogado se relacione con su cliente.

Por último, el Dictamen de la APDCAT afirma haber acreditado que, desde un punto de vista técnico, se ha puesto de manifiesto que utilizando una API ajena a Whatsapp, un usuario podría distribuir contenidos de manera anónima. Tal hecho permitiría subir archivos (incluyendo virus), y distribuirlos a través de la plataforma, dejando patente un claro riesgo para la seguridad de la información que ahí se haya vertido.

Todo ello, lleva a la autoridad catalana a considerar que ni Whatsapp ni Spotbros, desde una perspectiva técnica, tampoco resultan adecuadas para un tratamiento de datos sensibles que, eventualmente, pueda compartir un ciudadano con su abogado.

Esta opinión de la Autoridad catalana resulta tremendamente importante, pues pone de manifiesto los riesgos que implica el uso de este tipo de apps y otros servicios de mensajería instantánea y de almacenamiento, cuyo uso generalizado y comodidad resultan innegables. Ahora bien, debemos tener en cuenta que el ejercicio de la abogacía exige que se den cumplimiento a otras obligaciones adicionales, como son –entre otras- la obligación de diligencia y secreto profesional. De este modo, se hace patente la cada vez mayor necesidad de identificar qué aplicaciones y otras herramientas resultan adecuadas para gestionar esta relación entre abogado y cliente, pues de otro modo podemos estar incurriendo en infracciones legales y deontológicas graves.

y ahora Dropbox …

He recibido correspondencia, nada más y nada menos que de nuestros amigos que almacenan nuestros archivos: Dropobox. Hace casi 6 meses recibí una correspondencia parecida de los colaboradores de nuestro tan querido Mark Zuckeberg.

La misma trata sobre las “Actualizaciones a las Condiciones del servicio y a la Política de privacidad de Dropbox”

Y me cuentan lo siguiente:

Hola, Lia:

Deseamos comunicarte algunas de las próximas actualizaciones a nuestras Condiciones del servicio y a nuestra Política de privacidad. Estas actualizaciones entrarán en vigencia el 24 de marzo de 2014.

Obtén más información en nuestro blog (en inglés únicamente). Aquí se incluyen los aspectos generales:

  • Agregamos un apartado acerca del arbitraje a las Condiciones del servicio actualizadas. El arbitraje es una forma rápida y eficiente de resolver disputas y ofrece una alternativa a ciertas opciones, como los tribunales estatales o federales donde los procesos pueden demorar meses e incluso años. Si no deseas aceptar el arbitraje, puedes rechazarlo a través de un formulario en línea en un plazo de 30 días posteriores a la entrada en vigencia de estas Condiciones. Este formulario, al igual que otros detalles, está disponible en nuestro blog.
  • Agregamos un apartado a la Política de privacidad en el que se describen nuestros recientes principios para solicitudes de datos del gobierno. También incluimos aclaraciones que te ayudan a comprender mejor cómo nuestros servicios usarán tu información. Por ejemplo, explicamos que, cuando nos concedes acceso a tus contactos, los almacenaremos para que tú (únicamente) puedas llevar a cabo ciertas acciones, como compartir archivos fácilmente, independientemente del dispositivo que uses.
  • También actualizamos nuestras Condiciones del servicio y nuestra Política de privacidad para explicar y reflejar mejor la creciente lista de características disponibles para los clientes de Dropbox para empresas.

Aunque simplificamos gran parte del texto, nuestro compromiso con la seguridad y la protección de tus archivos no se ve afectado. No venderemos tus datos personales a terceros. No ofrecemos anuncios en función de los archivos que almacenas en nuestros servicios. Como siempre, tus archivos te pertenecen.

Si tienes alguna consulta acerca de estas actualizaciones, puedes obtener más información en nuestro blog (en inglés únicamente); o bien, envíanos un mensaje a tos-questions@dropbox.com.

Gracias por usar Dropbox.

– El equipo de Dropbox

Facebook y sus políticas de Privacidad

¿A cuántos de ustedes, la red social más famosa y usada del mundo, los ha sorprendido con un mensaje como este?

Lo han leído? Les parece que le hablan en chino? Si es así, en entradas futuras resolveremos las dudas más comunes de todo usuario de Facebook.

Hola, Lia:
Te escribimos para comunicarte que proponemos una serie de actualizaciones para la Política de uso de datos y laDeclaración de derechos y responsabilidades. En estos dos documentos se indica el modo en que recopilamos y usamos los datos, así como las reglas que se aplican cuando decides usar Facebook. Nuestro objetivo con estas actualizaciones es que nuestras prácticas sean más claras.
En ocasiones actualizamos estos documentos para garantizar que te comunicamos las acciones más recientes que puedes llevar a cabo en Facebook. En este correo electrónico se describen los cambios clave que hemos propuesto y se te dirige a los lugares donde puedes obtener más información.
¿Qué se va a actualizar y por qué?
Ambos documentos tienen un nuevo texto para ayudarte a entender mejor:
  • El funcionamiento de la publicidad en Facebook
  • Lo que sucede al usar tu nombre, foto del perfil, contenido e información personal con los anuncios o contenido comercial
  • El modo de controlar o eliminar las aplicaciones que has usado
  • Los datos que compartes con los dispositivos móviles
Como siempre, no compartiremos con los anunciantes la información privada que guardes en Facebook sin tu permiso.
¿Qué debes hacer y cuándo se producirán las actualizaciones?
Puedes consultar todas las actualizaciones en la pestaña “Documentos” de la página Site Governance y, en los próximos siete días, dejar comentarios en dicha página para enviarnos tu opinión. Dedica tiempo a leerlo todo y darnos tu opinión. Si debido a los comentarios que recibamos se producen más actualizaciones, también las publicaremos en la página Site Governance.
Para mantenerte al tanto de temas parecidos, indica que te gustan nuestras páginas Site Governance y Privacidad. Y si quieres saber más sobre cómo te mostramos anuncios interesantes y relevantes, o cómo las cookies y tecnologías similares nos ayudan a hacerlo, visita las páginas Anuncios publicitarios y Cookies. Esperamos que estos recursos te resulten útiles.
Atentamente,
Erin Egan
Directora de privacidad
Facebook