ESPIAR CORREOS ELECTRONICOS CON CONDICIONES

El Tribunal Europeo de Derechos Humanos (TEDH) conocido como Tribunal de Estrasburgo ha enmendado en fecha de hoy [1] una decisión suya de enero de 2016 en relación a la licitud del despido de un trabajador basado en el uso para fines personales de las herramientas informáticas de la empresa puestas a su disposición, las cuales habían sido objeto de control y monitorización por parte de aquella.

En este nuevo pronunciamiento el Tribunal de Estrasburgo afirma que ha habido una violación del derecho al respeto a la vida privada, domicilio y correspondencia del trabajador  contemplado en el artículo 8 de la Convención Europea de Derechos Humanos y que no se han ponderado debidamente por parte de los tribunales nacionales los intereses en juego, esto es, por un lado, el poder de control empresarial sobre las herramientas corporativas puestas a disposición del trabajador, incluida la monitorización de las comunicaciones y por otro, el derecho a la vida privada y correspondencia del trabajador.

De acuerdo con dicho Tribunal, para poder monitorizar las comunicaciones de los trabajadores es necesario un aviso previo al trabajador antes de su implantación con el detalle de las medidas de monitorización que se van a adoptar, la naturaleza, la  justificación de las mismas, y que con ellas se podría acceder al contenido de las comunicaciones.

En consecuencia, antes de controlar cualquier actividad del trabajador  haciendo uso de las herramientas informáticas de la empresa puestas a su disposición, tales como ordenadores, teléfonos, tablets, y con independencia del  tipo de canal que permita la comunicación entre emisor  y receptor (correo electrónico, Whatsapp) se deberá comunicar al trabajador con carácter previo a su implantación con el detalle necesario que le permita comprender que se accederá a los contenidos de las comunicaciones.

Esta Sentencia del TEDH nos ha recordado a los supuestos legítimos en su día fijados por el Tribunal Constitucional Español para la colocación de cámaras de videovigilancia permanentes en el ámbito laboral, que graben de forma habitual a los trabajadores debiendo informarles de forma previa y expresa, clara e inequívoca de la finalidad de la cámara, propósitos de la grabación, tiempo y su posible uso para la imposición de las sanciones disciplinarias por incumplimiento del contrato de trabajo.

[1]https://hudoc.echr.coe.int/eng#{“languageisocode”:[“ENG”],”documentcollectionid2″:[“JUDGMENTS”]}

LAS VOLUNTADES DIGITALES

Recientemente, se ha publicado de una nueva ley pionera en Cataluña que permite regular las voluntades digitales[1] y controlar la actividad digital de los menores cuando existan riesgos que pueden afectar a su desarrollo.

1.¿Que son las voluntades digitales?

Las voluntades digitales tienen como principal objetivo entre otras cuestiones, establecer unas normas que permitan determinar con claridad como se ha de administrar el legado relativo a la actividad de cada persona en los entornos digitales.

Las voluntades digitales en caso de fallecimiento pueden regular la realización de las siguientes actuaciones:

  • comunicación de fallecimiento por parte de la persona designada a los prestadores de servicios digitales.
  • pedir la cancelación de las cuentas activas.
  • solicitar a los prestadores de servicios digitales que ejecuten las cláusulas contractuales o que se activen las políticas establecidas para los casos de fallecimiento y si es el caso, que entreguen una copia de los archivos digitales.
  • la regulación de los archivos digitales cuando una persona fallece, puede ir orientada en dos direcciones o bien dando instrucciones precisas a la persona designada y/o en su defecto a los herederos para que se eliminen la totalidad de los archivos digitales ante los prestadores de servicios digitales donde el causante tenga cuentas activas, o bien que dichos archivos digitales se perpetúen en la memoria con la conservación de los elementos que aquellos determinen en entornos digitales o en cualquier otra solución que consideren pertinente.

2. ¿Cómo se articulan las voluntades digitales?

Las voluntades digitales se pueden articular a través de un testamento, codicilio, memorias testamentarias, y en su defecto, también por medio de un documento de voluntades digitales que se ha de inscribir en el Registro electrónico de voluntades digitales.

El documento de voluntades digitales se puede modificar y revocar en cualquier momento y no produce sus efectos si existen disposiciones de última voluntad.

3. ¿Cómo se puede ejercer el control parental respecto de los menores en entornos digitales?  

De acuerdo con la ley catalana los progenitores han de velar porque la presencia del hijo en entornos digitales sea apropiada a su edad y personalidad con el fin de protegerlos de los riesgos que se puedan derivar.

Los padres pueden adoptar las medidas adecuadas ante los prestadores de servicios digitales y entre otras, solicitar la suspensión provisional del acceso de sus hijos a sus cuentas digitales activas siempre que haya un riesgo inmediato y grave para su salud física o mental, acompañando un informe del facultativo donde se constate la existencia de dicho riesgo.

La suspensión definitiva y/o cancelación de las cuentas digitales requiere de autorización judicial.

[1] Ley 10/2017, de 27 de junio de las voluntades digitales y de la modificación de los libros segundo y cuarto del Código Civil de Cataluña. La ley fue publicada el pasado 29 de junio de 2017 el DOGC y entra en vigor a los 20 días de su publicación.

RECUPERE LA PLUSVALIA PAGADA EN VENTAS CON PERDIDAS

RECUPERE LA PLUSVALIA PAGADA EN VENTAS CON PERDIDAS

Finalmente, se ha publicado en el Boletín Oficial del Estado (BOE)[1] la sentencia del Tribunal Constitucional que declara inconstitucional determinados artículos de la Ley Reguladora de Haciendas Locales (LHL), en la medida que se hacía tributar al contribuyente en todo caso en el supuesto de ventas de viviendas, por la vía del Impuesto de Incremento del Valor de los Terrenos de naturaleza Urbana (IIVTNU) conocido popularmente como “Plusvalía Municipal”, con independencia de si había habido ganancias o pérdidas asociadas a dicha venta.

De acuerdo con la Sentencia, la Ley Reguladora de las Haciendas Locales no contempla la posible existencia de una minusvaloración en el momento de la transmisión de los inmuebles” y mediante su invocación para la exigibilidad del pago de la Plusvalía, se estaría sometiendo a tributación manifestaciones de riqueza inexistentes, lo cual vulnera el principio constitucional de capacidad económica (art. 31 CE).

La consecuencia es que han sido declarados inconstitucionales y por tanto nulos los artículos 107.1, 107.2 a) y 110.4 de la LHL, pero únicamente en la medida en que someten a tributación situaciones de inexistencia de incrementos de valor”.

Con la crisis y la coyuntura económica de los pasados años, son muchos los contribuyentes que manifestaban su desaprobación al pago de un impuesto que supuestamente va asociado a una ganancia patrimonial incluso cuando esta es inexistente, como es el caso de la venta con pérdidas.

Con esta sentencia y desde el punto de vista práctico, ya se dispone de un amparo constitucional a la posibilidad de recuperar el importe que se haya pagado en concepto del IIVTNU o Plusvalía en los casos de ventas, en las cuales se ha sufrido una pérdida económica.

¿Cuál es el escenario principal para poder solicitar la devolución de la plusvalía pagada?

Para poder solicitar la devolución de la plusvalía es requisito haber tenido una pérdida económica en la venta y que el derecho no haya prescrito, diferenciando dos situaciones de partida:

  1. Cuando el contribuyente ha presentado una autoliquidación, el plazo de prescripción es de 4 años desde la presentación de dicha autoliquidación y antes de que se haya dictado liquidación definitiva.
  2. Cuando el Ayuntamiento emplea el sistema de liquidación, el plazo es de 1 mes desde que se practicó tal liquidación.

Si Ud. ha sufrido una pérdida económica y además su derecho no ha prescrito, en CR Consultores Legales le podemos asesorar en la recuperación de la plusvalía que pagó.

[1] Sentencia del Tribunal Constitucional de 11 de mayo de 2017 disponible en el siguiente vínculo http://www.boe.es/boe/dias/2017/06/15/pdfs/BOE-A-2017-6848.pdf

FIN DEL ROAMING

Eliminación del roaming o servicios de telecomunicaciones en itinerancia al por menor a partir del 15 de junio de 2017 de acuerdo con el Reglamento UE 2015/2120 del Parlamento Europeo y del Consejo.

Ámbito de aplicación

Estados Miembros pertenecientes a la Unión Europea. No se aplica a países que no pertenezcan a la Unión Europea.

Servicios afectados

Eliminación de los recargos por itinerancia, no aplicando recargo alguno respecto del precio al por menor nacional a los clientes itinerantes en cualquier Estado miembro en los servicios de telecomunicaciones en itinerancia al por menor consistentes en:

i) cualquier llamada itinerante regulada, efectuada o recibida.

ii) cualquier sms itinerante regulado, enviado.

iii) cualquier servicio regulado de itinerancia de datos, incluyendo mensajes mms.

Tampoco se aplicará recargo general alguno a fin de permitir la utilización en el extranjero del equipo terminal o servicio.

Límites

La eliminación de los recargos convivirá con la aplicación de políticas de uso razonable y un posible recargo en determinados casos:

-políticas de uso razonable que puedan establecer los prestadores de servicios en itinerancia para evitar usos abusivos o anómalos, de forma que, puedan regular unos usos razonables fijando límites de uso en los servicios por parte del usuario final y pudiendo exigir un cargo adicional si se supera dicho límite.

un posible recargo debidamente justificado cuando no es posible la sostenibilidad en la supresión de los recargos, esto es, sí un proveedor de estos servicios no es capaz de recuperar sus costes totales, reales y previstos respecto de sus ingresos totales, reales y previstos por la prestación de dichos servicios podrá solicitar la autorización de aplicar un recargo.

CASO UBER y ASOCIACION PROFESIONAL ELITE TAXI

Uber pierde su primera batalla contra la Asociación Profesional de taxistas de Barcelona.

De acuerdo con las conclusiones del abogado general, Uber no se puede beneficiar del principio de libre prestación de servicios en el ámbito de los <<servicios de la sociedad de la información y régimen de exoneraciones de responsabilidad establecidas para los intermediarios>>.

El servicio que ofrece Uber es un servicio en el ámbito del transporte y por lo tanto, sometido a las condiciones exigidas para poder prestar servicios de transporte y en el caso concreto, disponer de las preceptivas licencias y autorizaciones contempladas en el Reglamento Metropolitano del Taxi de Barcelona.

A nuestro modo de ver, si la plataforma electrónica (la que pone en contacto usuario con conductor) organiza los medios de producción y humanos en relación a los servicios subyacentes (servicio de transporte), realiza una selección de profesionales, decide los precios de los profesionales, su cualificación, sus horarios, las condiciones de prestación y gestiona la calidad de los mismos más probabilidades tendrá de ser considerada como prestadora de servicios en sí misma y no como mera intermediaria de un servicio de la sociedad de la información siéndole de plena aplicación la normativa sectorial (transporte) fiscal y laboral.

Enlace a las conclusiones del Abogado del Estado de 11 de mayo de 2017

https://curia.europa.eu/jcms/upload/docs/application/pdf/2017-05/cp170050es.pdf

Enlace artículos publicados relacionados con los Proyectos de Economía Colaborativa e

 

 

 

 

 

 

IP DINAMICA Y DATO DE CARACTER PERSONAL

La IP dinámica recibe la consideración de dato de carácter personal siempre que la persona física pueda ser identificada o identificable, se cumplan los requisitos impuestos por la Sentencia del Tribunal de Justicia de la Unión Europea de 19 de octubre de 2016 (STJUE) y su consideración de dato personal se incluya dentro de los supuestos contemplados en el Reglamento de Protección de Datos (RPD). Los requisitos que fija la STJUE y el RPD son los siguientes:

  1. Una persona física es identificada por norma general a través de su nombre y apellidos, dirección de correo electrónico. La dirección IP dinámica no es una información relativa a persona física identificada puesto que con esa dirección no se revela la identidad de la persona física propietaria del ordenador desde el cual se realiza la conexión a Internet y consulta del sitio web, sin embargo, la persona física puede ser identificable a través de su dirección IP.
  2. Se considera que una persona física puede ser identificable cuando su identidad pueda determinarse directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social. Haciendo una interpretación más extensiva de la identificación indirecta y de acuerdo con el Reglamento Europeo de Protección de Datos, se puede identificar indirectamente a una persona además de con un número de identificación (DNI o Pasaporte), con datos de localización y con datos de identificadores en línea, incluimos dentro de los datos de identificadores en línea, las direcciones de los protocolos de internet donde se incluye la IP.
  3. Para determinar si una persona es identificable según la STJU hay que tener en cuenta el conjunto de medios que pueden ser razonablemente usados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona. Se considera que no existen medios razonables cuando la identificación del interesado está prohibida por ley o sea irrealizable por el esfuerzo que supone teniendo en cuenta los costes, el tiempo y los recursos humanos.
  4. Respecto a la consideración de dato personal de las direcciones IP dinámicas registradas por un proveedor de servicios en línea cuando una persona consulta su página web, será considerado como dato personal sujeto a la normativa de protección de datos, siempre y cuando el proveedor de servicios antes citado disponga de la información adicional que permite asociar la dirección IP con esa persona física.

Aquí nos preguntamos si el combinar la dirección IP dinámica que dispone el proveedor de servicios en línea con los datos que dispone el proveedor de acceso a Internet es un medio que pueda ser razonablemente utilizado para identificar al interesado. De entrada apuntar que por norma no será posible la cesión de dichos datos “información adicional” por parte del proveedor de acceso a internet al proveedor de servicios en base al deber de sigilo respecto a los datos de carácter personal, sin embargo, este puede solicitar dicha información en el marco de una investigación penal o en caso de ataques cibernéticos. Por lo tanto en estos casos, el proveedor de servicios dispone de medios que pueden usarse razonablemente para identificar a la persona física con la ayuda del proveedor de acceso o de la autoridad judicial competente.

Conclusión: la IP dinámica es un dato personal para el proveedor de productos y servicios en Internet cuando este dispone de medios legales para identificar a la persona interesada gracias a la información adicional facilitada por el proveedor de acceso a Internet.

INICIO CAMPAÑA RENTA 2016

1. ¿Quién está obligado a declarar por el Impuesto sobre la Renta de las Personas Físicas – IRPF? 

Están obligados a declarar por el IRPF las personas físicas que tengan su  residencia habitual en España  que hayan percibido rendimientos del trabajo (sueldo, pensiones, salarios), del capital mobiliario (dividendos de acciones, intereses de cuentas), de ganancias patrimoniales (transmisión de bienes, de acciones, fondos de inversión) y determinadas rentas inmobiliarias y rendimientos de Letras del Tesoro, de acuerdo con los siguientes parámetros y cuantías.

A) Por rendimientos del trabajo

Con el límite 22.000 euros anuales  cuando proceden de un sólo pagador.

También se aplica si proceden de varios pagadores:

i) cuando la cuantía del segundo y siguientes pagadores, por orden de cuantía, no superan en su conjunto a los 1.500 euros anuales.

ii) si los únicos rendimientos del trabajo, consisten en pensiones de Seguridad Social y prestaciones pasivas de acuerdo con el tipo de retención establecido reglamentariamente.

Con el límite de 12.000 euros anuales en los siguientes casos:

i) si proceden de varios pagadores, cuando las sumas percibidas del segundo pagador y siguientes, por orden de cuantía, superan los 1.500 euros anuales.

ii) Percepción de pensiones compensatorias del conyugue o anualidades por alimentos salvo excepciones.

iii) Cuando el pagador de los rendimientos no esté obligado a retener .

iv) Rendimiento íntegro del trabajo sujetos a tipo fijo de retención.

B) Por rendimientos del capital mobiliario y ganancias patrimoniales sujetas a retención o ingreso a cuenta

Con el límite conjunto de 1.600 euros anuales.

C) Por rentas inmobiliarias imputadas y rendimientos de Letras del Tesoro, subvenciones para la adquisición de viviendas de protección oficial o precio tasado

Con el límite conjunto de 1.000 euros anuales.

2. ¿Quién no está obligado a declarar?

No tendrán que declarar quienes obtengan exclusivamente rendimientos íntegros del trabajo, del capital mobiliario e inmobiliario, de actividades económicas y ganancias patrimoniales, cuando la suma no exceda los 1.000 euros anuales, ni quienes hayan tenido pérdidas patrimoniales inferiores a 500 euros.

No obstante, deberán presentar la declaración si quieren beneficiarse de las deducciones por inversión de vivienda habitual, por doble imposición internacional y de las reducciones en la base imponible por aportaciones a sistemas de previsión social y reducciones por aportaciones a patrimonios protegidos de personas con discapacidad, así como, para las devoluciones en su caso.

3. ¿Cuándo inicia el plazo para su presentación?

Las declaraciones de IRPF se pueden presentar a partir del 05-04-2017, siendo recomendable realizar la presentación cuanto antes.

4. ¿ Se  puede fraccionar el pago?

Cabe fraccionar el pago en dos partes sin intereses ni recargos. El primer pago correspondiente al 60% del importe en el momento de presentar la declaración y el segundo, del 40 por ciento restante, como plazo máximo hasta el  06-11-2017.

5. Qué documentación se debe aportar para su elaboración?
Rendimientos del trabajo: certificado de empresa.

Rendimientos del capital inmobiliario: relación y justificantes de ingresos, facturas de gastos deducibles (ej. comunidad, administración, IBI, préstamos, etc.).

Rendimientos del capital mobiliario: certificados de entidades financieras y de seguros, contratos, recibos de gastos, cuentas, valores, etc.

Rendimientos de actividades económicas en módulos: documentos acreditativos de los elementos o parámetros de la actividad utilizados durante el año, de acuerdo con la actividad.

Por venta de la vivienda habitual: fechas de adquisición y transmisión; importes reales de compra y venta; gastos y tributos de la compra y venta; copia de las declaraciones de los ejercicios en los que se practicaron deducciones por la vivienda transmitida; datos de préstamos hipotecarios y capital pendiente de amortizar a fecha de venta, y en su caso la reinversión

Por ventas de acciones, inmuebles u otros bienes, fondos de inversión, premios, etc.: fechas de adquisición y transmisión; importes reales, gastos y tributos de compra y venta; certificados de fondos de inversión; premios percibidos.

Por subvenciones percibidas: justificante de las mismas.

Deducciones: documentos justificativos: i) por alquiler de vivienda: NIF del arrendador y cantidades pagadas por el alquiler; ii) por adquisición de vivienda habitual con ampliación del préstamo: saldos pendientes de amortizar del préstamo original; iii) por donativos: los justificantes; iv) por pensiones compensatorias y pensiones de alimentos: los justificantes.

EL DERECHO AL OLVIDO DE LOS EMPRESARIOS

En numerosas ocasiones, se ha tratado la cuestión del derecho al olvido en el ámbito de las personas físicas, y asociado el borrado del rastro digital bajo determinadas circunstancias.

Recordamos, a modo de apunte, el caso de un ciudadano español en el cual se obligaba al motor de búsqueda Google a eliminar de la lista de resultados obtenida a través de una búsqueda efectuada a partir del nombre de una persona, los vínculos a páginas web publicadas por terceros y que contenían información relativa a esa persona, aunque no se hubieran borrado previa o simultáneamente de aquellas páginas web y aunque la publicación en dichas páginas fuera lícita. En aquel caso concreto, prevalecía el derecho del interesado a proteger su vida privada, sobre el derecho a la información y a la libertad de prensa de los terceros que accedían a Internet en busca de información de esa persona en cuestión y sobre los intereses económicos del gestor del motor de búsqueda.

Ahora se ha publicado una sentencia del Tribunal de Justicia de la Unión Europea[1] que trata del derecho al olvido y/o supresión digital de los datos de carácter personal de los representantes de las empresas, personas físicas, en el ámbito de las sociedades de responsabilidad limitada y anónimas publicados en los Registros mercantiles o registros de sociedades.

La cuestión prejudicial planteada al Tribunal de Justicia de la Unión Europea tiene su origen, en un pleito iniciado por un empresario italiano, que solicitó ante los tribunales de su país que la información relativa a sus datos de representación (nombre y apellidos y cargo) en una empresa de la que había sido administrador único y liquidador mucho tiempo atrás y que ya estaba disuelta, se eliminarán del registro de sociedades, porque le perjudicaban en la venta de unos inmuebles de una sociedad en la cual también figuraba como administrador único.

En este caso, el TJUE afirma que debemos acudir a la finalidad de la inscripción de dichos datos en el Registro para poder ponderar los intereses en juego, esto es, si prevalece por un lado, el interés de la persona física a solicitar que se supriman o se bloqueen tras un determinado lapso de tiempo los datos personales inscritos o que se restrinja su acceso, o por contra, primar los intereses de terceros que en base al principio de publicidad registral, le permiten conocer los actos esenciales de la sociedad y los datos de la identidad de las personas que tienen el poder de obligarla.

En el caso particular del empresario italiano, para determinar si prevalece el interés de aquel en la eliminación de dichos datos de representación una vez disuelta la sociedad sobre el principio de publicidad registral, el Abogado General sostiene que es posible que dichos datos sean necesarios mucho tiempo después, para averiguar los actos que ha realizado dicha sociedad mientras estaba activa o incluso para interponer acciones contra los miembros de sus órganos o liquidadores y más cuando estamos ante sociedades que tienen limitada su responsabilidad al patrimonio social. Este hecho, unido a la heterogeneidad de los plazos de prescripción previstos por las diferentes normas nacionales impide que se pueda establecer un plazo único para poder eliminar o bloquear dichos datos.

En conclusión y de acuerdo con la Sentencia, prevalece de entrada la necesidad de proteger los intereses de terceros en su relación con las sociedades anónimas y las sociedades de responsabilidad limitada, para garantizar la seguridad jurídica frente a los intereses particulares.

La valoración sobre las razones preponderantes y legítimas, y si está excepcionalmente justificado, le corresponderá a los diferentes Estados miembros de acuerdo con sus legislaciones nacionales.

 

 

 

 

[1] Sentencia del Tribunal de Justicia de la Unión Europea de 9 de marzo de 2017 http://curia.europa.eu/juris/document/document.jsf?text=&docid=188750&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=503360.

EL PRINCIPIO DE RESPONSABILIDAD PROACTIVA EN EL TRATAMIENTO DATOS PERSONALES

Tras la aprobación del Reglamento europeo de protección de datos, aquellas empresas tratan datos por sí mismos y/o que contratan servicios de terceros, deben extremar su diligencia.

Esta máxima diligencia se aplicará tanto en el tratamiento propio de los datos personales que realice en el normal desarrollo de su actividad como en la elección del proveedor adecuado que accede y/o trata datos de carácter personal por razón de la prestación de un servicio al responsable del tratamiento.

El Reglamento europeo fija el principio de la responsabilidad proactiva del responsable del tratamiento de los datos personales, en la elección de los proveedores con los que trabaja debiendo asegurarse que aquellos cumplen con la normativa europea de protección de datos en relación a la implantación de medidas técnicas y organizativas apropiadas, para garantizar un nivel adecuado de protección en consonancia al riesgo que suponga el tratamiento de los datos personales.

Ya no basta con cumplir un artículo u otro de la normativa, sino que se tiene que poder demostrar que el tratamiento de los datos de carácter personal es acorde con las disposiciones del Reglamento y además se ha de estar en disposición de acreditarlo ante cualquier requerimiento del organismo competente.

Para demostrar el cumplimiento por parte del responsable del tratamiento de los datos, la normativa alude a la adhesión a códigos de conducta o mecanismos de certificación.

De acuerdo con lo dispuesto en la reciente guía[1] publicada por la AEPD con la colaboración de la Agencia catalana y vasca de protección de datos, el principio de responsabilidad proactiva supone “un actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleve a cabo.

¿Quién es responsable del tratamiento?

Es responsable aquel que decide sobre la finalidad y usos del tratamiento. Tiene un poder de decisión sobre qué hacer con los datos de carácter personal.

¿Quién es encargado del tratamiento?

Es encargado aquel accede y/o trata los datos de carácter personal de acuerdo con las instrucciones del Responsable por razón de la prestación de un servicio al responsable. No tiene poder de decisión sobre las finalidades del tratamiento de los datos, ni los puede usar para su interés propio. Numerosos ejemplos de encargados de tratamiento enumeran la Guía, en atención al servicio prestado de acuerdo con el ciclo de la vida de los datos personales que van desde la recogida, el registro, la organización, estructuración, modificación, extracción, consulta, uso, comunicación por transmisión, difusión, cotejo, interconexión, supresión y destrucción.

Son encargados de tratamiento más comunes los prestadores de servicios de hosting, las gestorías que confeccionan las nóminas, los prestadores de servicios informáticos, los prestadores de servicios de envío de cartas y paquetería, los prestadores de servicios de destrucción confidencial, gestores de servicios públicos municipales.

¿Quién debe adoptar las medidas técnicas y organizativas?

Tanto el responsable como el encargado han de implantar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento del Reglamento y en particular la pseudonimización de los datos personales, la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento, la restauración de datos personales en cuanto acceso y disponibilidad en caso de incidente físico o técnico y la verificación regular que dichas medidas garantizan la seguridad del tratamiento.      

Para la aplicación de estas medidas se tendrá en cuenta: i) el estado de la técnica; ii) los costes de la aplicación; iii) la naturaleza, alcance, contexto y fines del tratamiento; iv) riesgos para los derechos y deberes de las personas físicas.

Al responsable se le traslada la carga de la prueba de acreditar que ha sido diligente en la elección del encargado y que éste ofrece garantías suficientes de cumplimiento del Reglamento en cuanto a conocimientos especializados, fiabilidad y recursos.

¿Cómo puede probar el responsable que el encargado cumple?

El responsable tendrá que solicitar al encargado que le demuestre el cumplimiento de las medidas de seguridad necesarias en el acceso y tratamiento de los datos personales por cuenta del Responsable.

La forma más rápida que establece el Reglamento es que aquel se haya adherido a códigos de conducta o que tenga un certificado de cumplimiento de protección de datos emitido por la autoridad de control competente y/o por organismo de certificación acreditado.   Es importante en este punto evaluar la facilidad o en su caso dificultad de la obtención de dichos certificados por parte de la pequeñas y medianas empresas.

Debe asegurarse que el encargado implanta las medidas técnicas y organizativas antes citadas. La descripción detallada de las medidas se especificará en el contrato con el encargado o bien se fijarán de acuerdo con un código de conducta, sello, certificación u otro estándar donde queden reflejadas las medidas, las cuales a la fecha están pendientes de aprobación.

Para ello, el responsable deberá realizar en todo caso una valoración del riesgo del tratamiento de datos personales para los derechos y libertades de las personas de conformidad con el servicio prestado por el encargado.

Asociada a esta cuestión es de importancia capital citar la Sentencia del Juzgado de lo Penal número 6 de Barcelona donde se absuelve a un empleado de un delito continuado de descubrimiento de secretos en cuanto al acceso ilegítimo a buzones de correo electrónico corporativo y de un delito de revelación de secretos en relación a la remisión a ochenta cuentas de correo corporativo de documentos que contenían datos laborales y salariales de los trabajadores de la Corporació Catalana de Mitjans Audiovisuals (CCMA), de TV3 y de Catalunya Radio, debido a que las medidas de seguridad adoptadas por la corporación eran insuficientes.

Estas medidas de seguridad eran insuficientes porque:

  1. No había usuario y contraseña para acceder al Departamento afectado (Post-producción) por lo que no había un control de accesos a los equipos o al propio departamento, el acceso al mismo se producía mediante tarjeta y luego quedaba abierto para todos los integrantes (8-9 personas).
  2. Cualquiera podía instalar software sin supervisión, en este caso se instaló un sistema TOR y web Proxy y no existía ningún tipo de control.
  3. Los ordenadores corporativos sí tenían password y contraseña, pero se bloquean al transcurrir un largo período de tiempo, por lo que hasta el bloqueo cualquiera podía entrar en el ordenador del otro.
  4. Desde los ordenadores del Departamento afectado se podía acceder a Internet con posibilidad de acceso a los ordenadores corporativos introduciendo la contraseña.
  5. Las contraseñas no estaban encriptadas.

En conclusión, a partir de este momento y hasta la definitiva entrada en vigor del Reglamento de Protección de Datos, mayo de 2018 el responsable del tratamiento deberá adoptar el mismo las medidas técnicas y organizativas en el tratamiento de datos personales teniendo en cuenta estado de la técnica, los costes de la aplicación, naturaleza, alcance, contesto y fines del tratamiento y riesgos para las personas físicas y extremar la diligencia en cuanto a la elección de los proveedores-encargados del tratamiento- con los que trabaja y que acceden y/o tratan datos personales del responsable asegurándose que cumplen.

[1] https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

CONSERVACION DATOS COMUNICACIONES ELECTRONICAS CIUDADANOS Y FINALIDADES PREVENCION DELINCUENCIA

Recientemente se ha publicado una STJUE que establece la siguiente obligación de aplicación a la totalidad de los Estados miembros en lo que a la conservación de datos de comunicaciones electrónicas se refiere:

“Los Estados miembros no pueden imponer una obligación general de conservación de datos a los proveedores de servicios de comunicaciones electrónicas”

Aquí, no podemos olvidarnos de la polémica suscitada en cuanto a la invalidez de las normas de Puerto Seguro /Safe Harbour, ahora “Private by Shield” por la posible vulneración de derechos y libertades, al encontrarse ciudadanos europeos permanentemente vigilados por las autoridades estadounidenses, no sólo por razones de lucha contra el terrorismo y la ciberdelincuencia.

Es más, a raíz de últimos y tristes atentados en el mercado navideño de Berlín, nos cuestionamos no ya la necesidad o no de conservación de los datos relativos a las comunicaciones electrónicas, sino a su imperiosa obligatoriedad, por razones de investigación de actividades terroristas.

Cuando decimos datos de comunicaciones electrónicas nos referimos a datos de localización y tráfico.

Según la Sentencia los parámetros que se tienen que seguir para la conservación de los datos por parte de los Estados miembros y en su caso, el acceso por parte de personal autorizado son los siguientes:

1. No se puede conservar de forma indiscriminada, generalizada e indiferenciada cualquier dato relativo a una comunicación electrónica,  por cuanto se puede extraer un perfil muy detallado de la persona física que está siendo vigilada pudiendo vulnerar derechos y libertades fundamentales.

2. La protección del derecho fundamental al respeto de la vida privada exige que las excepciones a la protección de los datos personales no excedan de lo estrictamente necesario. La excepción que justifica la injerencia en la vida privada de las personas es la lucha contra la delincuencia grave. A nuestro modo de ver, fija un concepto demasiado indeterminado por cuanto en un país determinadas conductas y/o actos pueden revestir el carácter de delincuencia grave y en otros, no tener dicha consideración. Parece que el concepto de lucha contra la delincuencia grave se amplía incluyendo “situaciones particulares, como aquellas en las que intereses vitales de la seguridad nacional, la defensa o la seguridad pública estén amenazados por actividades terroristas, podría igualmente concederse el acceso a los datos de otras personas cuando existan elementos objetivos que permitan considerar que esos datos podrían, en un caso concreto, contribuir de modo efectivo a la lucha contra tales actividades”.

3. Cabe la conservación selectiva de datos con la finalidad de lucha contra la delincuencia grave siempre que tal conservación esté limitada a lo estrictamente necesario en relación con las categorías de datos que deban conservarse, los medios de comunicación a que se refieran, las personas afectadas y el período de conservación establecido.

4. Necesidad de la existencia de elementos objetivos que permitan vincular los datos de la persona con delitos graves, lucha contra la delincuencia grave o riesgo grave contra la seguridad pública.

Esta normativa debe basarse en criterios objetivos para definir las circunstancias y los requisitos conforme a los cuales debe concederse a las autoridades nacionales competentes el acceso a los datos. En principio sólo podrá concederse un acceso en relación con el objetivo de la lucha contra la delincuencia a los datos de personas de las que se sospeche que planean, van a cometer o han cometido un delito grave o que puedan estar implicadas de un modo u otro en un delito grave.

Además, el Tribunal de Justicia considera que es esencial que el acceso a los datos conservados esté sujeto, salvo en caso de urgencia, a un control previo de un órgano jurisdiccional o de una entidad independiente. Por otro lado, las autoridades nacionales competentes a las que se conceda el acceso a los datos conservados deberán informar de ello a las personas afectadas.

Habida cuenta de la cantidad de datos conservados, del carácter sensible de esos datos y del riesgo de acceso ilícito a éstos, la normativa nacional debe prever que los datos se conserven en el territorio de la Unión y que se destruyan definitivamente al término del período de conservación de éstos.

En conclusión, la excepción que permite una injerencia en la vida privada de las personas es la lucha contra la delincuencia grave o riesgo grave contra la seguridad pública y existencia de elementos objetivos que permiten vincular a la persona en cuestión con delitos graves.