NOTICIAS BLOG DIGITAL-TIC

COOKIES & RGPD

De acuerdo con el Reglamento Europeo de Protección de Datos UE/679 (RGPD) relativo a las personas físicas en lo que respecta al tratamiento de datos personales y a la espera de la definitiva aprobación del Reglamento E-Privacy[1], que vela por la confidencialidad de las comunicaciones electrónicas, debemos tener en consideración las indicaciones que nos facilita la AEPD para dar cumplimiento al RGPD.

Las principales novedades son:

  1. Se mantienen los avisos de primera capa y de segunda capa. Sin embargo, se amplía la información que se debe facilitar en la primera capa.
  1. Se articulan mecanismos reforzados para la obtención del consentimiento del usuario.

2.1 Habilitar un botón aceptar todas las cookies en el pop up de aviso de la primera capa. Con obligación de bloqueo de la descarga de cookies hasta que el usuario consiente.

2.2 La fórmula de “seguir navegando” se puede continuar admitiendo si se refuerza la información que permita la toma de decisiones por parte del usuario con relación a las cookies. Esta fórmula no la aconsejamos en la medida que la propuesta de Reglamento E-privacy establece la necesidad de la obtención del consentimiento del usuario mediante una declaración o clara acción afirmativa.

Es incompatible colocar el botón de aceptar y al mismo tiempo usar la fórmula de seguir navegando porque induce a confusión.

  1. La información que se debe facilitar en la primera capa se amplía con los siguientes puntos:
  • Identificación del responsable de la página web.
  • Tipo de cookies que se usan. P.e. propias o de terceros.
  • Finalidad de las cookies. P.e. analítica, publicitaria, elaboración perfiles.
  • La elaboración de perfiles en su caso y la tipología de datos asociados para su creación[2].
  • La monitorización de los hábitos de navegación de los usuarios, en su caso.
  • La adopción de decisiones automatizadas, en su caso.
  • Colocación de mecanismos que permitan la obtención del consentimiento del usuario.
  • Acceso al panel configuración de cookies a través de botón o enlace.
  1. La información que se debería facilitar en la segunda capa sería:
  • Información detallada sobre el tipo de cookies y la finalidad propias y de terceros. Las cookies se deben poder agrupar por finalidades y conveniente hacerlo por la empresa que las instala.
  • Identificación de terceros que colocan cookies por su marca.
  • Panel de configuración de las cookies con botón de habilitar cookies y botón de desactivar cookies pudiendo desactivar las cookies por categorías. No es necesario que rechace una a una cada una de las cookies de la misma categoría.

En conclusión, se han de actualizar los avisos pop de cookies de los sitios web de primera capa y la información que se facilita en la segunda capa, así como, las formas de obtención del consentimiento.

La información relativa a las cookies debe ser clara y comprensible por el usuario de forma que le ayude a la toma de decisiones y el consentimiento ha de ser suficientemente informado, voluntario y se ha de poder acreditar por parte del titular del sitio web.

[1] El Reglamento e-privacy incluye dentro del ámbito de su aplicación los metadatos (datos de tráfico) y datos asociados al equipo terminal del usuario (direcciones mac, numero de dispositivo o IMEI, direcciones IP, pixeles, huellas de los dispositivos).

[2] <<La elaboración de perfiles>>:  supone el uso y tratamiento automatizado de datos personales con la finalidad de evaluar determinados aspectos personales de una persona física, y en particular para analizar y/o predecir aspectos relacionados con el rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos. Para la elaboración de perfiles se pueden usar cookies u otros identificadores como etiquetas de identificación por radiofrecuencia que pueden ser combinados con identificadores únicos y otro tipo de datos recibidos por los servidores.

LOS MEDIOS DE COMUNICACIÓN HAN DE RESPETAR EL DERECHO AL OLVIDO

Una reciente Sentencia del Tribunal Constitucional de 4 de junio de 2018, constata que el derecho al olvido también tiene que ser respetado por los medios de comunicación y sus hemerotecas digitales, cuando se busca por el nombre y apellidos de personas físicas que no tienen relevancia pública.

Con este pronunciamiento del Constitucional se respetan ambos derechos que pueden colisionar , información versus intimidad.

Por un lado, el derecho a la información pues la noticia no se suprime de las hemerotecas digitales y sigue disponible con finalidades investigadoras y por otro lado, el derecho a la intimidad de los afectados, al suprimir el nombre y apellidos en el motor de búsqueda interno del medio de comunicación por haber transcurrido un tiempo más que prudencial (noticia de los años 80 relacionada con el tráfico de drogas) y porque no estamos en presencia  de personajes de relevancia pública.

Hasta ahora el Tribunal Supremo, en ejercicio del derecho al olvido sólo prohibía la indexación de los nombres y apellidos en los motores de búsqueda, pero no en los buscadores internos de las hemerotecas digitales de los medios de comunicación. Únicamente, obligaba al gestor de un motor de búsqueda a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona, los vínculos a páginas web, publicadas por terceros y que contienen información relativa a esa persona, también en el supuesto de que ese nombre o esa información no se borren previa o simultáneamente de aquellas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita.

La justificación era que la eliminación del nombre y apellidos de la noticia y la prohibición de buscar por nombre y apellidos en el buscador interno del medio de comunicación, suponía una restricción excesiva de la libertad de información vinculada a la existencia de hemerotecas digitales.

En consecuancia, el Tribunal Supremo a partir de ahora y cuando se tenga que pronunciar sobre el derecho al olvido tendrá que tener en consideración  la última sentencia del Tribunal Constitucional que modula lo dispuesto por aquel.

https://www.tribunalconstitucional.es/NotasDePrensaDocumentos/NP_2018_060/2016-2096STC.pdf

 

 

REGLAMENTO EUROPEO PROTECCIÓN DATOS

SE INICIA LA CUENTA ATRÁS

 “Adaptamos su empresa a la nueva normativa europea en protección de datos”

MOTIVOS DE ADAPTACIÓN

  • Porque es una imposición legal y en caso incumplimiento las sanciones oscilan entre los 10 millones y 20 millones de euros.
  • Afecta a empresas y a trabajadores autónomos con independencia de su tamaño y facturación y si se han adaptado previamente a la LOPD.
  • Adopción de medidas de seguridad “a medida y adecuadas” en función del análisis de riesgos de los tratamientos de datos de carácter personal.
  • Para potenciar la imagen de marca y generar transparencia al usuario.

Para más información contacte con nosotros y diríjase al profesional especializado rocio.rossello@crconsultoreslegales.com y estaremos encantados de ayudarle.

 

 

 

FIN DEL ROAMING

Eliminación del roaming o servicios de telecomunicaciones en itinerancia al por menor a partir del 15 de junio de 2017 de acuerdo con el Reglamento UE 2015/2120 del Parlamento Europeo y del Consejo.

Ámbito de aplicación

Estados Miembros pertenecientes a la Unión Europea. No se aplica a países que no pertenezcan a la Unión Europea.

Servicios afectados

Eliminación de los recargos por itinerancia, no aplicando recargo alguno respecto del precio al por menor nacional a los clientes itinerantes en cualquier Estado miembro en los servicios de telecomunicaciones en itinerancia al por menor consistentes en:

i) cualquier llamada itinerante regulada, efectuada o recibida.

ii) cualquier sms itinerante regulado, enviado.

iii) cualquier servicio regulado de itinerancia de datos, incluyendo mensajes mms.

Tampoco se aplicará recargo general alguno a fin de permitir la utilización en el extranjero del equipo terminal o servicio.

Límites

La eliminación de los recargos convivirá con la aplicación de políticas de uso razonable y un posible recargo en determinados casos:

-políticas de uso razonable que puedan establecer los prestadores de servicios en itinerancia para evitar usos abusivos o anómalos, de forma que, puedan regular unos usos razonables fijando límites de uso en los servicios por parte del usuario final y pudiendo exigir un cargo adicional si se supera dicho límite.

un posible recargo debidamente justificado cuando no es posible la sostenibilidad en la supresión de los recargos, esto es, sí un proveedor de estos servicios no es capaz de recuperar sus costes totales, reales y previstos respecto de sus ingresos totales, reales y previstos por la prestación de dichos servicios podrá solicitar la autorización de aplicar un recargo.

IP DINAMICA Y DATO DE CARACTER PERSONAL

La IP dinámica recibe la consideración de dato de carácter personal siempre que la persona física pueda ser identificada o identificable, se cumplan los requisitos impuestos por la Sentencia del Tribunal de Justicia de la Unión Europea de 19 de octubre de 2016 (STJUE) y su consideración de dato personal se incluya dentro de los supuestos contemplados en el Reglamento de Protección de Datos (RPD). Los requisitos que fija la STJUE y el RPD son los siguientes:

  1. Una persona física es identificada por norma general a través de su nombre y apellidos, dirección de correo electrónico. La dirección IP dinámica no es una información relativa a persona física identificada puesto que con esa dirección no se revela la identidad de la persona física propietaria del ordenador desde el cual se realiza la conexión a Internet y consulta del sitio web, sin embargo, la persona física puede ser identificable a través de su dirección IP.
  2. Se considera que una persona física puede ser identificable cuando su identidad pueda determinarse directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social. Haciendo una interpretación más extensiva de la identificación indirecta y de acuerdo con el Reglamento Europeo de Protección de Datos, se puede identificar indirectamente a una persona además de con un número de identificación (DNI o Pasaporte), con datos de localización y con datos de identificadores en línea, incluimos dentro de los datos de identificadores en línea, las direcciones de los protocolos de internet donde se incluye la IP.
  3. Para determinar si una persona es identificable según la STJU hay que tener en cuenta el conjunto de medios que pueden ser razonablemente usados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona. Se considera que no existen medios razonables cuando la identificación del interesado está prohibida por ley o sea irrealizable por el esfuerzo que supone teniendo en cuenta los costes, el tiempo y los recursos humanos.
  4. Respecto a la consideración de dato personal de las direcciones IP dinámicas registradas por un proveedor de servicios en línea cuando una persona consulta su página web, será considerado como dato personal sujeto a la normativa de protección de datos, siempre y cuando el proveedor de servicios antes citado disponga de la información adicional que permite asociar la dirección IP con esa persona física.

Aquí nos preguntamos si el combinar la dirección IP dinámica que dispone el proveedor de servicios en línea con los datos que dispone el proveedor de acceso a Internet es un medio que pueda ser razonablemente utilizado para identificar al interesado. De entrada apuntar que por norma no será posible la cesión de dichos datos “información adicional” por parte del proveedor de acceso a internet al proveedor de servicios en base al deber de sigilo respecto a los datos de carácter personal, sin embargo, este puede solicitar dicha información en el marco de una investigación penal o en caso de ataques cibernéticos. Por lo tanto en estos casos, el proveedor de servicios dispone de medios que pueden usarse razonablemente para identificar a la persona física con la ayuda del proveedor de acceso o de la autoridad judicial competente.

Conclusión: la IP dinámica es un dato personal para el proveedor de productos y servicios en Internet cuando este dispone de medios legales para identificar a la persona interesada gracias a la información adicional facilitada por el proveedor de acceso a Internet.

EL DERECHO AL OLVIDO DE LOS EMPRESARIOS

En numerosas ocasiones, se ha tratado la cuestión del derecho al olvido en el ámbito de las personas físicas, y asociado el borrado del rastro digital bajo determinadas circunstancias.

Recordamos, a modo de apunte, el caso de un ciudadano español en el cual se obligaba al motor de búsqueda Google a eliminar de la lista de resultados obtenida a través de una búsqueda efectuada a partir del nombre de una persona, los vínculos a páginas web publicadas por terceros y que contenían información relativa a esa persona, aunque no se hubieran borrado previa o simultáneamente de aquellas páginas web y aunque la publicación en dichas páginas fuera lícita. En aquel caso concreto, prevalecía el derecho del interesado a proteger su vida privada, sobre el derecho a la información y a la libertad de prensa de los terceros que accedían a Internet en busca de información de esa persona en cuestión y sobre los intereses económicos del gestor del motor de búsqueda.

Ahora se ha publicado una sentencia del Tribunal de Justicia de la Unión Europea[1] que trata del derecho al olvido y/o supresión digital de los datos de carácter personal de los representantes de las empresas, personas físicas, en el ámbito de las sociedades de responsabilidad limitada y anónimas publicados en los Registros mercantiles o registros de sociedades.

La cuestión prejudicial planteada al Tribunal de Justicia de la Unión Europea tiene su origen, en un pleito iniciado por un empresario italiano, que solicitó ante los tribunales de su país que la información relativa a sus datos de representación (nombre y apellidos y cargo) en una empresa de la que había sido administrador único y liquidador mucho tiempo atrás y que ya estaba disuelta, se eliminarán del registro de sociedades, porque le perjudicaban en la venta de unos inmuebles de una sociedad en la cual también figuraba como administrador único.

En este caso, el TJUE afirma que debemos acudir a la finalidad de la inscripción de dichos datos en el Registro para poder ponderar los intereses en juego, esto es, si prevalece por un lado, el interés de la persona física a solicitar que se supriman o se bloqueen tras un determinado lapso de tiempo los datos personales inscritos o que se restrinja su acceso, o por contra, primar los intereses de terceros que en base al principio de publicidad registral, le permiten conocer los actos esenciales de la sociedad y los datos de la identidad de las personas que tienen el poder de obligarla.

En el caso particular del empresario italiano, para determinar si prevalece el interés de aquel en la eliminación de dichos datos de representación una vez disuelta la sociedad sobre el principio de publicidad registral, el Abogado General sostiene que es posible que dichos datos sean necesarios mucho tiempo después, para averiguar los actos que ha realizado dicha sociedad mientras estaba activa o incluso para interponer acciones contra los miembros de sus órganos o liquidadores y más cuando estamos ante sociedades que tienen limitada su responsabilidad al patrimonio social. Este hecho, unido a la heterogeneidad de los plazos de prescripción previstos por las diferentes normas nacionales impide que se pueda establecer un plazo único para poder eliminar o bloquear dichos datos.

En conclusión y de acuerdo con la Sentencia, prevalece de entrada la necesidad de proteger los intereses de terceros en su relación con las sociedades anónimas y las sociedades de responsabilidad limitada, para garantizar la seguridad jurídica frente a los intereses particulares.

La valoración sobre las razones preponderantes y legítimas, y si está excepcionalmente justificado, le corresponderá a los diferentes Estados miembros de acuerdo con sus legislaciones nacionales.

 

 

 

 

[1] Sentencia del Tribunal de Justicia de la Unión Europea de 9 de marzo de 2017 http://curia.europa.eu/juris/document/document.jsf?text=&docid=188750&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=503360.

EL PRINCIPIO DE RESPONSABILIDAD PROACTIVA EN EL TRATAMIENTO DATOS PERSONALES

Tras la aprobación del Reglamento europeo de protección de datos, aquellas empresas tratan datos por sí mismos y/o que contratan servicios de terceros, deben extremar su diligencia.

Esta máxima diligencia se aplicará tanto en el tratamiento propio de los datos personales que realice en el normal desarrollo de su actividad como en la elección del proveedor adecuado que accede y/o trata datos de carácter personal por razón de la prestación de un servicio al responsable del tratamiento.

El Reglamento europeo fija el principio de la responsabilidad proactiva del responsable del tratamiento de los datos personales, en la elección de los proveedores con los que trabaja debiendo asegurarse que aquellos cumplen con la normativa europea de protección de datos en relación a la implantación de medidas técnicas y organizativas apropiadas, para garantizar un nivel adecuado de protección en consonancia al riesgo que suponga el tratamiento de los datos personales.

Ya no basta con cumplir un artículo u otro de la normativa, sino que se tiene que poder demostrar que el tratamiento de los datos de carácter personal es acorde con las disposiciones del Reglamento y además se ha de estar en disposición de acreditarlo ante cualquier requerimiento del organismo competente.

Para demostrar el cumplimiento por parte del responsable del tratamiento de los datos, la normativa alude a la adhesión a códigos de conducta o mecanismos de certificación.

De acuerdo con lo dispuesto en la reciente guía[1] publicada por la AEPD con la colaboración de la Agencia catalana y vasca de protección de datos, el principio de responsabilidad proactiva supone “un actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleve a cabo.

¿Quién es responsable del tratamiento?

Es responsable aquel que decide sobre la finalidad y usos del tratamiento. Tiene un poder de decisión sobre qué hacer con los datos de carácter personal.

¿Quién es encargado del tratamiento?

Es encargado aquel accede y/o trata los datos de carácter personal de acuerdo con las instrucciones del Responsable por razón de la prestación de un servicio al responsable. No tiene poder de decisión sobre las finalidades del tratamiento de los datos, ni los puede usar para su interés propio. Numerosos ejemplos de encargados de tratamiento enumeran la Guía, en atención al servicio prestado de acuerdo con el ciclo de la vida de los datos personales que van desde la recogida, el registro, la organización, estructuración, modificación, extracción, consulta, uso, comunicación por transmisión, difusión, cotejo, interconexión, supresión y destrucción.

Son encargados de tratamiento más comunes los prestadores de servicios de hosting, las gestorías que confeccionan las nóminas, los prestadores de servicios informáticos, los prestadores de servicios de envío de cartas y paquetería, los prestadores de servicios de destrucción confidencial, gestores de servicios públicos municipales.

¿Quién debe adoptar las medidas técnicas y organizativas?

Tanto el responsable como el encargado han de implantar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento del Reglamento y en particular la pseudonimización de los datos personales, la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento, la restauración de datos personales en cuanto acceso y disponibilidad en caso de incidente físico o técnico y la verificación regular que dichas medidas garantizan la seguridad del tratamiento.      

Para la aplicación de estas medidas se tendrá en cuenta: i) el estado de la técnica; ii) los costes de la aplicación; iii) la naturaleza, alcance, contexto y fines del tratamiento; iv) riesgos para los derechos y deberes de las personas físicas.

Al responsable se le traslada la carga de la prueba de acreditar que ha sido diligente en la elección del encargado y que éste ofrece garantías suficientes de cumplimiento del Reglamento en cuanto a conocimientos especializados, fiabilidad y recursos.

¿Cómo puede probar el responsable que el encargado cumple?

El responsable tendrá que solicitar al encargado que le demuestre el cumplimiento de las medidas de seguridad necesarias en el acceso y tratamiento de los datos personales por cuenta del Responsable.

La forma más rápida que establece el Reglamento es que aquel se haya adherido a códigos de conducta o que tenga un certificado de cumplimiento de protección de datos emitido por la autoridad de control competente y/o por organismo de certificación acreditado.   Es importante en este punto evaluar la facilidad o en su caso dificultad de la obtención de dichos certificados por parte de la pequeñas y medianas empresas.

Debe asegurarse que el encargado implanta las medidas técnicas y organizativas antes citadas. La descripción detallada de las medidas se especificará en el contrato con el encargado o bien se fijarán de acuerdo con un código de conducta, sello, certificación u otro estándar donde queden reflejadas las medidas, las cuales a la fecha están pendientes de aprobación.

Para ello, el responsable deberá realizar en todo caso una valoración del riesgo del tratamiento de datos personales para los derechos y libertades de las personas de conformidad con el servicio prestado por el encargado.

Asociada a esta cuestión es de importancia capital citar la Sentencia del Juzgado de lo Penal número 6 de Barcelona donde se absuelve a un empleado de un delito continuado de descubrimiento de secretos en cuanto al acceso ilegítimo a buzones de correo electrónico corporativo y de un delito de revelación de secretos en relación a la remisión a ochenta cuentas de correo corporativo de documentos que contenían datos laborales y salariales de los trabajadores de la Corporació Catalana de Mitjans Audiovisuals (CCMA), de TV3 y de Catalunya Radio, debido a que las medidas de seguridad adoptadas por la corporación eran insuficientes.

Estas medidas de seguridad eran insuficientes porque:

  1. No había usuario y contraseña para acceder al Departamento afectado (Post-producción) por lo que no había un control de accesos a los equipos o al propio departamento, el acceso al mismo se producía mediante tarjeta y luego quedaba abierto para todos los integrantes (8-9 personas).
  2. Cualquiera podía instalar software sin supervisión, en este caso se instaló un sistema TOR y web Proxy y no existía ningún tipo de control.
  3. Los ordenadores corporativos sí tenían password y contraseña, pero se bloquean al transcurrir un largo período de tiempo, por lo que hasta el bloqueo cualquiera podía entrar en el ordenador del otro.
  4. Desde los ordenadores del Departamento afectado se podía acceder a Internet con posibilidad de acceso a los ordenadores corporativos introduciendo la contraseña.
  5. Las contraseñas no estaban encriptadas.

En conclusión, a partir de este momento y hasta la definitiva entrada en vigor del Reglamento de Protección de Datos, mayo de 2018 el responsable del tratamiento deberá adoptar el mismo las medidas técnicas y organizativas en el tratamiento de datos personales teniendo en cuenta estado de la técnica, los costes de la aplicación, naturaleza, alcance, contesto y fines del tratamiento y riesgos para las personas físicas y extremar la diligencia en cuanto a la elección de los proveedores-encargados del tratamiento- con los que trabaja y que acceden y/o tratan datos personales del responsable asegurándose que cumplen.

[1] https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

CONSERVACION DATOS COMUNICACIONES ELECTRONICAS CIUDADANOS Y FINALIDADES PREVENCION DELINCUENCIA

Recientemente se ha publicado una STJUE que establece la siguiente obligación de aplicación a la totalidad de los Estados miembros en lo que a la conservación de datos de comunicaciones electrónicas se refiere:

“Los Estados miembros no pueden imponer una obligación general de conservación de datos a los proveedores de servicios de comunicaciones electrónicas”

Aquí, no podemos olvidarnos de la polémica suscitada en cuanto a la invalidez de las normas de Puerto Seguro /Safe Harbour, ahora “Private by Shield” por la posible vulneración de derechos y libertades, al encontrarse ciudadanos europeos permanentemente vigilados por las autoridades estadounidenses, no sólo por razones de lucha contra el terrorismo y la ciberdelincuencia.

Es más, a raíz de últimos y tristes atentados en el mercado navideño de Berlín, nos cuestionamos no ya la necesidad o no de conservación de los datos relativos a las comunicaciones electrónicas, sino a su imperiosa obligatoriedad, por razones de investigación de actividades terroristas.

Cuando decimos datos de comunicaciones electrónicas nos referimos a datos de localización y tráfico.

Según la Sentencia los parámetros que se tienen que seguir para la conservación de los datos por parte de los Estados miembros y en su caso, el acceso por parte de personal autorizado son los siguientes:

1. No se puede conservar de forma indiscriminada, generalizada e indiferenciada cualquier dato relativo a una comunicación electrónica,  por cuanto se puede extraer un perfil muy detallado de la persona física que está siendo vigilada pudiendo vulnerar derechos y libertades fundamentales.

2. La protección del derecho fundamental al respeto de la vida privada exige que las excepciones a la protección de los datos personales no excedan de lo estrictamente necesario. La excepción que justifica la injerencia en la vida privada de las personas es la lucha contra la delincuencia grave. A nuestro modo de ver, fija un concepto demasiado indeterminado por cuanto en un país determinadas conductas y/o actos pueden revestir el carácter de delincuencia grave y en otros, no tener dicha consideración. Parece que el concepto de lucha contra la delincuencia grave se amplía incluyendo “situaciones particulares, como aquellas en las que intereses vitales de la seguridad nacional, la defensa o la seguridad pública estén amenazados por actividades terroristas, podría igualmente concederse el acceso a los datos de otras personas cuando existan elementos objetivos que permitan considerar que esos datos podrían, en un caso concreto, contribuir de modo efectivo a la lucha contra tales actividades”.

3. Cabe la conservación selectiva de datos con la finalidad de lucha contra la delincuencia grave siempre que tal conservación esté limitada a lo estrictamente necesario en relación con las categorías de datos que deban conservarse, los medios de comunicación a que se refieran, las personas afectadas y el período de conservación establecido.

4. Necesidad de la existencia de elementos objetivos que permitan vincular los datos de la persona con delitos graves, lucha contra la delincuencia grave o riesgo grave contra la seguridad pública.

Esta normativa debe basarse en criterios objetivos para definir las circunstancias y los requisitos conforme a los cuales debe concederse a las autoridades nacionales competentes el acceso a los datos. En principio sólo podrá concederse un acceso en relación con el objetivo de la lucha contra la delincuencia a los datos de personas de las que se sospeche que planean, van a cometer o han cometido un delito grave o que puedan estar implicadas de un modo u otro en un delito grave.

Además, el Tribunal de Justicia considera que es esencial que el acceso a los datos conservados esté sujeto, salvo en caso de urgencia, a un control previo de un órgano jurisdiccional o de una entidad independiente. Por otro lado, las autoridades nacionales competentes a las que se conceda el acceso a los datos conservados deberán informar de ello a las personas afectadas.

Habida cuenta de la cantidad de datos conservados, del carácter sensible de esos datos y del riesgo de acceso ilícito a éstos, la normativa nacional debe prever que los datos se conserven en el territorio de la Unión y que se destruyan definitivamente al término del período de conservación de éstos.

En conclusión, la excepción que permite una injerencia en la vida privada de las personas es la lucha contra la delincuencia grave o riesgo grave contra la seguridad pública y existencia de elementos objetivos que permiten vincular a la persona en cuestión con delitos graves.

 

APP ALERTCOPS Y ALERTA DE SITUACIONES EMERGENCIA

 

1.¿Qué es Alertcops?

Alertcops[i] se trata de una aplicación de movilidad creada por la Secretaria de Estado de Seguridad que tiene como finalidad acercar los Cuerpos y Fuerzas de Seguridad del Estado al ciudadano. Esta aplicación tiene por objeto establecer un canal de comunicación rápido y eficiente con la Policía en caso presenciar y/o ser víctima de un hecho delictivo o cuando nuestra seguridad se encuentra comprometida.

2.¿Cómo se instala Alertcops?

Alertcops es una aplicación que nos bajamos de los almacenes de aplicaciones, -Google Play o App Store- en el Smartphone cuyo funcionamiento y operatividad se encuentra sujeta a un proceso de registro y validación.

Una vez instalada la aplicación aparecerá una pantalla de aviso que nos solicitará que realicemos las siguientes acciones: i) Registro, Alta Ciudadano cumplimentando una serie de datos (DNI, Clave y Teléfono); ii) Validación del Teléfono; iii) Validación del acceso y finalización proceso de registro mediante código enviado por SMS al teléfono facilitado.

3.¿Qué situaciones pueden denunciarse?

La finalidad de Alertcops es crear un canal rápido de alerta ciudadana a través del cual se comunica a la Policía una situación de inseguridad o emergencia. A través de la aplicación se puede comunicar por defecto cualquiera de las siguientes situaciones, las cuales estarán identificadas mediante iconos:

– Robo/atraco/asalto

– Vandalismo, Daño

– Agresión/ Pelea

– Agresión Sexual

– Violencia de Género

– Acoso Escolar

– Perdida/desaparición

– Stop Radicalismos

4.¿Cómo funciona Alertcops?

Una vez comunicada la situación de inseguridad y/o emergencia por parte del usuario, se enviará un mensaje con la posición del ciudadano y la situación de emergencia concreta (p.e. robo). Este mensaje se procesará y enviará al Cuerpo de Seguridad correspondiente que se encuentre en la zona donde está la víctima junto con el geoposicionamiento del dispositivo. Asimismo, indicar que el detalle de la geolocalización puede comprobarse accediendo al menú mapa que dispone la aplicación.

Recientemente, han salido publicadas numerosas noticias que aplauden esta iniciativa, constatan la eficiencia de la misma y la constante implicación de los Cuerpos y Fuerzas de Seguridad en el uso de las nuevas tecnologías como herramienta de comunicación preventiva mediante campañas de sensibilización social y reactiva, como es el caso, mediante la alerta de posibles hechos delictivos.

[i][1]https://alertcops.ses.mir.es/mialertcops/info/infor/info_1_es.xhtml?faces-redirect=true

LOS RIESGOS DE POKEMON GO

Pokemon Go es la última aplicación lanzada por Nintendo y ofrecida por Niantic Inc. que está arrasando entre jóvenes y adultos. Esta app permite, combinar el mundo real con el mundo de ficción de los videojuegos, al ser un juego de realidad aumentada.

La realidad aumentada consiste en una tecnología que permite la superposición de imágenes, textos, fotos y/o cualquier otro elemento que haya sido generado en soporte electrónico para colocarlo en el mundo real. Esta tecnología ya ha sido usada por Google con las famosas Google Glass. Aquí, en particular, Pokemon Go, usa un determinado algoritmo que permite ubicar a los distintos personajes en el mundo físico e interactuar con ellos.

Todo no es diversión con el uso de esta nueva aplicación, por cuanto ya se han producido varios incidentes en diferentes Estados de todo el mundo que alertan de los riesgos asociados a su uso. Sin ir más lejos, recientemente  se han publicado en prensa varias noticias relacionadas con la app, entre ellas, resaltamos las siguientes: i) la primera[i], informa de la intervención de los Mossos d’Esquadra para sacar a dos japoneses por ir cazando Pokemons en el Túnel de la Rovira de Barcelona, poniendo en riesgo su seguridad; ii) una segunda[ii], alerta de la colocación de Pokemons en zonas donde existen minas, hecho que ha sido puesto de manifiesto por una organización no gubernamental de Bosnia; iii) una tercera[iii], advierte que el uso de la aplicación es una fuente de atracos ya que la están utilizando ladrones y atracadores para cometer sus fechorías, atrayendo a las víctimas a la ubicación que ellos desean mediante la activación de determinadas funcionalidades de la aplicación.

Los principales riesgos asociados al uso de la aplicación son los siguientes:

  1. Localización permanente del usuario

Al tener que estar activado en todo momento el GPS del Smartphone para poder usar la aplicación, estás permanentemente localizado con todas las implicaciones que ello supone. Como todos sabemos, los datos de localización indican la posición geográfica de un equipo terminal de un servicio de comunicaciones electrónicas disponible al público. De acuerdo con la Política de Privacidad de Pokemon, estos datos de localización son necesarios para poder usar los servicios, los cuales serán recogidos, almacenados y compartidos con terceros que usan la aplicación. Por ejemplo, cuando se realizan ciertas acciones durante el juego, el nombre de usuario y la localización será compartida a través de la aplicación con otros usuarios que están jugando. Aquí, es evidente que los terceros que hacen uso de la aplicación también pueden utilizarla con finalidades no lúdicas, localizando posibles objetivos susceptibles de ataque. En este sentido, las condiciones del servicio prevén la exoneración de cualquier tipo de responsabilidad asociada a las interacciones con otros usuarios derivadas del uso de la aplicación y que la empresa proveedora no investiga ni pregunta sobre los antecedentes de los usuarios del servicio, trasladando por tanto cualquier tipo de responsabilidad al usuario advirtiéndole de la necesidad de extremar las precauciones asociadas a las comunicaciones en línea, fuera de línea e interacciones reales con otros usuarios.

  1. Privacidad del usuario

Para poder usar la aplicación debes facilitar tu cuenta de correo electrónico de Gmail y/o correo electrónico usado para registrarse en Facebook, y/o correo electrónico de registro en el Pokemon Trainer Club (PTC) afirmando en su Política de Privacidad, que las configuraciones de privacidad de Google, Facebook y PTC, permiten el acceso a Pokemon. En consecuencia, Pokemon accede a los datos personales asociados a una cuenta de correo electrónico de un tercer proveedor, incluso puede acceder al nombre y apellidos reales y/o cualquier otra información que permite identificar a la persona y que voluntariamente el jugador decide hacerla pública. Imaginemos el caso de un jugador que usa su nombre y apellidos reales. Se recomienda por tanto hacer uso de un nickname que no permita identificarnos para no poner en riesgo nuestra privacidad.

En este punto, hemos de añadir que en el mercado, también existen aplicaciones maliciosas que simulan ser la aplicación real sin serlo, que una vez bajadas roban toda la información de nuestro dispositivo móvil, incluidas claves de acceso a banca electrónica.

  1. Riesgos para la seguridad de las personas usuarias y terceros

Como ya apuntábamos anteriormente, al parecer los Pokemon pueden estar en los lugares más recónditos, campos de minas, vías del metro, propiedades privadas, etc. a pesar de que los mapas se vayan actualizando, lo que favorece los accidentes y/o distracciones que pueden poner en peligro nuestra integridad física y la de terceros.

De acuerdo con los términos y condiciones del servicio, el usuario acepta que el uso de la aplicación será bajo su propio riesgo y advierte de la conveniencia de contratar un póliza de seguro de vida, seguro médico, lesiones personales, etc. para cualquier lesión que pueda sufrir durante el uso de la aplicación. Si se ocasiona un daño a un tercero derivado del uso de la aplicación, se deberá responder por ello haciendo frente a las indemnizaciones de daños y perjuicios asociadas.

  1. Facturas elevadas

La descarga de la aplicación es gratuita, pero para poder subir de nivel u obtener un mayor rendimiento de los servicios que ofrece la aplicación, es aconsejable comprar objetos, cuyo coste de acuerdo con la información que aparece en la aplicación, va desde 0,99 euros hasta 99,99 euros denominados productos de compra en la aplicación. A estos gastos también deben sumarse, los consumos extras de datos que podría facturar el operador de telecomunicaciones una vez agotada la tarifa contratada en cada caso.

  1. Riesgos para los menores

Para bajar la aplicación se necesita tener 13 años y sí se es menor, es necesario el consentimiento de los padres y tutores, consentimiento que se obtiene de acuerdo con un procedimiento establecido en la Política de Privacidad en el apartado Accounts with Children. Aquí nos preguntamos, ¿qué ocurre con la nueva edad fijada en el Reglamento Europeo de Protección de Datos que eleva a 16 años la edad mínima para consentir en sede de menores que usan un servicio de la sociedad de la información? Entendemos que se ha fijado esta edad por defecto y a modo orientativo, por cuanto es la edad donde los menores alcanzan la suficiente madurez para poder ser conscientes de las implicaciones que supone el envío de datos personales y tratamiento por terceros. Sin embargo, en España la edad mínima para consentir se fija en 14 años sin distinción entre consentimiento con la finalidad de ofrecer un servicio de la sociedad de la información y/u otra finalidad distinta.

 

[i]http://www.lavanguardia.com/local/barcelona/20160716/403266486888/mossos-sorprenden-pareja-turistas-japoneses-cazando-pokemon-go.html

[ii]http://internacional.elpais.com/internacional/2016/07/20/mexico/1468980957_083934.html

[iii]http://www.elconfidencial.com/tecnologia/2016-07-11/usan-el-juego-pokemon-go-para-atracar-a-nueve-personas-a-punta-de-pistola_1231088/