Monthly Archives: diciembre 2013

Protección de datos sanciona a Google con 900.000 euros por vulnerar gravemente los derechos de los ciudadanos

googleEl director de la Agencia Española de Protección de Datos, José Luis Rodríguez Álvarez, ha dictado una Resolución que pone fin al procedimiento iniciado a la empresa Google en relación con la compatibilidad de su política de privacidad y las condiciones de uso de sus servicios con la normativa española de protección de datos.

La Resolución concluye declarando la existencia de tres infracciones graves de la Ley Orgánica de Protección de Datos (LOPD), impone a Google una sanción de 300.000 euros por cada una de ellas y requiere a la compañía para que adopte sin dilación las medidas necesarias para cumplir con las exigencias legales.

En el marco de la investigación realizada, la Agencia Española de Protección de Datos (AEPD) ha constatado que Google recoge y trata ilegítimamente información personal, tanto de los usuarios autenticados (dados de alta en sus servicios) como de los no autenticados, e incluso de quienes son meros “usuarios pasivos” que no han solicitado sus servicios pero acceden a páginas que incluyen elementos gestionados por la compañía sin explicitarlo.

Como consecuencia de ello, la Agencia considera que Google vulnera gravemente el derecho a la protección de los datos personales reconocido a todos los ciudadanos por el artículo 18 de la Constitución Española y regulado en la LOPD.

Las actuaciones de inspección han permitido comprobar que Google recopila información personal a través de casi un centenar de servicios y productos que ofrece en España, sin proporcionar en muchos casos una información adecuada sobre qué datos se recogen, para qué fines se utilizan y sin obtener un consentimiento válido de sus titulares. Así, por ejemplo, no se informa con claridad a los usuarios de Gmail de que se realiza un filtrado del contenido del correo y de los ficheros anexos para insertar publicidad. Cuando se informa, se utiliza una terminología imprecisa, con expresiones genéricas y poco claras que impiden a los usuarios conocer el significado real de lo que se plantea. Es demostrativo que en ocho páginas Google emplea hasta en 30 ocasiones términos como “podremos”, “podrá”, “podrán” o “es posible”. Todo ello, sumado a otras expresiones sumamente ambiguas como “mejorar la experiencia del usuario”, da lugar a una política de privacidad indeterminada y poco clara.

La compañía ha anunciado que tomarán una decisión sobre estas sanciones una vez hayan leído el informe emitido por la AEPD.

FUENTE: https://www.agpd.es

Reglamento Europeo en materia de protección de datos: una nueva norma para una nueva realidad.

UELa Unión Europea está elaborando una nueva normativa en materia de protección de datos más severa, con la finalidad de proteger y preservar los derechos de los ciudadanos europeos en este ámbito, que deberá ser cumplida por operadores económicos e institucionales, sin olvidar a las redes sociales, que operan en el amplio universo de internet y la web 3.0, a pesar de las reticencias de éstos últimos.

Parece que esta premura en disponer de una legislación comunitaria más reforzada en materia de protección de datos, paradójicamente se produce en el reciente contexto del escándalo del espionaje de la administración de EE.UU. a ciudadanos e instituciones europeas.

Después del espionaje masivo practicado por la Agencia de Seguridad Nacional de Estados Unidos (NSA) a objetivos europeos, alemanes, españoles, franceses, etc. hay muchos mandatarios europeos interesados en que la Unión Europea se implique en el asunto en defensa de sus Estados miembros, en este sentido el Presidente Galo, François Hollande ha manifestado que esta problemática «Es a la vez una cuestión nacional y europea».

Se debe recordar que la normativa vigente en el ámbito comunitario de la protección de datos, fue aprobada en el año 1995, cuando todavía no se había producido la revolución de Internet, ni el fenómeno de las redes sociales, ni las compras “on line”.

De este modo, las nuevas medidas en fase de elaboración, según lo expresado por su impulsora, la comisaria europea de Justicia, Viviane Reding,  pretenden “no solo proteger más a los ciudadanos, sino también recortar costes a las empresas”.

Así, uno de los puntos más controvertidos en esta nueva legislación comunitaria, es el denominado Derecho al olvido. Ciertamente, en estos últimos años, principalmente debido al vertiginoso incremento del desarrollo tecnológico se ha producido una innegable realidad, que a pesar de producirse en el mundo virtual, ha tenido su fiel reflejo en la vida real. Los datos, en sentido amplio de muchos ciudadanos, han aparecido en la red de redes, bien voluntariamente, bien por publicaciones oficiales, u otras causas, lo que ha originado la invocación de tutela ante el Organismo supervisor en esta materia, con la finalidad de salvaguardar sus derechos especialmente en materia de protección de datos de carácter personal.

Destacar, que la invocación de tutela de los ciudadanos en estos supuestos, se produce con posterioridad a que hayan instado a los webmasters de sitios web y/o redes sociales, utilizando los cauces establecidos, y con base en unos argumentos legítimos, en la mayoría de los supuestos, siendo rechazadas sus pretensiones, y por tanto sus imágenes, vídeos, comentarios en foros o redes sociales, permanecen en la red de forma indefinida sin que se proceda, – en esencia- a la cancelación de sus datos personales. Este fenómeno referido ha crecido en los últimos años de manera exponencial, como muestra la memoria del año 2012 de la Agencia Española de Protección de Datos (en adelante, AEPD), que apunta un aumento de más del 13 % sobre el año anterior de las reclamaciones encaminadas a la eliminación de los datos que Internet conserva.

Pero el que es verdaderamente el denominado derecho al olvido, según Simón Castellano, es la capacidad de exigir el borrado de los datos personales que contiene Internet e incluso, oponerse al tratamiento que hacen los motores de búsqueda de los datos personales incluidos en fuentes accesibles al público.

El derecho al olvido, no busca presentar una historia personal o colectiva ajena a la realidad (Comisión Europea, 2012). Esto pareciera constituir un primer punto que debe ser aclarado, tal como lo hace la propia Comisión Europea al defender la reforma del sistema de protección de datos personales.

En suma, se pretende que cualquier usuario tenga derecho a que se borren sus datos, si resulta legítimo, cuando lo solicite. Para reforzar este derecho «on line», si una persona insta a una empresa como por ejemplo Facebook a que borre sus datos, la empresa se verá obligada a comunicar tal petición a otros sitios web donde esta información se haya replicado. Asimismo, los ciudadanos tendrán la posibilidad de defenderse de forma eficaz contra el “abuso” de las denominadas cookies, de modo que sus búsquedas no sean utilizadas para establecer un perfil de usuario. Por ello, se estudia permitir el uso de Internet de manera más anónima, o incluso bajo pseudónimo.

Una novedad importante de esta futura normativa es la fijación de la edad de los menores en menos de 13 años a efectos LOPD (frente a la actual regulación española que la fija en menos de 14), en relación a la oferta directa de servicios de la sociedad de la información. Permitiéndose el tratamiento de los datos de estos menores únicamente, si el padre o representante legal del menor ha prestado su consentimiento previo.

Otra importante novedad que parece contemplar la nueva normativa europea en materia de protección de datos establece que las grandes empresas tengan una nueva figura de supervisión de datos. El Data Protection Officer (DPO), tanto en organismos públicos, como en empresas con al menos 250 empleados, aunque se permite contar con un solo DPO en los casos de grupos empresariales. Este nuevo delegado deberá velar por el cumplimiento de la seguridad de la información en la empresa en todas las fases de su ciclo. En definitiva, se trata de un responsable altamente cualificado, no solo en materia de protección de datos, sino también en cuestiones relacionadas como la seguridad informática, convirtiéndose en verdaderos garantes de la seguridad de la información a nivel organizativo, técnico y legal.

En este marco de la seguridad organizativa, técnica y legal se incluyen aspectos como el análisis y diagnostico de entornos específicos desde el punto de vista de cumplimiento o de riesgos; la elaboración de planes que permitan la aplicación de normas de referencia como los Esquemas Nacionales de Seguridad o la Protección de Infraestructuras Críticas, en su caso; Así mismo, deberán encargarse de incorporar soluciones tecnológicas específicas; así como de gestionar la operativa de las infraestructuras tecnológicas de seguridad.

Otro importante logro que pretende la normativa comunitaria versa es que los ciudadanos europeos que emprendan acciones contra una empresa, en defensa de sus datos puedan hacerlo ante sus propias instancias nacionales, aunque la empresa en cuestión tenga su sede social en otro país de la UE, o fuera del contexto europeo.

Un aspecto destacado que recoge la futura normativa viene referido a la obligación de comunicar las brechas de seguridad, tanto a la autoridad de control como al interesado cuando éste se haya visto afectado, por fallos en las medidas de seguridad relativas a los sistemas de tratamiento de la información.

Otras de las novedades importantes es la elevación de las sanciones hasta un 5% del total de los ingresos de las compañías cuando éstas no cumplan lo establecido en la normativa de protección de datos.

El Parlamento también quiere imponer unas normas más estrictas sobre cómo se comparten los datos o cómo se transfieren a otros países fuera de la UE (transferencias internacionales de datos). Por ejemplo, si Estados Unidos quiere acceder a información de Google o Yahoo! sobre un ciudadano europeo, la firma tendría que pedir autorización previamente a la autoridad de control competente.

Tras el visto bueno de la comisión parlamentaria, será necesario para su aprobación formal la luz verde del pleno de la Eurocámara, así como de los gobiernos de los veintiocho estados miembros.

En resumen, la aprobación de esta nueva normativa no está exenta de polémica, pero la realidad está demandando una respuesta efectiva y contundente a situaciones y problemas, que con el vertiginoso desarrollo tecnológico existente en la actualidad, cada vez son más frecuentes, y que aunque, muchos de ellos se producen en el entorno virtual, sus consecuencias se proyectan en el mundo real.