Usar servicios en la nube y cumplir la Ley de Protección de Datos

marzo 2nd, 2016

La Ley de Protección de Datos planea sobre los servicios en la nube o cloud computing

cloud ley de proteccion de datos

Usar servicios en la nube va a más de forma imparable. Almacenar datos personales en empresas de servicios americanas es un problema para los que quieran cumplir la Ley de Protección de Datos LOPD.

Esto es así desde el día 6 de Octubre del 2015.

Antes de esa fecha era posible almacenar datos personales en empresas americanas que estuvieran adheridas a un protocolo llamado Safe Harbor o Puerto Seguro, y casi todas las grandes empresas del sector cumplían ese protocolo, y por tanto no había problemas.

En esa fecha del 6 de Octubre de 2015 una sentencia del Tribunal de Justicia de la Unión Europea declaró inválido Safe Harbor. Y ahí empiezan muchos quebraderos de cabeza.

 ¿Qué consecuencias tiene esta sentencia a efectos de cumplir la LOPD?

Tiene muchas y todas negativas ya que esa sentencia afecta a muchas empresas que usan los servicios en la nube  ofrecidos por empresas americanas como Google Drive, Gmail, Dropbox, Mailchimp, Outlook,…Son las empresas que se usan para servicios como :

Correo electrónico (Gmail, Yahoo, Outlook.es…)

Gestión de contactos (Google Contacts, WhatsApp…)

Almacenamiento de ficheros (DropBox, Google Drive, Box, iCloud…)

Herramientas de gestión (Google Calendar,  SalesForce, Dymanics…)

Sistemas de desarrollo cloud (Amazon Web Services, …)

Herramientas de marketing (MailChimp, …)

Plataformas web (Blogger, Amazon, WordPress.com…)

Plataformas eCommerce (Shopify, Sellro…)

 

Posibles escenarios y soluciones, para usar servicios en la nube y seguir cumpliendo la Ley de Protección de Datos.

-Escenario 1 : Estás usando servicios en la nube con empresas americanas

Opciones para cumplir la LOPD

1.- Obtener el consentimiento de las personas cuyos datos tenemos almacenados en la nube en esas empresas americanas. ( algo casi inviable en la práctica)

2.- Obtener permiso del Director de la Agencia de Protección de Datos para seguir utilizando los servicios de esas empresas americanas ( algo muy engorroso por los trámites)

3.- Aplicar contratos de confidencialidad tipo con unas cláusulas modelo que han sido previamente aprobadas por la Comisión Europea por otorgar suficientes garantías a los proveedores que las suscriben. ( muy poco factible ya que se trata de empresas americanas)

4.- CAMBIAR DE PROVEEDOR DE SERVICIOS EN LA NUBE, y buscar un proveedor Europeo. ( Aunque el cambio siempre parece difícil, pienso que es mejor opción para evitar todo tipo de problemas)

-Escenario 2: Vas a empezar a usar servicios en la nube

Opciones para cumplir la LOPD

En este caso lo que te podemos recomendar es usar servicios de empresas españolas o europeas.

Hay bastantes empresas que pueden dar esos servicios y son buenas en calidad y en precios.  Es la mejor opción, para cumplir la LOPD sin meterse en líos de permisos,…

Es más fácil que el escenario 1 ya que no obliga a hacer cambios.

Enlaces de interés

La Comisión Europea y EEUU anuncian un acuerdo para la realización de transferencias internacionales de datos.

 Como era lógico suponer las negociaciones para solucionar este atasco están en marcha y habrá que esperar acontecimientos para tener un panorama más claro.

Esperamos nuevas noticias de la Agencia de Protección de Datos.

La AEPD publica su memoria 2013

octubre 16th, 2014

La Agencia Española de Protección de Datos AEPD ha publicado su Memoria anual de 2013

aepd 2013

La Memoria anual de 2013 de la AEPD recoge la actividad y el funcionamiento de las distintas áreas de la institución, las tendencias más destacadas en materia de protección de datos, las decisiones y procedimientos más relevantes, y un completo análisis de los
desafíos para la privacidad, tanto presentes como futuros.

Esta Memoria pone de manifiesto dos cosas:

  1. Ciudadanos y organizaciones son cada vez más conscientes de las garantías que pueden exigir o deben cumplir, que se refleja en la
    relevancia que otorgan a la cancelación de sus datos, cuya solicitud crece respecto a 2012
  2. En 2013 se ha afianzado el número de denuncias y reclamaciones

Aqui os dejamos dos links en las que encontrareis toda la información relacionada con la Memoria 2013 de la Agencia Española de Protección de Datos AEPD:

Nota informativa de la AEPD

Memoria 2013 de la AEPD

 

El Tribunal Europeo obliga a Google a eliminar datos personales de ciudadanos

mayo 14th, 2014

Esta sentencia respalda el derecho al olvido exigido por la AEPD

El Tribunal de Justicia de la Unión Europea (TJUE) estimó este martes que los usuarios de los motores de búsqueda, y en particular los de Google, pueden exigir que se supriman datos personales recopilados y conservados en sus servidores.

El fallo obligará a partir de ahora a Google, o a cualquier otro motor de búsqueda, a suprimir, a petición de un usuario y después de cierto tiempo, cualquier información privada que le concierna.

Enlaces relacionados con esta noticia:

Sentencia del Tribunal de Justicia de la Unión Europea

Nota de prensa de la Agencia Española de Protección de Datos

Guía sobre la Ley de Cookies

marzo 20th, 2014

En este infográfico te explicamos cuales son los aspectos fundamentales de la denominada Ley de Cookies.

infografico ley de cookies

Día de la Internet Segura

febrero 5th, 2013

5 de febrero, Día de la Internet Segura 2013

dia de la internet segura 2013El DíA INTERNACIONAL DE LA INTERNET SEGURA es un evento que tiene lugar cada año en el mes de febrero, con el objetivo de promover en todo el mundo un uso responsable y seguro de las nuevas tecnologías, especialmente entre menores y jóvenes.

El evento está promovido por la Comisión Europea y está organizado por INSAFE, la Red Europea por una Internet Segura, y en España por el CENTRO DE SEGURIDAD EN INTERNET: PROTEGELES en el marco del Safer InternetProgram.

En 2013, el Día internacional de la Internet Segura -SID 2013– se celebra en más de 70 países de todo el mundo y está dedicado a frenar la famosa brecha digital. Promoviendo el diálogo y el trabajo entre generaciones,bajo el eslogan:
CONECTATE Y RESPETA.

Aquí os dejo el enlace para más información: Safer Internet Day 2013

 

 

 

El 28 de enero se celebra el Día de la Protección de Datos en Europa

enero 24th, 2013

Fiesta de la Protección de Datos

20 años protección de datosEl próximo lunes 28 de enero se celebra  por  séptimo año consecutivo el Día de  la Protección de Datos en Europa. Esta es una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

Además, coincidiendo con la celebración de este día, la AEPD organiza una jornada conmemorativa de los «20 años de Protección de Datos en España«, en la que intervienen diversas personalidades y expertos que representarán a todos los agentes que han participado activamente en el desarrollo de este derecho fundamental en nuestra sociedad.

Aquí tenéis otro enlace en el que podréis encontrar toda la actualidad de la Agencia Española de Protección de Datos.

 

Los partes de accidentes, el sistema DELTA y la LOPD

agosto 10th, 2012

Los partes de accidentes laborales se notifican vía web a través del sistema DELTA. Se envían datos personales de nivel alto y por tanto interviene la LOPD.

Adjunto enlace a un artículo sobre este tema titulado: Cuando internet entra por la puerta, la LOPD sale por la ventana.

Me parece que explica muy bien varios aspectos relacionados con este tema que afecta a la mayoría de las empresas de producción, mantenimiento, etc…

Espero que sea de utilidad para alguien

La LOPD y el Cloud Computing

junio 22nd, 2012

Conozca los requisitos de la Ley de Protección de Datos LOPD, antes de contratar servicios de cloud computing

Cada vez son más la empresas que utilizan los servicios de cloud computing por todas las ventajas que conllevan de costes, de facilidad para compartir información con clientes, proveedores, empleados etc,…

Al utilizar esos servicios vamos a tener datos almacenados en el proveedor de servicios de cloud cumputing. Si algunos de esos datos son datos personales entra en juego la Ley de Protección de Datos LOPD.

La LOPD exige a las empresas que quieran utilizar esos servicios que cumplan una serie de requisitos. Las que no lo cumplan no estarán cumpliendo la LOPD.

Le adjuntamos los accesos al informe publicado en la web de la Agencia de Protección de Datos donde va poder conocer de primera mano todos esos requisitos.

Informe: Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal

Díptico: Todo lo que siempre quiso saber sobre el Cloud Computing 

Implantación LOPD a coste cero.

junio 13th, 2012

Seguimos a vueltas con el tema de la implantación de la LOPD en las empresas a coste cero.

En este caso se trata de una Administración Pública que está promoviendo este tipo de actuaciones, en lugar de hacer lo que tiene que hacer que no es otra cosa que intentar desterrar el uso de estas prácticas ilegales y fraudulentas.

Recomiendo leer este post sobre el fraude  de la lopd a coste cero porque creo que está perfectamente explicado.

También es recomendable ver la nota informativa sobre protección de datos de la de la Fundación Tripartita.

El consentimiento LSSI para envíos de emails

abril 25th, 2012

¿Es necesario probar que tenemos el consentimiento del interesado, que exige la LSSI, para enviarle e-mails comerciales?

Según se desprende de una Resolución de la Agencia de Protección de Datos, parece que NO. Parece que ya es prueba suficiente el hecho de que la empresa que realiza los envíos cumpla los siguientes requisitos:

Tener en su página web un formulario de recogida de datos, y en cada envío comercial ofrecer al usuario el medio para indicar que no desea recibir más emails.

Como siempre hay que analizar antes de sacar conclusiones que no lleven por un camino que no sea el correcto.

Adjuntamos enlances de interés sobre el tema:

Comentarios a la resolución de la Agencia de Protección de Datos de Samuel Parra.

La resolución de la Agencia de Protección de Datos.

Otro comentario

 

 

El marketing con e-mails y la modificación de la LSSI

abril 18th, 2012

Es importante que las empresas que utilizan el email marketing como parte de su estrategia comercial, conozcan las recientes modificaciones de la LSSI, ya que les afectan de lleno.

Si no se conocen esas modificaciones de la LSSI se podrían hacer campañas que no cumplan las exigencias de la LSSI y de la Ley de Protección de Datos LOPD (que también está presente) y como consecuencia arriesgarse a recibier alguna denuncia o sanción.

Resumimos a continuación los principales novedades de la recién reformada LSSI que las empresas deben tener presente al realizar sus campañas de email marketing: Read the rest of this entry »

La Fundación Tripartita y la financiación de los servicios LOPD

marzo 29th, 2012

Nueva nota de la Fundación Tripartita sobre la financiación de las consultorías LOPD

La Fundación Tripartita con fecha 6 de febrero de 2012 ha sacado una nueva nota insistiendo sobre la financiación por parte de las empresas de servicios de asesoramiento LOPD con cargo al crédito de formación. 

Hay consultores LOPD que siguen ofreciendo esta posibilidad a las empresas, que deben saber que no se pueden utilizar los fondos de formación para esa finalidad.

Puede ver aquí la nota completa de la Fundación tripartita sobre la financiación de los servicios LOPD

El Reglamento LOPD retocado por el Supremo

febrero 24th, 2012

A vueltas con la anulación por parte del Supremo del epígrafe v2.b del Reglamento de la Ley de protección de Datos LOPD.

Todo está relacionado con el consentimiento necesario para el tratamiento de los datos personales y las cesiones de los mismos.

Podemos decir varias cosas al respecto: 

  • La Ley de Protección de Datos sigue tal y como estaba porque no ha sido modificada.
  • Para el tratamiento y cesión de los datos sigue siendo necesario contar con el consentimiento del interesado a no ser que haya una una ley que lo ampare y exista un interés legítimo de la empresa que va a tratar esos datos.
  • Con la eliminación del artículo 10.2.b digamos que el Reglamento LOPD se ha vuelto más restrictivo ya que las empresas ya no podrán acogerse al hecho de no pedir el consentimiento del interesado ya que los datos eran accesibles al público y ellas tenían un interés legítimo para tratar esos datos personales.
  • Con respecto al envio de emails no solicitados o spam. Algunos medios dieron a entender que se abría la veda y de que todo era posible desde el momento de la anulación de ese epígrafe del Reglamento LOPD.  Pues no. Todo sigue igual. El artículo 21.1 de la LSSI sigue ahí prohibiendo el envio de emails no solicitados sin autorización del interesado.

Por cierto, hablando del uso de los emails en relación a la LOPD y a la LSSI, recomiendo los siguientes artículos videos que hablan de todo este tema

La LOPD y los emails (1)

La LOPD y los emails (2)

También  recomiendo que lean el artículo publicado por Samuel Parra en su blog

Sanción de protección de datos de 80.000€ a Cetelem

agosto 30th, 2011

La Agencia de Protección de Datos sanciona con 80.000€ al Banco Cetelem, S.A, por faltar al deber de secreto en el cobro de deudas a sus clientes.

En el proceso de cobro de los recibos pendientes la citada entidad realizaba llamadas a familiares y vecinos del deudor, llegando incluso a enviar faxes al centro de trabajo reclamando las cantidades pendientes.

La Agencia de Portección de Dtaos considera que esos procedimientos suponen faltar al deber de secreto ya que se comunican datos a terceros.

Además la Agencia lo considera una falta grave ya que los datos que se proporcionaron a terceros corresponden a datos incorporados a ficheros de prestación de servicios financieros.

Adjuntamos el enlace al texto completo de la sanción de la Agencia de Protección de Datos

Curiosidades sobre la protección de datos

agosto 6th, 2011

Para proteger los datos hay que dar mucha caña a las empresas

Ayer viernes 5 de agosto en un concurso de televisión, resultó que una de las concursantes era una funcionaria de la Agencia de Protección de Datos.

A la pregunta del presentador: ¿qué es lo que hay que hacer para proteger los datos? la consursante respondió:

 

  • Aplicar muchas medidas de seguridad, y…

 

  • Dar mucha caña a las empresas

Hace un tiempo ya incluimos en este blog un comentario sobre la importancia de las sanciones para  cumplir la Ley de Protección de Datos.

En fin, curiosidades de la LOPD…

El robo y la pérdida de datos personales y la LOPD

julio 24th, 2011

EL robo y la pérdida de datos por parte del personal de la propia empresa, puede ser una amenaza.

La información constituye el activo más importante de las empresas, pudiendo verse afectada por muchos factores tales como ROBOS, incendios, inundaciones, fallos del sistema de almacenamiento, virus u otros.

Desde el punto de vista de la empresa, uno de los problemas más importantes que debe resolver es la protección permanente de su información crítica.

La Ley de Protección de Datos Personales LOPD considera como FALTA GRAVE “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Algunas de las preguntas que se deberían hacer las empresas a este respecto, serían las siguientes: Read the rest of this entry »

resumen informativo protección de datos-lopd (3)

julio 10th, 2011

Noticias relacionadas con la Ley de Protección de Datos y Seguridad de la Información

Videovigilancia y la Ley de Protección de Datos

junio 27th, 2011

A veces resulta difícil cumplir la Ley de Protección de Datos

En un post anterior hablábamos de que cualquiera puede denunciar a su empresa ante la Agencia de Protección de Datos.

Supermados LIDL  fue denunciada por un cliente ante la Agencia de Protección de Datos en relación con el sistema de videovigilancia, y acabó recibiendo una sanción de 6.000€

Las imágenes que grababan las cámaras de videovigilancia del supermercado eran visibles en un monitor, por todos los clientes del super que pasaban por allí.

Aparentemente LIDL cumplía con todos los requisitos: tenía visible el cartel de videovigilancia, tenían impresos de la cláusula informativa disponibles, tenía el fichero de Videovigilancia declarado a la Agencia de Protección de Datos, la instalación había sido efectuada por una empresa de seguridad privada, el sistema de videocámaras instalado tenía como finalidad el control y protección de bienes y personas del establecimiento…y sin embargo fue sancionada.

Entonces, ¿por qué fue sancionada LIDL por la Agencia de Protección de Datos? Read the rest of this entry »

Denuncias a la Agencia de Protección de Datos

junio 15th, 2011

¿Puede alguien denunciar a mi empresa ante la Agencia de Protección de Datos?

Muchas veces las empresas nos preguntan por las posibilidades que tienen de recibir una inspección de la Agencia de protección de Datos.

Y ya se sabe que detrás de la inspección puede venir la sanción.

La respuesta que les damos es que las probabilidades son muy pequeñas, a no ser que alguien les denuncie.

Y nos siguen preguntando: ¿Quién puede ser ese alguien que nos denuncie a la Agencia de Protección de Datos?. La respuesta es: un empleado, un cliente, alguien que no esté a gusto con algo que hemos hecho, o que busque sacar provecho haciendo referncia a la protección de datos, la competencia,…. En definitiva cualquiera.

En el caso de supermercados LIDL la denuncia partió de un cliente. Y el motivo está relacionado con la Videovigilancia. Read the rest of this entry »