Archivo de la categoría: Sociedad de la información

Consentimiento y datos personales de empleados

Posted on por
Responder

Recientemente se ha sancionado a una empresa en Grecia (PwC) por una mala elección respecto a la base legal de tratamiento de los datos personales de sus empleados.

El esencial error que ha cometido esta empresa (que paradójicamente presta, entre otros servicios, el asesoramiento legal en protección de datos) es basar el tratamiento de datos de trabajadores en el consentimiento expreso de estos, mediante la firma de un documento. Y se entiende que es un error porque, con el nuevo Reglamento Europeo de Protección de Datos, existen bases legales mucho más fuertes y justificadas para el tratamiento de datos que el consentimiento, el cual deber quedar relegado únicamente a aquellos casos en lo que no es aplicable otra base legal.

En concreto, para el uso de datos personales de trabajadores, la base legal de tratamiento más correcta es el desarrollo y cumplimiento de un contrato entre la empresa y estos, y el cumplimiento de obligaciones legales (alta en Seguridad Social, por ejemplo).

Ante estos hechos, en PwC Grecia se dio la absurda situación en la que, al haber escogido una base legal como es el consentimiento, en aquellos casos en los que los empleados se han negado (o se han olvidado) de firmar el documento, se entiende que PwC estaba usando estos datos sin autorización, lo que ha desembocado en una sanción de 150.000 Euros.

Publicar una declaración de tus derechos de imagen en Facebook no tiene validez, y además no está permitido por sus condiciones

Posted on por
3

facebook3Si eres usuario de Facebook, últimamente podrás haber visto que muchos de tus contactos están publicando una declaración en la que indican que la propiedad de las fotos y demás información que publican en Facebook les pertenece, y que no otorgan ningún derecho a esta red social para su uso comercial.

Sin embargo hemos de advertir que, aunque la intención es buena, esto no tiene ninguna validez legal. Es más, no está permitido conforme las condiciones de uso de Facebook.

Existen básicamente dos principales razones:

1.- Al crear una cuenta de Facebook, debes aceptar una serie de condiciones, entre las que se incluye que, aunque cada usuario sea propietario de su contenido, Facebook tiene una licencia no exclusiva, transferible, con derechos de sublicencia, gratuita  y aplicable en todo el mundo para utilizar cualquier contenido que publiques en Facebook o en conexión con Facebook. Esto es una licencía amplísima para utilizar tu contenido. Es decir, que tú como usuario ostentas los derechos del contenido que subes a Facebook, y por tanto respondes del mismo, pero la explotación de este contenido puede ser llevada a cabo no sólo por ti, sino también por Facebook.

Como usuario tienes estas obligaciones:

  • No publicarás comunicaciones comerciales no autorizadas (como spam) en Facebook.
  • No recopilarás información o contenido de otros usuarios ni accederás a Facebook utilizando medios automáticos (como bots de recolección, robots, arañas o scrapers) sin nuestro permiso previo.
  • No participarás en marketing multinivel ilegal, como el de tipo piramidal, en Facebook.
  • No subirás virus ni código malicioso de ningún tipo.
  • No solicitarás información de inicio de sesión ni accederás a una cuenta perteneciente a otro usuario.
  • No molestarás, intimidarás ni acosarás a ningún usuario.
  • No publicarás contenido que contenga lenguaje que incite al odio, resulte intimidatorio, sea pornográfico, incite a la violencia o contenga desnudos o violencia gráfica o gratuita.
  • No desarrollarás ni pondrás en funcionamiento aplicaciones de terceros que incluyan contenido relacionado con el consumo de alcohol o las citas, o bien dirigido a público adulto (incluidos los anuncios) sin las restricciones de edad apropiadas.
  • Seguirás nuestras Normas de promociones y cumplirás todas las leyes que sean aplicables si ofreces en Facebook un concurso, un regalo o una apuesta (colectivamente, “promoción”) o haces publicidad de ellos.
  • No utilizarás Facebook para actos ilícitos, engañosos, malintencionados o discriminatorios.
  • No realizarás ninguna acción que pudiera inhabilitar, sobrecargar o afectar al funcionamiento correcto de Facebook o a su aspecto, como un ataque de denegación de servicio o la alteración de la presentación de páginas u otras funciones de Facebook.
  • No facilitarás ni fomentarás el incumplimiento de esta Declaración ni de nuestras políticas.

Como se puede observar, la última obligación alude directamente al hecho de publicar declaraciones contrarias a lo que ya has aceptado, que es lo que últimamente se está haciendo.

Pero además aceptas todo lo siguiente:

  • No proporcionarás información personal falsa en Facebook, ni crearás una cuenta para otras personas sin su autorización.
  • No crearás más de una cuenta personal.
  • Si inhabilitamos tu cuenta, no crearás otra sin nuestro permiso.
  • No utilizarás tu biografía personal para tu propio beneficio comercial, sino que para ello te servirás de una página de Facebook.
  • No utilizarás Facebook si eres menor de 13 años.
  • No utilizarás Facebook si fuiste declarado culpable de un delito sexual.
  • Mantendrás la información de contacto exacta y actualizada.
  • No compartirás tu contraseña (o, en el caso de los desarrolladores, tu clave secreta), no dejarás que otra persona acceda a tu cuenta, ni harás nada que pueda poner en peligro la seguridad de tu cuenta.
  • No transferirás la cuenta (incluida cualquier página o aplicación que administres) a nadie sin nuestro consentimiento previo por escrito.
  • Si seleccionas un nombre de usuario o identificador similar para tu cuenta o página, nos reservamos el derecho de eliminarlo o reclamarlo si lo consideramos oportuno (por ejemplo, si el propietario de una marca comercial se queja por un nombre de usuario que no esté estrechamente relacionado con el nombre real del usuario).
  • No publicarás contenido ni realizarás ninguna acción en Facebook que infrinja o vulnere los derechos de terceros o que vulnere la ley de algún modo.
  • Podemos retirar cualquier contenido o información que publiques en Facebook si consideramos que infringe esta Declaración o nuestras políticas.
  • Te proporcionamos las herramientas necesarias para ayudarte a proteger tus derechos de propiedad intelectual. Para obtener más información, visita nuestra página Cómo informar de presuntas infracciones de los derechos de propiedad intelectual.
  • Si retiramos tu contenido debido a una infracción de los derechos de autor de otra persona y consideras que cometimos un error, tendrás la posibilidad de apelar la decisión.
  • Si infringes repetidamente los derechos de propiedad intelectual de otras personas, inhabilitaremos tu cuenta cuando lo estimemos oportuno.
  • No puedes utilizar nuestros derechos de autor ni nuestras marcas registradas (como «Facebook», los logotipos Facebook y «F», «FB», «Face», «toque», «Book» y «muro») ni ninguna marca que se parezca a las nuestras, excepto si lo permiten nuestras Normas de uso de las marcas de forma expresa o si recibes consentimiento previo por escrito de Facebook.
  • Si recopilas información de otros usuarios, deberás obtener su consentimiento previo, dejar claro que eres tú (y no Facebook) quien recopila la información y publicar una política de privacidad que explique qué datos recopilas y cómo los usarás.
  • No publicarás los documentos de identidad ni la información financiera confidencial de nadie en Facebook.
  • No etiquetarás a los usuarios ni enviarás invitaciones por correo electrónico a quienes no sean usuarios sin su consentimiento. Facebook ofrece herramientas de reporte social para que los usuarios puedan hacernos llegar sus opiniones sobre el etiquetado.

Puedes consultar las condiciones completas de Facebook aquí.

Aunque normalmente Facebook sólo hace uso de ciertas imágenes –como suele ser la foto de tu perfil- para, por ejemplo, usarla en otras aplicaciones donde te has registrado, en teoría podría hacer otros usos de la misma.

Ejemplo sencillo: Te has hecho unas fotos este verano con tu cámara. Las descargas en tu ordenador y por tanto eres el dueño de tus fotos, pero Facebook las podrá copiar, almacenar, usar para otras cosas, archivar e incluso hacer dinero con ellas.

2.- La creación de una cuenta de Facebook es un contrato electrónico de adhesión, donde una parte es Facebook y otra el usuario que se adhiere a sus condiciones. No cabe negociación ni mucho menos, como se pretende, cambiar de forma unilateral, sin comunicación fehaciente y sin consentimiento de la otra parte, las condiciones previamente aceptadas por parte del usuario.

Sin embargo, Facebook sí que puede cambiar estas condiciones de manera unilateral, como ya ha hecho en varias ocasiones, comunicándolo previamente a sus usuarios. En caso de no estar de acuerdo, sólo podrás optar por eliminar tu cuenta de Facebook.

 Ejemplo sencillo: Si firmas una hipoteca con el banco, no puedes llegar al cabo de un mes a tu oficina bancaria con un papel escrito en el que declaras que las condiciones de tu hipoteca han cambiado. Esto es igual.

¿Qué opciones existen entonces?

 Realmente poco se puede hacer. Si quieres hacer uso de su plataforma (ya sea para estar en contacto con amigos, para vender un producto, para promocionarte, etc…), debes aceptar estas condiciones.

Las opciones que quedan son bastante drásticas:

1.- Desactivar tu cuenta (aunque es posible que Facebook mantenga archivado tu contenido durante bastante tiempo, y si ha sido compartido por terceros, probablemente pierdas el control de tu contenido).

2.- Subir contenido irrelevante para ti.

3.- No subir contenido.

5 Claves para cumplir con la LOPD en tu empresa

Posted on por
Responder

Como ya he comentado en otras ocasiones, los datos de carácter personal son derechos especialmente protegidos, y se encuentran dentro de la categoría de derechos fundamentales de la Constitución.

La privacidad de estos datos deber ser tomada muy en serio por las empresas y organizaciones, pues éstas gestionan información personal que, de ser conocida por terceros, puede causar perjuicios graves para los particulares, además de generar denuncias a la AEPD o demandas para éstas.

Sin perjuicio de que siempre recomendaré que un experto con conocimientos jurídico-técnicos en LOPD valore y audite cada empresa de forma independiente antes de implantar cualquier política de protección de datos, a continuación indico las claves básicas para dar un cumplimiento mínimo a la LOPD.

1.- Inscripción de los diferentes ficheros en la Agencia Española de Protección de Datos.

No se trata simplemente de inscribir un fichero genérico en el que caben todo tipo de datos. Se debe hacer un estudio previo de las diferentes formas en los que un empresa recaba datos de carácter personal para así organizarlos en diferentes ficheros. Por ejemplo, si los datos se recaban a través de un formulario web, conviene crear un fichero exclusivo para estos datos, si se recogen imágenes de una cámara de seguridad se debe crear otro fichero diferente, si se trata de proveedores otro, de curriculums otro, de personal y nóminas otro diferente, otro para clientes, etc. De esta manera, los datos estarán organizados, localizables y mejor protegidos según sus características, pues obviamente no es lo mismo tener información de enfermedades de una persona, que tener simplemente su e-mail.

Otra cosa importante es, por supuesto, poner esto en práctica y crear estos ficheros física o virtualmente de forma ordenada, y mantenerlos en buenas condiciones junto con las medidas técnicas adecuadas en función de si se trata de datos con una protección de grado básico, medio o alto.

2.- Elaboración de una política de privacidad y de cookies.

Tanto si tu empresa tiene una web como si no, la LOPD indica que se ha de elaborar una política de privacidad en la que se informará a los clientes o aquellas personas de las que se recaben sus datos de cual será el uso de los mismos, cómo pueden ejercitar los derechos ARCO (acceso, cancelación, rectificación y oposición), a dónde deben dirigirse los usuarios, titularidad del o los ficheros y otra información relevante que cada empresa quiera o deba facilitar a sus clientes.

Además, esta política se debe implementar en el propio seno de la empresa, y funcionar tal y como se indica a los clientes. Es decir, conviene que haya un responsable del fichero, un responsable de atender a los clientes que ejerciten sus derechos ARCO, etc. No es suficiente informar de nuestra política de privacidad si internamente la empresa no funciona como tal, ni se lleva ningún control sobre los datos.

3.- Elaborar el Documento de seguridad.

Un Documento de seguridad es donde se anotan protocolos de seguridad, medidas técnicas y organizativas para la protección de los datos, se indica quienes son los responsables de las diferentes funciones y ficheros, listado de personas con acceso a los datos, se archivan documentos firmados con terceros en relación con acceso a datos, contratos de confidencialidad con los trabajadores, etc. En definitiva, se trata de un documento «vivo», que se deberá actualizar con cada cambio y por ello es necesario que alguien se responsabilice del mismo.

Paradójicamente, el Documento de seguridad es el gran olvidado de las empresas, cuando en realidad es el documento más importante y el que, en caso de inspección por denuncia (de momento no hay inspecciones de oficio propiamente dichas) se requerirá. Hemos de tener en cuenta que las inspecciones suelen producirse por denuncia, normalmente de trabajadores pero cada vez los casos son más variados.

Actualmente, como digo, no existe la figura del inspector de protección de datos de carácter personal, pero hemos de tener en cuenta que un Inspector de trabajo también podrá solicitar el Documento de seguridad, ya que suele contener datos de carácter laboral, o curriculums, y aunque no se sancionará en caso de no tenerlo en condiciones, sí se anota en el acta de inspección.

Además, para muchas certificaciones ISO, el estar en cumplimiento de la LOPD es un requisito básico.

4.- Firma de Contratos con proveedores, clientes y trabajadores.

Otro gran olvido de las empresas u organizaciones es firmar los correspondientes documentos con aquellos proveedores, clientes u otras personas que tengan acceso a los datos o dependencias de éstas.

En estos contratos las partes implicadas se deben comprometer a hacer el uso correcto y necesario de los datos a los que acceden, además de guardar confidencialidad. Sin estos contratos, los datos  corren el peligro de ser utilizados para otras cuestiones.

5.- Mantenimiento.

Por último, y muy importante, es que las empresas deben concienciarse de que la LOPD es una de las leyes más estrictas y específicas que Europa nos impone, y que para dar un buen cumplimiento es necesario trabajar sobre los datos obtenidos de forma continua, establecer medidas técnicas adecuadas, auditarse y mantener unos estándares de protección y calidad adecuados de forma continuada, y por tanto tras la implantación de protección de datos, se deben proceder al mantenimiento correcto de todos los protocolos de cara a evitar sanciones importantes.

 

Espionaje, Protección de datos y seguridad nacional

Posted on por
Responder

Artículo el Elderecho.com

lopd, protección de datos espionaje

lopd, protección de datos espionaje

Las 3 claves para que tu web sea «legal».

Posted on por
Responder

Link: Nueva publicación en Todostartups.com.

Captura_de_pantalla_20_02_13_12_16-2

Spam: Los e-mails publicitarios y su legalidad

Posted on por
Responder

Publicación en Todostartups.com: El Spam

Captura_de_pantalla_18_02_13_11_58

La nueva factura electrónica

Posted on por
2

El 30 de noviembre se publicó en el BOE el Real Decreto 1619/2012, de 30 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación.

Lo más destacable en mi opinión respecto a este RD es que por fin se equipara la factura electrónica a la factura en papel. La factura electrónica puede ser un simple PDF o un documento escaneado, eso sí, con el resto de requisitos de toda factura.

Además, el reglamento introduce una definición de factura electrónica que supone una simplificación muy importante para su emisión. Por tanto, el famoso EDI y la firma electrónica avanzada dejan de ser obligatorios, lo cual, en mi opinión, se agradece.

Si deseas ver con detalle el Real Decreto, puedes consultarlo aquí.

¿Tienes un negocio en Internet? Recuerda que debes identificarte correctamente!

Posted on por
Responder

Es muy común aún hoy encontrarnos con múltiples páginas webs de tiendas on line muy bien diseñadas y con productos muy atractivos, y que probablemente funcionen con gran profesionalidad, pero en las que no sabemos realmente quién nos presta el servicio. El que aparezca una marca o un logo no significa que detrás haya una gran empresa, puede ser un simple autónomo o una empresa estadounidense.

Recordemos que comprar por Internet es firmar un contrato y unas condiciones (que desgraciadamente no siempre leemos). Siendo esto así, ¿cómo es posible que ni siquiera sepamos con quién firmamos el contrato de compraventa? O ¿cómo es posible que no nos interesemos por saber quién hay detrás de una determinada tienda on line?

Tanto si eres el vendedor, en cuyo caso estás obligado a identificarte de conformidad con el artículo 10 de la LSSI, como si eres el comprador, en cuyo caso muchos nos echamos para atrás a la hora de comprar por no saber con quién estamos contratando, recuerda que siempre debe estar identificado el primero (ya sea autónomo o sea una sociedad).

Además, en el  caso de los vendedores, tened en cuenta que puede existir sanción por este motivo, y responsabilidades no deseadas.

El artículo 10 de la LSSI

Este artículo dispone que el prestador de servicios (el vendedor) deberá poner los medios necesarios para que el comprador tenga acceso a los datos de este para saber con quién está contratando. En particular, deberá identificar obligatoriamente los siguientes:

  1. Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.
  2. Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
  3. En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
  4. Si ejerce una profesión regulada (por ejemplo un abogado)  deberá indicar:
    1. Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
    2. El título académico oficial o profesional con el que cuente.
    3. El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
    4. Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
  5. El número de identificación fiscal que le corresponda.
  6. Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío o en su caso aquello que dispongan las normas de las Comunidades Autónomas con competencias en la materia.
  7. Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

Básico: Registrar el dominio en Internet de tu marca, empresa, producto o servicio

Posted on por
Responder

Exagerando un poco, a día de hoy se podría decir que la empresa que no está en Internet, no existe. Obviamente hay importantes excepciones o quien, por convicciones empresariales o del tipo que sea, evitan su presencia oficial en Internet. Pero para el resto de los humanos, Internet es la puerta a infinidad de nuevos clientes, y desperdiciar la oportunidad es casi inviable para la mayoría de los empresarios.

Darse cuenta de esto tarde es ciertamente peligroso si nuestra intención es registrar un dominio de Internet igual que nuestra marca, pues puede ser que alguien (deliberadamente o no), ya lo haya hecho por nosotros.

Por ello, como primer consejo, si registrar una marca ya es casi rutina para cualquier empresa seria que comienza, lo mismo debe realizarse para el dominio en Internet. Es más, es recomendable hacerlo cuanto antes. El registro se realiza en minutos por Internet, el coste es irrisorio para una empresa, y los beneficios pueden ser muy altos: ya no sólo para la captación de clientes, estrategias de marketing on line, comunicación y community management, sino también para crear una verdadera imagen de marca, controlar el número de visitas, generar ingresos extra por publicidad, etc.

Por otro lado, cuando surge una controversia en este sentido, existen fórmulas para hacer valer tus derechos en Internet sobre determinados dominios. Dejando aparte la jurisdicción común (nada recomendable en estos casos), la OMPI dispone del Centro de Arbitraje y Mediación en materia de nombres de dominio.

Por tanto, de todo estos debemos sacar 3 conclusiones:

1.- Registra tu dominio desde el inicio.

2.- Vigila tu/s dominios para evitar que expiren y sean “cazados” por terceros de mala fe.

3.- En caso de controversia no acudas a los Tribunales. La OMPI tiene un sistema más especializado, rápido y sobre todo barato de solucionar de forma seria tus controversias. Eso sí, siempre conviene que seas asesorado por un abogado tecnológico para tu defensa.