Mostrando entradas con la etiqueta LOPD. Mostrar todas las entradas
Mostrando entradas con la etiqueta LOPD. Mostrar todas las entradas

jueves, 5 de mayo de 2016

Publicado el Reglamento General de Protección de Datos de la Unión Europea

En el Diario Oficial de la Unión Europea del 4 de mayo de 2016 se publicó el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.  

Se trata del Reglamento General de Protección de Datos (RGPD) que, tras varios años de negociación, finalmente ha visto la luz.

El Reglamento, que entrará en vigor el próximo 25 de mayo, será de aplicación directa en todos los países de la Unión Europea a partir de los 2 años desde esa fecha, esto es, a partir del 25 de mayo de 2018.

Entre las novedades que introduce este nuevo Reglamento, cabe destacar las siguientes:

  • Se aplica al tratamiento de datos personales realizados en el ámbito de la UE, aunque el responsable no esté establecido en la Unión.
  • Incorpora el "derecho al olvido" para la supresión total de datos personales en determinadas circunstancias.
  • Introduce el concepto de "responsabilidad proactiva" (accountability) o la capacidad de demostrar que se han tomado todas las medidas necesarias para evitar un incumplimiento.
  • En caso de una brecha de seguridad que ponga en riesgo los datos personales, deberá comunicarse a las autoridades de control en un plazo máximo de 72 horas.
  • En algunos casos será obligatoria la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés).
  • Para determinados tratamientos será necesario realizar una Evaluación de Impacto sobre la Privacidad (PIA, por sus siglas en inglés).

En el siguiente enlace puede consultarse el texto íntegro del Reglamento tal como se ha publicado en el Diario Oficial de la Unión Europea:








Publicado por BROSA Abogados y Economistas en 7:56 0 comentarios
Etiquetas: , ,

miércoles, 12 de febrero de 2014

Sanción de la AEPD por no informar adecuadamente de las "cookies"

La Agencia Española de Protección de Datos (AEPD) ha impuesto las primeras multas por incumplimiento de la «Ley de cookies».  
La cuantía de estas sanciones asciende hasta 3.000 Euros en uno de los casos.

La denominada «Ley de cookies» se corresponde con el Real Decreto-Ley 13/2012, de 30 de marzo de 2012, que imponía algunas modificaciones a la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).  (Véase nuestra publicación del 3 de abril de 2012 en este mismo blog: "Modificaciones para adaptar la LSSI a la legislación europea").

Según la resolución de la AEPD "ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI", siendo el contenido del citado artículo el siguiente:

«2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario


La Agencia ha realizado un análisis de las páginas web denunciadas y en su resolución detalla que estos sitios utilizan un conjunto de servicios con sus cookies correspondientes: de analítica web (Google Analytics,  Wordpress), información de visitantes (Automattic), medición de tendencias (Quantcast), inserción de vídeos publicitarios (Youtube) o de chat a través de la web (Zopim), entre otros.

Si bien en la propia resolución la AEPD considera que "la vulneración del requisito previo a la instalación de cookies no resulta sancionable" sí que considera constitutivo de infracción sancionable "utilizar cookies propias y de terceros (...) sin informar de forma clara y completa sobre el uso de las cookies que se instalarán y fines del tratamiento de la información recuperada a través de las mismas".

En el siguiente enlace pueden acceder al texto completo de la Resolución R/02990/2013 de la AEPD en formato PDF (35 págs):

Quedamos a su entera disposición para atender sus dudas o consultas sobre este tema.

Publicado por BROSA Abogados y Economistas en 8:55 0 comentarios
Etiquetas: , , , , ,

martes, 3 de abril de 2012

Modificaciones para adaptar la LSSI a la legislación europea

El pasado viernes, 30 de marzo, se aprobó el Real Decreto-Ley 13/2012 por el que se transponen determinadas Directivas comunitarias.  Entre ellas, la Directiva 2009/136/CE (conocida como "Directiva de «cookies»") que impone modificaciones a la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

Se modifican varios artículos de la LSSI a fin de adecuar su régimen a las nuevas directivas relativas al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, debiéndose destacar la nueva redacción que se da a su artículo 22.2, para exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta; dispositivos que pueden facilitar la navegación por la red pero con cuyo uso pueden desvelarse aspectos de la esfera privada de los usuarios, por lo que es importante que los usuarios estén adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad.

Así, las modificaciones a la LSSI son las siguientes:

1.- Se añade un nuevo apartado 4 al artículo 20
«4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.»

2.- Se añade un nuevo párrafo al apartado 2 del artículo 21
«Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.»

3.- Se modifica el artículo 22
«Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»

Como siempre, quedamos a su disposición para atender cualquier duda o consulta que desee plantearnos sobre este tema.
Publicado por BROSA Abogados y Economistas en 2:09 0 comentarios
Etiquetas: , , ,

lunes, 18 de abril de 2011

Reforma del Régimen Sancionador de la LOPD

El pasado 6 de marzo entraron en vigor las modificaciones a la LOPD introducidas por la Ley 2/2011, de 4 de marzo, de Economía Sostenible.

En su disposición final quincuagésima sexta, esta Ley (conocida por contener, entre otros asuntos, la llamadaa 'Ley Sinde') modifica el contenido de los artículos 43, 44, 45, 46, y 49 del título VII 'Infracciones y sanciones' de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Entre las novedades de la reforma destacamos:

a) Modificación de la tipificación de las sanciones:
- Las cesiones ilícitas de datos pasan a calificarse de muy graves a graves, excepto para aquellos casos que afecten a datos especialmente protegidos, en cuyo caso, siguen tipificadas como muy graves.
- También pasan de muy graves a graves no atender u obstaculizar el ejercicio de los derechos de acceso, rectificación, cancelación u oposición, así como la omisión del deber de información.
- La falta de solicitud de inscripción del fichero en el Registro General de Protección de Datos pasa a considerarse una falta leve.

b) Modificación de la cuantía de las sanciones aplicables:
- Infracciones leves: multa de 900 a 40.000 Euros
- Infracciones graves: multa de 40.001 a 300.000 Euros
- Infracciones muy graves: multa de 300.001 a 600.000 Euros

c) Se establecen criterios de graduación de la cuantía de las sanciones, entre ellos:
- El carácter continuado de la infracción
- Vinculación de la actividad del infractor con la realización de tratamientos de datos personales
- Volumen de negocio o actividad del infractor
- Reincidencia

d) Se establecen criterios de atenuación de las sanciones (aplicación de la escala de sanciones de inferior grado)

e) Se incorpora una medida preventiva: el apercibiento:


45.6. Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine,
acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad .

Publicado por BROSA Abogados y Economistas en 2:23 0 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)