Skip to content

Los nuevos derechos en el Reglamento Europeo de protección de datos

El reglamento europeo de protección de datos trae no pocas novedades, desde la figura del DPO (O al parecer DPD en castellano), hasta las temidas certificaciones (Temidas por saber por donde van a salir las mismas), pero uno de los aspectos más interesantes que se han tratado en el mismo es el reconocimiento de una serie de nuevos derechos para los ciudadanos que van a cambiar en gran parte las posibilidades existentes en los mismos a los efectos de poder gestionar sus datos personales.

Anteriormente estos derechos no eran más que cuatro, los conocidos como derechos ARCO, acceso, rectificación, cancelación y oposición, los cuales entiendo que ya son más que conocidos (Y sino, total, a partir de Mayo ya no van a estar en vigor, y además vuelven con esta norma…), por lo que pasemos a centrarnos en los nuevos derechos reconocidos en el reglamento a partir de su artículo 12. Todo esto sin perjuicio de como después la reforma de la LOPD lo vuelva a regular, pero que en ningún caso, podrá ser contrariamente a lo aquí expresado.

Derecho a la transparencia:

Como en el caso del derecho a la información, nos encontramos ante un derecho que supone una obligación absoluta por parte del responsable del tratamiento (No como por ejemplo los derechos de acceso o limitación, solo ejercitables a instancia del interesado). Este derecho tiene una vital importancia para el esquema de derechos ya que sirve de base y de regulador para el ejercicio de los siguientes, de tal modo que establece las siguientes obligaciones:

  • facilitar la información de forma clara , precisa y comprensible de los arts. 13 y 14, así como 15 a 22 y 34.
  • Facilitar al interesado información para el ejercicio de sus derechos, salvo en el supuesto del art. 11.2 (Imposibilidad de identificación)
  • Establece el plazo de un mes para contestar a peticiones de interesado, para en caso contrario, abrir vía de la reclamación ante la autoridad .
  • Carácter gratuito de las peticiones , salvo que por reiteración o carácter infundado o excesivo, donde podrá establecer un canon o negarse a ellas
  • Para el ejercicio de los derechos de los artículos 15 a 21, puede solicitar información adicional

Ya con las normas establecidas, pasamos a los derechos propiamente:

Derecho de información:

Conceptuado como la información que ha de darse a aquella persona de la que se han obtenido los datos personales al momento de la obtención de estos, es un derecho reconocido, pero no ejercitable, al menos con las mismas características que el resto, como el propio artículo reconoce al igual que indicábamos en referencia al derecho a la transparencia, a diferencia de los que veremos más adelante y que debemos considerar doble, ya que por un lado enumera la información a facilitar en el caso de que sea el interesado quien facilita la información, y en el caso de que no sea el mismo quien lo lleve a cabo. A su vez, este derecho no deja de ser una proyección preventiva, por así decirlo, del derecho de acceso, ya que va a permitir tener conocimiento de como y que información se está almacenando con carácter previo a su tratamiento

Este derecho por un lado reconoce el derecho a la información, para el supuesto de que se obtenga la información del propio interesado, y en la medida en que este no lo sepa previamente (Es decir, opera tan sólo en la primera obtención de dicha información del interesado)

a)la identidad y los datos de contacto del responsable y/o su representante;
b) los datos de contacto del delegado de protección de datos, (Si es que esta obligado a ello)
c)finalidad del tratamiento y su justificación legal para poder llevarse a cabo
d) cuando el tratamiento se base en el interés legitimo, identificar dicho interés legitimo, propio o de un tercero
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) Si existen transferencias internacionales de los datos
g) el plazo durante el cual se conservarán los datos personales los criterios para fijarlos
h) la existencia de los derechos propios del ciudadano, es decir, acceso, rectificación, supresión, limitación, oposición, y portabilidad y limitación de su tratamiento,
i) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a) (Consentimiento expreso), la existencia del derecho a retirar el consentimiento en cualquier momento,
sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
j) el derecho a presentar una reclamación ante una autoridad de control;
k) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, de las consecuencias en el caso de no cederlos
l) la existencia de decisiones automatizas, incluida la elaboración de perfiles, información de como funciona dicha perfilación y las consecuencias principales para la privacidad del interesado
Pero este derecho a su vez, amplia esta información para el supuesto de que la información no sea obtenida directamente del interesado, caso en el que deberá informar, junto con el resto de datos antes indicados, de la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público, en un plazo que debe ser inferior a un mes, y en el caso de que se realicen comunicaciones sobre el mismo, en la primera de ellas.
Todo ello siempre que el interesado no tenga ya dicha información, suponga un esfuerzo desproporcionado (En especial en el ámbito de fines históricos, estadísticos etc..) o deriven de una obligación legal o del secreto profesional.
Derecho de acceso:
Con este derecho entramos en lo que podrían denominarse como derechos propiamente, y en el se contempla el derecho del interesado a tener confirmación acerca de si sus datos personales están siendo tratados, y en su caso, a acceder a los mismos y a la siguiente información:
A) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales,
d) Plazo de conservación o plazo previsto para ello
e) la existencia del derecho a solicitar el ejercicio del resto de derechos
f) el derecho a presentar una reclamación ante una autoridad de control;
g) Si son datos no obtenidos del interesado, información sobre su origen
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, información sobre el algoritmo aplicado y sus consecuencias para el interesado a nivel de privacidad
i) Si hay transferencias, las medidas aplicadas para su salvaguarda
Debe a su vez acompañarse de una copia de los datos personales objeto del tratamiento.
Derecho de rectificación:
Es el derecho a la corrección de los datos personales del interesado por parte del responsable, no varia con respecto a su regulación tradicional.
Derecho de Supresión (O Derecho al Olvido)
Este derecho es una de las mayores novedades de este reglamento ya que viene a regular lo que la jurisprudencia del Tribunal de Justicia de la Unión Europea ya reconoció en la  Sentencia del Tribunal de Justicia de 13 de mayo de 2014, consistente en la supresión de los datos personales del interesado sin dilación siempre y cuando dichos datos ya no sean necesarios conforme a su finalidad, retire el consentimiento, ejerza el derecho a oposición sobre los mismos o sean tratados de forma ilicita, y especialmente, en el caso de que se den alguna de la siguientes circunstancias:
– los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados  de otro modo;
– el interesado retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico;
– el interesado se oponga al tratamiento con arreglo al derecho de oposición , por motivos particulares o por mercadotecnia, y no prevalezcan otros motivos legítimos para el tratamiento.
–  los datos personales hayan sido tratados ilícitamente;
–  los datos personales deban suprimirse para el cumplimiento de una obligación legal
–  los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información
En el caso de que dichos datos estén copiados o siendo usados también por terceros, se deberá solicitar a dichos terceros que procedan su cancelación por parte del responsable (Como es el caso de los buscadores, para lo cual está diseñado expresamente el presente artículo)
No obstante todo ello no aplicara cuando los tratamientos sean necesarios para:
-Ejercer el derecho a la libertad de expresión e información;
– Cumplir una obligación legal
– razones de interes público o fines de archivo publico estadístico, etc…
– para la formulación,el ejercicio o la defensa de reclamaciones.
Derecho a la limitación del tratamiento
El derecho a la limitación del tratamiento es otra de las novedades de este reglamento y lo podemos definir como el derecho del interesado a que no se realice tratamiento con respecto a una parte de su datos personales si se dan las circunstancias para ello (Continuándose el tratamiento para el resto). Así el interesado podrá ejercitar la limitación del tratamiento cuando se cumpla alguna de las siguientes circunstancias:
– el interesado indique son inexactos, mientras el responsable confirma dicha inexactitud.
– cuando el tratamiento sea ilícito, pero en vez de cancelar, solicite limitar el tratamiento (Por ejemplo, porque le interese el servicio)
– el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado si que los necesita en el ámbito de una reclamación
– En caso de interés legitimo, mientras se acredita que interés prevalece
 Es decir, nos encontramos con , por definirlo de un modo más simple, un derecho de cancelación temporal o parcial en función de los requisitos que se den.
Tanto para el derecho a la limitación del tratamiento , como para la supresión, se genera la obligación, salvo esfuerzo excesivo que suponga, de comunicar por parte del responsable a los destinatarios dichas gestiones.
Derecho a la portabilidad de datos
El derecho a la portabilidad de datos es otro de esas novedades que trae el reglamento y es en síntesis, la traslación de la portabilidad en telefonía móvil, al mundo de la privacidad. Este derecho se caracteriza por la posibilidad de solicitar al responsable del tratamiento que se le faciliten los datos personales en un formato estructurado y claro a otro responsable, ya sea de foprma directa de ser posible, o sino a través del propio interesado, encontrándonos por tanto ante un derecho doble, de la portabilidad al propio interesado , a la par de la transmisión responsable – responsable. Entiendo que este formato mecanizado y comprensible será objeto de regulación específica por nuestra normativa.
Derecho de oposición
Otro de los derechos clásicos que vuelve con más fuerza que nunca (Esto parece una promo de la segunda temporada de una serie de Netflix) y no es otro que el derecho a oposición al tratamiento, es decir, oponerse a que los datos personales sean tratados por parte del responsable, que encontramos en una doble vertiente:
Por un lado la oposición al tratamiento por motivos personales basada en el artículo 6 del presente reglamento en los casos del apartado 1, letras e) o f) (Tratamientos legitimados por interés público o por intereses legítimos del responsable del tratamiento.
Por otro lado, sin necesidad de justificación ni causa, cuando los tratamientos deriven de tratamientos de mercadotecnia, en ambos casos, incluido la elaboración de perfiles.
Derecho a la no existencia de decisiones basadas en tratamientos automatizados
Este ultimo derecho viene a recoger el derecho de cualquier interesado de que no se tomen decisiones con efectos jurídicos basadas exclusivamente el tratamientos automatizados de datos (Incluidos, y especialmente la elaboración de perfiles), un derecho que en pleno siglo 21 tiene mucha mas trascendencia de la que podemos llegar a imaginar derivado de cosas como el big data o el machine learning. No obstante, este derecho no es absoluto, sino que se exceptúa en dos casos:
– Necesidad para la formalización de un contrato
– Consentimiento expreso.
A su vez las excepciones tienen su propia excepción, ya que las mismas no podran versar sobre datos especialmente protegidos salvo que existan medidas adecuadas para proteger dichos datos.

Con esto, un breve resumen de los derechos a los que nos enfrentamos/disfrutamos con este nuevo reglamento, que no son pocos y algunas de sus consecuencias directas.

Anuncios

¿Es legal el web scraping? : De webscraping y legalidad

Es legal el webscrapping

A veces en el mundo de la informática y el derecho pasan cosas que son como poco, curiosas, y es que un técnica tan antigua como el webscrapping vuelve ahora a estar de moda entre muchos modelos de negocio a los efectos de poder rellenar de contenido su páginas webs y dar servicios a sus usuarios, como una de las otras muchas utilidades que puede tener esta técnica, y surge la duda de siempre, es legal el webscraping?

Lo primero, definamos que es el web scrapping, para ello, si acudimos a la wikipedia, esta técnica informática se define como:

Web scraping es una técnica utilizada mediante programas de software para extraer información de sitios web. Usualmente, estos programas simulan la navegación de un humano en la World Wide Web ya sea utilizando el protocolo HTTP manualmente, o incrustando un navegador en una aplicación.

Es decir, que si lo traducimos consiste en copiar información de otra pagina web para el uso propio, y si esta conducta, es o no ilegal, pues como diría un gallego (Y perdónenme por el tópico), depende.

Lo primero, cabe decir que los Juzgados españoles ya se proclamaron allá por el 2012 sobre ello, con especial relevancia de la Sentencia  del Tribunal Supremo de 9 de octubre de 2012 número 572/2012, de Ryanair contra Atrápalo, donde determinaba que ese tipo de webscrapping era legal, pero que no todo el webscrapping lo era, para ello, más que el comportamiento realizado, debemos analizar cuales son las consecuencias del uso del mismo desde un punto de vista triple :

  • Por un lado, a nivel de competencia, si la conducta que se está llevando a cabo supone una competencia desleal al respecto de la página web sobre la que se está llevando a cabo el webscrapping, que en el caso de autos, se determina que no existe dicha competencia desleal, toda vez que para ello, se debe entender que con el webscrapping se genere una duda razonable para el consumidor de asociación respecto a la web escrapeada, es decir, pensar que la web que hace uso del scrapping tiene vinculación con la escrapeada o con dicho scrapeo, se use la reputación de esta para favorecer la web que usa los contenidos no propios.
  • Por otro lado debemos considerar si la conducta es ilegal desde un punto de vista de propiedad intelectual, cuestión en este caso incluso más peliaguda, ya que puede llegar a ser considerado delito. Desde este punto de vista a su vez debemos contemplar.

En este sentido debemos hacer a su vez varias precisiones, lo primero identificar sobre que protección de la propiedad intelectual estamos hablando, ya que al realizar el webscraping podemos estar vulnerando la propiedad intelectual de las siguientes maneras (o de ninguna), en función al caso.

Por un lado se puede estar escrappeando elementos sujetos a propiedad intelectual y protegidos por la misma como puede ser un libro, una imagen etc…, aquí obviamente , y salvo que dichos contenidos por su licencia de uso permitan que sean reproducidos y/o puestos a disposición libremente, nos encontramos ante una conducta plenamente ilegal, que puede ser considerada incluso delito.

Por otro lado puede ser que el webscrapping se lleve a cabo sobre una base de datos, en este sentido, deberíamos acudir de nuevo a la LPI en su artículo 12 donde reconoce la protección a las bases de datos, conforme al cual “únicamente a su estructura en cuanto forma de expresión de la selección o disposición de sus contenidos, no siendo extensiva a éstos” se deriva la protección existente, es decir, que si a través del webscrapping copiamos una estructuración a efectos de su explotación, entraríamos en este supuesto, aunque con una serie de especialidades, dado que por ejemplo, en el citado caso de Ryanair ya se determino que dicha información contenida en la web, a pesar de su estructuración, no constituye objeto de protección como base de datos.

No obstante este supuesto con la aparición de herramientas como el Big Data y en especial con la trascendencia económica que tienen en la actualidad los datos personales, de los que nos haremos eco a continuación en su vertiente relativa a la LOPD, esta estructuración de los datos personales a los que se pueda llegar a tener acceso a través del scrapping (Porque por ejemplo de acceso a su perfil a través de su usuario y contraseña), si que , en el supuesto de que se tenga una estructuración relativa a esa información, objeto de protección y por tanto, susceptible de llegar a ser incluso un delito

Por último dentro del ámbito de la propiedad intelectual debemos acudir para cerrar el círculo al supuesto previsto en artículo 133 de la citada norma, donde se contempla lo siguiente:

El derecho “sui generis” sobre una base de datos protege la inversión sustancial, evaluada cualitativa o cuantitativamente, que realiza su fabricante ya sea de medios financieros, empleo de tiempo, esfuerzo, energía u otros de similar naturaleza, para la obtención, verificación o presentación de su contenido.

Mediante el derecho al que se refiere el párrafo anterior, el fabricante de una base de datos, definida en el artículo 12.2 del presente texto refundido de la Ley de Propiedad Intelectual, puede prohibir la extracción y/o reutilización de la totalidad o de una parte sustancial del contenido de ésta, evaluada cualitativa o cuantitativamente, siempre que la obtención, la verificación o la presentación de dicho contenido representen una inversión sustancial desde el punto de vista cuantitativo o cualitativo. Este derecho podrá transferirse, cederse o darse en licencia contractual.

En este sentido, se hace referencia al hacer uso de la base de datos de un tercero cuando la misma haya supuesto una inversión económica (Independientemente de como se compute dicha inversión), toda vez que la protección en este sentido va encaminada a proteger lo que ha costado dicha base de datos. Para saber si el scrapping en este caso es o no legal debemos observar sobre que elemento a nivel mercantil estamos accediendo, toda vez que retomando la sentencia del caso Ryanair y todas las asociadas, al final lo que se viene a valorar es si esa inversión está realizada a los efectos del “core” del negocio, que hagan que su utilidad sea que la información sea comunicada públicamente por la web (El caso de los vuelos en empresas de viajes en avión o las prendas de ropa en un E-commerce por ejemplo), o en cambio, sea un elemento incidental que se da como un valor añadido, toda vez que la finalidad de dicha inversión no es que la información sea pública sino una utilidad propia para la empresa (Caso de nuevo en el que se pueda acceder al back office de cliente si dicha prestación no es esencial en el negocio de la empresa por ejemplo), supuesto que si tendría cabida de protección en el artículo 133 de la Ley de Propiedad Intelectual.

  • El tercer aspecto en el que puede ser ilegal el webscrapping es en el ámbito de la protección de datos, toda vez que a través de la misma se pueden estar accediendo a datos de terceros sobre los que no se tiene consentimiento para su almacenamiento y tratamiento, con lo cual, nos encontraríamos ante el supuesto previsto por el artículo  44.3, apartado b, de la LOPD es sancion grave tratar datos para los que no se ha sido autorizado, siendo obviamente completamente ilegal este comportamiento. Otro comportamiento que puede generar más dudas, pero que a mi entender también es ilegal es el acceso a información por parte de una plataforma tercera a pesar de tener el consentimiento del usuario (Como por ejemplo Fintonic, aunque esta última parece que si tiene acuerdos en este sentido con las entidades bancarias que alberga), dado que no aparece en esta relación el contrato de encargado del tratamiento, ya que la web que realiza el webscrapping es un encargado del tratamiento desconocido para la web que lo soporta, con lo cual es imposible fijar los límites y características del mismo, en especial, con la entrada en vigor del nuevo reglamento de protección de datos.

Por todo ello, y a pesar de que podemos decir que el webscrapping es más legal que ilegal, hay que estar a cada caso concreto para poder identificar si el comportamiento es susceptible de ser ilegal o no, y por que vía, ya sea administrativa en virtud de la LOPD, via penal por delitos contra la propiedad intelectual o por vía mercantil.

 

 

 

5 Errores sobre protección de datos en abogados, en ámbito digital

Si hace unos días nos hacíamos eco de los cambios normativos con respecto al nuevo reglamento de protección de datos, en el sentido de como los mismos afectaban a la practica diaria del abogado en su versión más física (Y si hay alguien que piensa que el trabajo de una abogado no es físico, que se pegue todo un día de guardia,  a ver que me cuenta), en este artículo vamos a centrarnos en lo que sería la parte más virtual o tecnológica del ejercicio de la abogacía, y con esto no me refiero al cosas como Watson o su inteligencia artificial, sino a esos elementos tecnológicos que se han introducido ya en la práctica diaria del abogado como pueden ser el correo electrónico o los programas de gestión, en los cuales, también podemos poner en riesgo la privacidad de nuestros clientes.

1-Las copias de seguridad

Lo primero, aclarar para algún despistado que no lo sepa que las copias de seguridad son las copias que realizamos de nuestros sistemas informáticos de una manera estable en el tiempo, o al menos que deberíamos hacer. Una de las novedades de este nuevo reglamento y que implica el principio del privacy by design y by default es que nosotros mismos seremos quienes determinemos la importancia de los datos personales que almacenemos y esa importancia se le dará en función de las medidas de seguridad que le apliquemos a dichos datos, pasamos por tanto de un sistema donde era el propio reglamento español de protección de datos el que fijaba las medidas necesarias (Pongo español para que no hay confusión con el europeo que ahora nos ocupa) para ser ahora nosotros mismos los que debemos determinar en función de los datos que tratemos y como los tratemos (Es decir, que datos almacenemos y que hagamos con ellos) cual es su importancia y dicha importancia vendrá determinada por las medidas de seguridad que fijemos a los mismos.

Una de estas medidas y que se debe volver imprescindible no es otra que las copias de seguridad de nuestros archivos digitales y es algo que he encontrado que en más de un despacho no se lleva a cabo por la falta de importancia de las mismas. Realizar la copia de seguridad es en la actualidad algo sumamente fácil ya que prácticamente todos los sistemas operativos, tanto móviles como de equipos informáticos te permiten hacer copias de seguridad de la información con carácter periódico, ya se realicen en la nube (Que es lo más habitual y de lo que hablaremos más adelante) o se realicen en otro servidor o sistema de almacenamiento que tengamos disponible, y que ya comenzará a generar nuestro propio sistema de privacidad con muy poco esfuerzo, ya que se realizan de manera automática.

A su vez, tenemos que tener en consideración que si tratamos datos especialmente protegidos (Datos sexuales, religiosos, políticos, sindicales, junto con las novedades del reglamento, datos genéticos y datos biométricos) es imprescindible que estas copias de seguridad se lleven a cabo en un lugar físico distinto a donde se encuentran los servidores principales donde guardamos la información.

2-El correo electrónico y las opciones de copia del mensaje.

Dentro del mundo de la abogacía uno de los elementos que usamos más asiduamente no es otro que el correo electrónico, asociados al mismo encontramos algún que otro error en lo que concierne al apartado de privacidad y en este sentido debemos hacer varias consideraciones:

Respecto al correo en si, gran parte de nosotros usamos cuentas de correo de google, el servicio conocido como Gmail o en su caso, un mapeado de nuestro dominio a través de google aps (Es decir usamos una cuenta de correo profesional, que está vinculada a nuestro despacho, pero que se aloja en los servidores de Google y tiene una apariencia similar a Gmail). Este tipo de comportamientos que no son en si un incumplimiento de la LOPD, ya que con ello se realizamos una transferencia internacional de datos  autorizada tras la entrada en vigor del Privacy Shield (O escudo de privacidad en castellano, pero me vais a permitir que deje el nombre en inglés, primero, porqué mola más, y segundo, porque no puedo evitar que tras el caso Snowden, el nombre me suene a pitorreo) pero el uso de este tipo de cuentas, aunque legal, no nos debe hacer olvidar un dato más que relevante, todos esos correos están siendo leídos por Google (Al que definitivamente se le olvidó eso del Don’t Be Evil) y es un hecho, que en función a la información que tratemos, no debemos olvidar bajo ningún concepto.

No obstante no está demás saber que las cuentas que pone a disposición el CGAE a través de aquí nos permiten cumplir con la normativa (Al menos desde la parte de transferencia de datos por lo que parece), te permiten recuperar correos más antiguos de lo habitual (Lo cual nos puede ser más que útil a efectos de usarlos como práctica probatoria) y son gratuitas, por lo que no está de más echarles un ojo (Conste que esto no es emplazamiento publicitario)

Visto primero el tema de los servidores de correo, otro de los errores comunes es a la hora de mandar correos el tema de las copias, es decir, parece que aun hay mucha gente a la que el tema de CCO o Con Copia Oculta no le suena, y es que si vamos a mandar un correo a varias personas y son nuestros clientes, no podemos darle el correo de los mismos a un tercero sin su consentimiento, por lo que la mejor manera de hacerlo es tramitarlo con la opcíon de copia oculta de tal modo que no cederemos a terceros la dirección de correo electrónico de ningún modo y nos cubriremos así en salud y también, la de la privacidad de nuestros clientes.

3- Uso de Whatsapp

Si antes decíamos que el correo electrónico se utiliza de una manera muy amplia,  de whatsapp que decir, pues que es el servicio de mensajería instantánea más utilizado en todo el mundo, y nosotros y nuestros clientes no van a ser menos de tal modo que es más que frecuente ver como muchos abogados se comunican con sus clientes a través de este sistema, sobre ello, mas que enrollarme más, os dejo este artículo aquí, donde veréis porque el uso de este sistema es ilegal a efectos de privacidad en nuestro apis, situación que no cambia con el nuevo reglamento, que sintetizando mucho, se circunscribe a que realiza transferencia internacional de datos no autorizada, no hay contrato de encargado del tratamiento ninguno al respecto y mucho menos con las mismas medidas que las que nosotros establezcamos, por no hablar de la posibilidad de uso publicitario de nuestras cuentas con la última actualización de la aplicación (Aunque ahora hayan reculado, al menos, formalmente)

4- Sistemas de almacenamiento en la nube

Antes hacía referencia , con respecto a las copias de seguridad a los sistemas de almacenamiento en la nube o Cloud, este no deja de ser un sistema a través del cual podemos almacenar información en un sistema de almacenamiento virtual, o como dice mi amiga Iurisfriky, guardar las cosas en el ordenador de otra persona, porque al fin y al cabo, no dejan de ser lo mismo, a través del sistema Cloud, lo que hacemos es almacenar la información en servidores de empresas terceras a lo largo del mundo que nos posibilitan su acceso, subida y descarga de información a través de Internet. Esta genialidad, porque nadie puede negar que cómodo es un buen rato, no está exenta de determinados riesgos a efectos de privacidad, ante todo, estamos almacenando y tratando información en los servidores de un tercero, por lo que debemos saber que medidas de seguridad se van a implantar en el mismo, y que como poco, sean las mimas que nosotros tenemos implantadas, donde se almacenará dicha información y como queda reflejada esa situación contractualmente, es decir, necesitamos tres elementos a los efectos de poder hacer un uso legal de este tipo de herramientas, que deben venir recogidos en el contrato de encargado del tratamiento.

Este contrato puede definirse conforme al artículo 3 G de la LOPD como:

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

El nuevo reglamento de protección de datos por su parte establece lo siguiente con respecto a la figura del responsable delñ tratamiento:

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

  • a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
  • b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
  • c) tomará todas las medidas necesarias de conformidad con el artículo 32;
  • d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
  • e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
  • f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
  • g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
  • h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

En este sentido podemos ver como se han ampliado las responsabilidades y funciones de dicho encargado del tratamiento, aunque para lo que nos interesa, son 3 los elementos fundamentales que debemos considerar en este sentido:

  • La existencia del contrato, ya sea en un contrato propiamente inter partes, ya sea en las condiciones de contratación del propio servicio, donde se determine datos a tratar y como se hará dicho tratamiento, su nivel de protección y medidas de seguridad a implementar.
  • La ubicación física de los servidores donde se va a almacenar la información, ya que de encontrarse fuera del territorio de la UE, sería ilegal, salvo que estuviese vinculado a Privacy Shield, esto, lo podemos mirar en la web http://www.privacyshield.gov/list
  • Que las medidas de seguridad sean al menos, las mismas, a las que tu tienes establecidas en tus sistemas, dada la obligación que antes hemos mencionado que se establece con respecto a las mismas con los encargados del tratamiento

5- Contraseñas y demás medidas de seguridad

Que las normas establecidas a efectos de protección de datos son casi imposibles de cumplir no creo que extrañe a nadie, simplemente con ver el listado que el Reglamento Español de protección de datos establece, conozco más de uno que se marea o bosteza, o incluso las dos por partes iguales, no obstante, si que existen determinadas opciones que podemos llevar a cabo de forma cómoda y sin complicarnos mucho que nos pueden ayudar con este requisito del privacy by design and by defalult a la vez le sacamos más rendimiento a los datos que almacenamos de nuestros clientes.

a) Uso y cambio de contraseñas: Si bien no vamos a conseguir otro valor añadido que la consecución de la privacidad de los clientes, el hecho de tener distintas contraseñas para cada servicio o aplicación es un deber para un abogado, y si ya las cambiamos cada determinado tiempo, pues mejor que mejor. Y no, contraseñas como 1234, secreta o password no son buenas contraseñas para nada, si quieres saber como de segura es tu contraseña o aun mejor, como conseguir una contraseña segura, utiliza mayúsculas, letras, números y símbolos. Para hacer pruebas, nada mejor que https://howsecureismypassword.net/, donde puedes ir haciendo pruebas sobre como de segura es tu contraseña.

b) Custodia: El deber de diligencia a la hora de tratar los datos nos obliga a que usemos usuario y contraseña a la hora de acceder a los mismos, a no dejar nuestro equipo informático (Portátil , pc o incluso el móvil) disponible sin contraseña , es decir, tener diligencia a la hora de tratar los datos personales de nuestros clientes. A su vez, nos permitirá mantener la calidad de los datos que tan importante deben ser para nuestro trabajo.

C) Cifrado: Por cifrado debemos entender el hecho de que el contenido sólo sea accesible si se tiene la contraseña para poder ver la información, es decir, que no se transmita por texto plano. El ejemplo más claro y fácil es al momento de envíar información sobre nuestros clientes a terceros por correo electrónico, la misma debe estar cifrada, es decir, no ir en texto plano, circunstancia que podemos solventar de forma tan fácil como comprimiendo la información en un archivo .rar o .zip donde la contraseña sea sólo conocible por el receptor del correo electrónico.

Y respecto a medidas de seguridad podríamos estar largo rato hablando, las medidas de custodia, comunicación de datos etc… también son más que recomendables, no obstante, para empezar, con estas es más que suficiente.

Y con esto, que no es poco, os dejo hasta la próxima

Colaboración: ¿EL DERECHO DIGITAL ES TAN IMPORTANTE COMO EL DERECHO CIVIL? LA REPUTACIÓN DIGITAL

Creo que es la primera vez que un amigo, después de tantos años con esto abierto, me pide escribir en mi blog, y por tanto no me podía negar. Y la verdad es que no puedo sino darle las gracias por gastar su tiempo dando unas lineas acerca del derecho tecnológico por alguien que lo ve desde los ojos de un recién llegado y que me “culpa” de haberle descubierto esta rama del derecho, tras haber disfrutado un increible Notartic, donde salvo por mi, hubo un nivel impresionante 😉 .

Así que sin más , os dejo con Ernesto Martínez Mezquita:

Recién acabadas las primeras Jornadas de Notartic en Sevilla tengo un impulso incontrolable a escribir. Es la primera vez que me pasa y como dicen por ahí “si no lo suelto, reviento”.

En la excepcional ponencia de territorialidad de internet de Francisco Pérez Bes del pasado sábado hubo una frase que me ha hecho reflexionar. No la puedo citar textualmente pero básicamente era que “una persona por el hecho de nacer en un territorio tiene una nacionalidad y se le aplica unas normas, cosa que no se ocurre en el nacimiento digital”. Eso me ha hecho pensar en que ” el internet ” -ese el lugar que el español medio considera ese sitio de ordenadores (ahora de móviles y tablets) donde mandas fotos, ves vídeos, compras barato y envías correos- es en esencia libertad.

Cuando naces, da igual el sitio, ya se te asignan una serie de etiquetas, que en algunos casos estigmatizan (con demasiada habitualidad) o benefician. Por ejemplo, en mi caso particular por nacer en X población, levo el sambenito de flojo, de ser amante de las tapitas, de los toros, de cantar, y -en el mejor de los casos- tener gracia (o ir de gracioso que es peor). Esas “tags” las llevas allá donde vayas y te acompaña en todas las facetas de la vida. Hasta el extremo que, cuando se te empieza a reconocer por cualquier talento (o a criticar, aunque sea por envidia a esa virtud) se dice no parece que sea andaluz, madrileño, gallego, lo que sea. Lo mismo ocurre con la familia, da igual lo que te esfuerces, da igual que sea cierto o no, siempre serás el hijo de, el hermano de, el amigo de, el vecino de…

Y eso me hace pensar en que la red es todo lo contrario, y es igual o más decisivo que en la vida real. Hace años, con lo que podemos llamar la democratización de internet que se produjo por el año 2000 se gestaba el mundo 2.0, Para mí, la mayor revolución en la historia de la tierra desde la revolución industrial.

Por primera vez es posible volver a “nacer”, o rectificar cosas del pasado que no nos gustan (o vengarnos de aquéllos a los que les guardamos rencor). Esto nos afecta/afectará de manera determinante de por vida, y únicamente a la especie humana Y además de manera inmediata. Es un cambio trascendental que nunca antes, ni probablemente volverá a ocurrir en el futuro: Podemos cambiar de un plumazo nuestra reputación, nuestra identidad. Y además al ritmo que decidamos, está en nuestra mano.

Podemos decidir guardar prudencia y opinar de manera ecuánime, pero con habitualidad, controlando la opinión a formar. También podemos adoptar otra estrategia -por gusto o tiempo- como ser más contundente, llamar más la atención, generando una opinión. Pero pocas personas tienen en cuenta que de cualquiera de las dos formas podemos convertirnos en un tonto, una estrella, un visionario, un estúpido… Nosotros mismos somos capaces de destruir (para bien o para mal) todo aquello que nos ha costado toda la vida construir como es la opinión que tienen los demás de mí.

Y ese “poder” afecta en todos los aspectos porque la técnica ha acercado a la humanidad, y ésta de manera consciente o inconsciente, ha cambiado la realidad de lo que se percibe en un cara a cara diario.

Ya no solo vas a tal colegio/guardería por lo que dicen tus padres, o por lo que dice tu familia o cercanos. Ni tampoco sabes de Madrid por lo que dice “paco, el hijo de Loli que vive en Madrid que le ha contado a su madre no sé qué”. Hasta la revolución industrial la sociedad formaba su opinión así. El mundo se volvió 1.0 cuando los que contaban sus experiencias eran los que estaban allí (mediante cartas y/o periódicos). Luego pudimos oírlo (radio), posteriormente pudimos verlo fijamente (fotografías) y finalmente en movimiento (televisión). Pero con internet llega la revolución 2.0. A lo anterior se añade lo nunca vista, podemos hacer que sea igual de relevante lo que se transmite, como quien lo transmite.

En palabras del mundo del seguro del que vengo, el continente y el contenido. Aquí no hay prelación, no es más importante uno que otro. Nosotros decidimos que es lo importante. Tenemos la capacidad de generar una opinión en todos los niveles. A modo de ejemplo si tengo interés en ser conocido y tener repercusión, lo más fácil– y barato- es armar el taco hablando de un tema candente, por ejemplo.

Está claro, para tener buenas oportunidades en la vida, quien te la dá lo hará finalmente por la entrevista personal (excepcionamos los casos de enchufismo puro). Eso es una obviedad y es así de momento. Y remarco de momento porque llegara el día en el que sean robots los que, erradicando los sentimientos y atendiendo preferentemente a criterios productividad-eficiencia, los que decidan. Incurro en el error de pensar que será en el futuro cuando esto ya está en el presente de hoy en día. Si alguien quiere hacerse una idea puede buscar en internet para saber de una persona y formar una opinión.

Y aquí es cuando, el heroico que ha llegado hasta aquí después del tocho escrito antes piensa en el título y piensa o dice en alto algo similar a: y ahora vas y te haces la picha un lio después de la frikada que te ha marcado. ¿Qué pinta el derecho en todo esto?

Para quien escribe aquí el derecho entra de lleno, esas normas que deciden como se regula las relaciones sociales, tiene que tender a proteger lo 2º más importante de la vida, tras lo esencial que es la salud, que es quien eres, tienen que proteger tu reputación.

Debes ser tú y solo tu quien decida que se sabe o quien debe poder saber de ti. Espero que a quien lea esto le salga sola la misma frase que a mí. El problema es que esa sentencia tiene un triple sentido con el simple hecho de introducir dos signos ortográficos, estando dos de ellos íntimamente relacionados.

La primera respuesta ¡TENEMOS DERECHO! Expresado de este modo podemos interpretarlo como una evidencia, algo indiscutible. Empleando las palabras que me repite en nuestras continuas charlas mi suegro, el Doctor Rafael de Lara García, “debatir eso es como debatir sobre la transparencia del agua” y por tanto no merece mucho más desarrollo.

¿tenemos derecho? No la planteo como pregunta reflexiva, sino en el sentido más robótico o googleriado de la palabra, dicha pregunta se contesta con la misma frase, tenemos derecho. Podría enumerar bajo estas líneas la normativa que de un modo u otro regula lo que suscita este artículo la reputación (sin diferenciar entre digital y real porque ya es la misma) pero esa es una tarea que me dejo para más adelante.

Como mandan los canones de introducción nudo y desenlace tengo que ir sacando conclusiones (y acabar esta agonía). Me sorprendo, llegando otra vez de nuevo a ¡continente y contenido!! No se te ocurre mejor metáfora Ernesto, Serás inculto.! ¿Esa es tu conclusión? ¡Y además de inculto eres (que el lector elija el adjetivo), que has dicho tu nombre y llevas evitando todo el artículo que te reconozcan! Te van a juzgar si esto tiene repercusión, ¡a saber, que van a opinar de ti! Con una sonrisa me digo a mí mismo “bueno puedo corregirla con otro texto, o con una entrevista, o una charla, o una ponencia” De nuevo asoma un miedo. ¿Y si eso no sucede? O peor ¿y si en lugar de arreglarlo meto la pata aún más?

Vamos a intentar responder a la pregunta que titula este post con las enseñanzas de Notartic. El título proviene de la frase “¿dentro de unos años el derecho TIC será tan importante como el derecho civil?”. Me la pronunció en la primera reunión legal hackers Sevilla -entre cervezas temperatura ambiente- mi compañero letrado y asistente al congreso Daniel Tinoco. Y con el feedback de Notartic he llegado a la conclusión de que la respuesta es NO. Hay que ser más ambicioso. El Derecho digital es tan importante como los derechos humanos pues afecta de manera tan transcendental a la totalidad de las personas y sus relaciones que solo puede abordarse desde esa perspectiva.

Respondida la pregunta (y sin entrar en disquisiciones del estilo ¿Qué es el derecho digital realmente? etc.), me planteo para el futuro los siguientes interrogantes:

¿Nuestras normas protegen nuestro derecho a controlar nuestra reputación? ¿Hay medios efectivos para corregir/ perseguir a quien vulnera esos derechos? Como bien señaló Sara molina en su intervención en las jornadas Notartic ¿Es más castigo/educativo en algunos casos privar a un menor temporalmente de acceso a internet que ingresarlo en un centro de menores o imponer una multa a sus padres/tutores? ¿El derecho al olvido consiste en borrar la información o solo en cortar las vías fáciles de acceso a dicha información? ¿Tienen las empresas que hacer públicos y acreditar fehaciente los criterios y parámetros de selección instaurados en su algoritmo? ¿Es discriminación que una Inteligencia Artificial analice los datos y llegue a la conclusión de que una etnia, un gremio, etc. es contraria al perfil que busca? ¿Hay que aceptar que sea un software automatizado el que discrimine que se sabe de uno mismo?

Nuestra libertad, nuestro desarrollo como persona esta inevitablemente ligado a frases tan simple como ¿qué dirá internet de mí? ¿que pensara una inteligencia artificial que es relevante para los demás? (en palabras del pueblo ¿saldré en las primeras páginas de bing o google?), ¿cómo interpreta esa inteligencia artificial que soy? ¿el empleo de palabras nunca o siempre implicaran que la inteligencia artificial me catalogue como autoritario? ¿publicar post críticos o de protesta me identifica como de trato social?

Por todo lo anterior ¿Qué más da quien escriba este artículo?, el emisor es irrelevante. El fin es que pueda ser cualquiera. Para mí lo importante es el contenido y espero que así sea para todo aquel que lo lea.

Como colofón quiero aprovechar para dar las gracias a mi amigo y compañero Rubén Vázquez, en primer lugar, por permitirme escribir esta entrada en su blog. Le estoy profundamente agradecido por todo. Es el culpable de que yo quiera buscar mi sitio en este mundillo. Fue quien me dijo que reactivará con prudencia mi yo de las redes sociales. Quien me animo a mantener el contacto con su amigo y gran profesional Jesús Acevedo Quien me aconsejó que leyera a David Maetzu en su blog del derecho y las normas. Quien que me presentó a Paco rosales, quien me hablo de Sara Molina, quien me descubrió a Javier de la Cueva, a Francisco Perez Bes, a Javier Gonzalez Granados, a Silvia barrera, a Rodolfo Tesone, a Julián Inza, a Justito el notario (que poca gente sabe su nombre real), y a otros tantos que me olvido ahora pero que son igual de importantes.

Pd: Espero que el trabajo y la vida en general me permita dar continuad en el futuro a estas líneas. Ya se me están ocurriendo nuevos temas para el futuro.

5 Errores habituales de privacidad en abogados con el nuevo reglamento de protección de Datos

privacidad abogados

Aquellos que nos dedicamos al derecho digital o o derecho tecnológico tendemos a ir siempre subiendo el listón y dejarnos llevar por las tendencias, de tal modo que a veces nos olvidamos de la base y no debemos obviar que una buena casa siempre se basa en unas buenos cimientos, es por ello por lo que he decidido hacer un listado de los 10 errores más habituales que solemos cometer los abogados (Yo el primero) respecto al ámbito de la privacidad de los clientes, junto con las medidas que se deberían adoptar para tratar de remediarlos dentro del marco del nuevo reglamento de protección de datos, para, por un lado, actualizar nuestros procesos al respecto o en su caso, para los más despistados, que empiecen a implementar dichos procesos de privacidad en pos de sus clientes. En este post tendremos los 5 primeros (Como os ponga los 10 no se los lee nadie, que os conozco y después os da pereza y lo dejais a medias, y las cosas no se pueden dejar a medias…)

Esto a su vez se debe a que con el nuevo reglamento, que os recuerdo que ya está en vigor aunque no sea exigible hasta 2018, se establecen los principios de privacidad por diseño y por defecto, es decir, no basta con tener ya los ficheros dados de alta y un documento de seguridad cogiendo polvo en el cajón (Aunque antes tampoco valía), sino que ahora es necesario tener unos procesos en pos de la privacidad de nuestros clientes establecidos por defecto y en pos de cumplir con la misma.

En este primer post sólo nos centraremos en lo que sería la parte más “física del cumplimiento” dejando para el próximo post la parte más digital o virtual.

Justificado el motivo de este post (Aunque creo que acabarán siendo varios), empecemos con estos 5 errores

1) Los expedientes en la sala de espera:

Es más que habitual cuando vamos a un abogado, encontrarnos en la sala de espera del mismo una serie de armarios llenos de expedientes con los asuntos archivados del despacho, y entendiendo que en algún sitio deberán estar (Aunque también es cierto que en pleno siglo XXI tampoco estaría de más proceder a la digitalización de los documentos con lo que ocuparían mucho menos espacio, pero allá cada cual).

Si bien es cierto que los expedientes si no queremos escanearlos y digitalizarlos , en algún lugar deben estar, no es lo más recomendable que se encuetren fuera de la zona de trabajo directa del letrado, el motivo, en función del despacho, estaremos tratando datos especialmente protegidos como son para el nuevo reglamento:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • afiliación sindical
  • Datos genéticos
  • Datos biométricos orientados a la identificación personal
  • Datos de Salud, vida sexual u orientación sexual

Dichos datos, al estar fuera del control del abogado, están disponibles para ser accesibles por cualquier persona que pase por allí, desde un posible cliente a la persona de la limpieza, con lo cual se incumple por un lado, el deber de secreto profesional, y por otro, la necesidad de custodia y protección de dichos datos especialmente protegidos.

Visto el problema, la manera de cumplir con las necesidades de nuestros clientes es almacenando dichos expedientes con los datos personales de nuestros clientes en la zona propiamente de trabajo del despacho, y en caso de imposibilidad física para ello, es decir, falta de espacio, que al menos dichos expedientes estén conservados bajo llave, la cual debe estar en posesión del titular del despacho, no vale con dejarla puesta en la cerradura como me he encontrado en gran cantidad de ocasiones.

2) El documento de seguridad:

Con la llegada del nuevo reglamento de protección de datos el documento de seguridad pasa a desaparecer, pero a la vez, pasa a ser más importante que nunca, esta teórica contradicción se debe a como comentaba en la introducción de este artículo, la necesidad de establecer un sistema de privacidad por diseño y por defecto hace, entre otras cosas, necesaria la centralización de la información de los procesos, contratos y procedimientos vinculados a la privacidad y que mejor sitio para centralizarlos que en el documento de seguridad, entendiendo por el mismo, ya no ese A-Z donde compilábamos documentos, sino cualquier tipo de soporte donde vayamos recopilando los procesos y documentos vinculados, desde los ficheros con los que trabajemos, hasta los contratos de encargados del tratamiento o los consentimientos para el tratamiento de los clientes.

Históricamente, si históricamente que esto viene del 95, son más de 20 años, el documento de seguridad era eso que tenían los despachos que decían cumplir con la LOPD  (Distingo los que dicen cumplir y los que cumplen) un AZ en el ultimo cajón del armario sin darle más importancia que cuando lo hicieron o un tercero se los hizo, en la actualidad como ya he dicho, no será necesario dicho documento como tal, pero si la centralización de los procesos y documentos así como la previsión de las medidas para la toma de los datos de nuestros clientes y su tratamiento así como los procesos para el ejercicio de sus nuevos derechos, ya no sólo acceso, rectificación, cancelación u oposición, sino también portabilidad o limitación del tratamiento, y es por ello que este nuevo documento de seguridad (Por llamarle de algún modo, también podría llamarse Pepe por ejemplo) cobra una nueva trascendencia, por todo ello, la solución es simple debemos empezar a concienciarnos en privacidad, en la de nuestros clientes y documentar correctamente las gestiones.

3) El domicilio a efecto de notificaciones

Un error que también he encontrado en muchos casos con clientes despachos de abogados es la costumbre de establecer como domicilio a efecto de notificaciones el del cliente, independientemente que sea de un tipo procesal u otro o se actúe con o sin procurador, este detalle, que a mi parecer hace bastante más incomoda la gestión del despacho con respecto a las notificaciones, no queda ahí, sino que puede dar lugar a algún que otro dolor de cabeza como el que nos llegó, una cliente de violencia de género en una vivienda protegida, que por determinar dicho dato como a efectos de notificación, se encontró a su exmarido pidiendo disculpas en su casa, y gracias a que fue sólo eso.

Al momento de fijar el domicilio a efectos de notificaciones, primero tenemos que tener el consentimiento de nuestro cliente para determinar el suyo a dichos efectos , lo cual debe introducirse entre otros elementos en la hoja de encargo como indicaré a continuación, ya que estamos por un lado, cediendo los datos de nuestro cliente a un tercero, la parte contraria en el pleito, sin ser un elemento imprescindible para la relación jurídica toda vez que tanto la Ley de enjuiciamiento penal como la Ley de enjuiciamiento civil no obligan, salvo excepciones penales, a establecer dicho s domicilios, y a su vez, debemos en casos como el ámbito penal, o datos especialmente protegidos intentar en la manera de lo posible no divulgar datos especialmente protegidos salvo que sean imprescindibles para un procedimiento, por lo cual, siempre es recomendable establecer el domicilio a dichos efectos el de nuestro despacho.

4) La mesa

Cuenta la leyenda que la mesa del abogado es aquello que se encuentra bajo unas doscientas toneladas de folios donde se acumulan notificaciones, carpetas, folios expedientes y un largo etcétera de documentos y elementos de oficina, y digo que cuenta la leyenda porque en muy pocas ocasiones he tenido la oportunidad de ver la mesa de un despacho de abogados completamente libre de estos elementos.

Esto que puede pasar por una curiosidadd tiene una trascendencia jurídica bastante importante, toda vez que en dichos documento que se encuentran en torno a esa mesa están los datos personales de nuestros clientes y se produce los mismo que en el punto 1 del presente artículo, están a mano para que cualquier curioso que pase por allí pueda echarle un ojo y conseguir información al respecto, con lo cual, estaríamos incumpliendo nuestro deber de secreto, de confidencialidad y a se vez cediendo a un tercero los datos de nuestros clientes a través de la comunicación pública de dichos datos dentro del espacio de nuestro despacho.

En este sentido, no obstante, debemos diferenciar entre lo que seria la zona de trabajo propiamente y lo que no, ya que en alguna ocasión me han justificado esta práctica con dicho motivo.

Zona de trabajo a los efectos de protección de datos puede entenderse que sean dos, tres o cuatro expedientes  en la mesa y no por más de un día en la misma, que no es lo mismo que tener todos los expedientes del último mes en la mesa, que suele ser lo habitual, ni que dicho expedientes aun se encuentren en la mesa con los datos visibles al momento de atender a un cliente, por ello la solución a tomar en estos casos es tener al menos un pequeño archivador dentro de esa zona de trabajo, a poder ser con llave, a los efectos de alamacenar ahí la información que debamos tener más a mano, fuera parte del expediente/carpeta con la que estemos trabajando, ya que con ello, conseguiremos dar una mejor impresión al cliente a la vez que cumplimos con la legalidad..

La otra opción, utilizar programas de gestión de despachos que nos permitan almacenar, gestionar y digitalizar documentos , de modo que no sean necesarias sus copias en papel, asegurándonos obviamente, que dichos programas cumplen con la normativa al respecto, porque todo no vale, aunque de eso hablaremos más adelante.

5) La primera hoja de la carpeta del cliente

Muy relacionado con el punto anterior de la mesa, aunque en este caso aun más grave, ya que normalmente la carpeta no se queda en nuestro despacho exclusivamente sino que tendemos a pasearla por nuestra ciudad y en especial por el juzgado es el que tengamos el pleito. Este heccho que per se no tiene mayor relevancia, si lo analizamos más a fondo  vereemos que si la tiene, por un lado porque llevamos información confidencial del cliente dentro de la carpeta, pero sobre todo, porque tendemos a poner todos los datos del cliente en esa primera hoja de la carpeta, normalmente, nombre y apellidos, número de teléfono, materia del pleito y tipo de asunto, es decir, si llevamos por ejemplo un tema de violencia de genero, y entra un cliente al despacho y esa carpeta está a la vista o la dejamos en lo alto de un banco (Esto lo he visto más de una y dos veces) cualqueira puede ver como se llama nuestro cliente, su número de teléfono y clasificarlo como un maltratatador, sin que eso tenga porque ser cierto, pero con esa información, es el análisis que van a sacar, de ahí la necesidad de que dichos datos tratemos de no dejarlos visibles al público.

En este sentido, la mejor opción es tratar de identificar los expedientes con un número o con el mismo número de proceso, para después a nivel interno, nosotros identificar cual es el proceso o cliente al cual nos referimos, eso que el nuevo reglamento identifica como pseudoanonimización, pero que no es más que hacer que los datos de nuestros clientes no sean identificable por si mismos, aunque nosotros posteriormente podamos identificar dicho cliente.

 

Con esto terminamos este primer post, terminamos este primer post , en breve tendréis el segundo referente al ámbito más digital, hasta tanto, intentad poner en marcha algunas de estas medidas, que al fin y al cabo, tampoco son tan complicadas 😉

 

De Whatsapp y Facebook: Datos, consentimiento, publicidad y otras cosas que guardar

Los abogados que nos dedicamos al derecho digital como es mi caso tendemos muchas veces a exagerar cada vez que hay un cambio normativo o en especial, cuando hay una modificación importante en los TOS de cualquier servicio web o aplicación de uso extendido, y esto es algo que de nuevo ha ocurrido con el cambio de los términos de uso por parte de Whatsapp, pero en este caso, dado el nombre de los sujetos que entran en la relación, Whatsapp y Facebook, hacen de este tema uno bastante más interesante y con una trascendencia legal, que en la práctica, puede ser bastante amplia como me indicaba esta mañana mi compañera y a pesar de eso, amiga, Sara Molina, cuando me lo comentaba esta mañana.

Por un lado, es plenamente visible que existe una trascendencia legal desde el punto de vista que se realiza una modificación entre el contrato que regulaba nuestra relación con el servicio de mensajería instantánea.

Dicho cambio estriba en que a partir del momento en que aceptemos el cambio (Cuestión que abordaremos un poco más adelante), nuestros datos personales asociados a whatsapp pasaran al grupo de empresas de Facebook a efectos de mejora del producto y publicidad, y aquí estriba la gracia del cambio, ya que Whatsapp nos deja claro que esos datos ya se comparten (Cuestiones como geolocalización, terminal, uso o número de teléfono, no el contenido de los mensajes, el cual continua siendo cifrado end to end) con el resto de empresas del grupo como puede leerse aquí:

De cualquier manera, Facebook y la familia de empresas de Facebook recibirán y usarán esta información para otros propósitos. Esto incluye ayudar a mejorar los sistemas de infraestructura y entrega; entender cómo se usan nuestros Servicios o los de ellos; proteger los sistemas; y combatir las actividades infractoras, el abuso o los mensajes no solicitados..

Es decir, al aceptar el cambio, sólo aceptas que se use a efectos de productos y publicidad (A que horas te conectas habitualmente, desde donde etcétera son datos muy jugosos a efectos publicitarios) ya que para el resto de usos, ya lo vienen haciendo desde la compra de la compañía sin necesidad de modificar los términos del servicio, entiendo, que justificándolo en que es necesario para la prestación de los servicios dentro del grupo de empresas de whatsapp, cuestión que entiendo que por si misma considerada, hace que este cambio esté bien construido y sea legal desde este punto de vista, además Google lleva años leyendo nuestros correos a esos mismos efectos y no veo a la gente darse de baja de gmail como si no viera un mañana…

Ahora bien, la trascendencia legal de esta modificación no se queda aquí, ya que la entiendo ilegal por el modo en que se ha articulado, recodemos que la normativa comunitaria,y en la normativa española se establece el modelo del opt in, o consentimiento expreso con respecto a otorgar el consentimiento, por lo que tal como se ha realizado el cambio (Un sólo botón aceptar, sin información al respecto salvo dando a la opción de leer más, e incluso en ente caso, estando el check marcado por defecto), como podéis ver y seguro que habéis en muchos casos sufrido:

430246c625d48ad0a7b0ae3bb22e894e7f38af83

 

Es por este motivo por el que entiendo como ilegal este cambio ya que no permite un consentimiento expreso al usuario a los efectos de saber sobre lo que da el consentimiento, simplemente lo otorga sin fundamento, siendo esto contrario a lo establecido en la normativa antes mencionada y lo que hace que este cambio pueda darle incluso algún dolor de cabeza a Facebook

 

Del Congreso Nacional de Jóvenes Abogados y los Mitos de la Abogacía Digital

Entre los pasados días 2 y 4 de Junio se ha celebrado en Sevilla el Congreso Nacional de Abogados Jóvenes, de los que aunque parezca mentira, aun formo parte, y quiero aprovechar estas lineas, para primero, dar las gracias a CEAJ, la Confederación Española de Abogados Jóvenes por su inmenso trabajo en su organización y a su vez, por invitarme a ser parte del mismo. Sin perjuicio de olvidarme de alguien quiero dar las gracias especialmente a Cristina LLop por su trabajo, a Rosa Manrubia por confiar en estos dos locos del derecho digital para dar la charla, a Miriam Seijas por toda la dedicación y el trabajo realizado, al presidente, Juan Calle, por sus ánimos y coordinación, como no a la Asociación de Jóvenes Abogados de la que formo parte orgullosamente, sin olvidarme de mi socio, y a pesar de ello amigo, Jesús Fernández Acevedo sin el que la ponencia solo sería media ponencia.

Así, el sábado a eso de las 9:30 de la mañana me tocaba enfrentarme a un auditorio que en su mayor parte ni si quiera había dormido más de 3 horas y que me imagino que tendrían cuerpo para volver al hotel más que para que un tipo como yo les contará alguna que otra cosa medianamente interesante (Al menos para mi)acerca del Derecho Digital, y no obstante, fueron muchos los que acudieron, por lo que sólo puedo dar las gracias a esas casi 80 personas que allí se dieron cita.

Empezamos con mal pie, por mi culpa, que pensaba que el audio del pc estaba activo a los altavoces, pero bueno, eso me enseñó una lección, mejor empezar mal, que así ya sólo se puede mejorar, y vaya si lo hizo, acabando con un público entregado coreando los falsos y verdaderos de los mitos que les contábamos como si en vez de las 10 de la mañana fueran las 2 de la tarde y tuviesen un botellín en la mano.

Y se acabó y empezó la parte más bonita, al menos para mi, el feedback de los asistentes, y es que la gente que se atrevió a venir a vernos, esos que fueron capaces de aguantar un taller para abogados, que tal vez sea lo menos cercano al típico taller de abogados al que puedan acudir. De entre todas esas muestras de afecto y reconocimiento me quedo con una, quiero disfrutar tanto trabajando como te he visto a hacerlo a ti, y es que al final del día sólo queda eso, disfrutar con tu trabajo y pasarlo bien, y si puedes hacer que los demás lo hagan contigo, transmitirlo, entonces ya es maravilloso.

Me despido como lo hice en la charla, un simple y sincero GRACIAS

Presentacion Congreso CEAJ(1)

 

De abogados en la Nube: Chapter3 de los E-Legales

De abogados en la Nube es el nombre del Chapter 3 de los E-Leglaes, y es que como cada 15 días, o 3 semanas (Depende un poco de la agenda de los personajes que lo conforman) , os dejo de nuevo con un nuevo capítulo de los E-Legales (Habéis visto lo original que soy poniendo nombres, verdad (Véase para ello el nombre de este blog))

En este caso, nos centramos en el mundo del Cloud computing, su importancia como vía adicional a nivel de gestión de despachos, como valor añadido a facilitar a los clientes, y sobre todo, los requisitos legales a los que debemos atenernos al momento de contratar o usar sus servicios en función de sus caracterísitcas.

Para ello contamos con la colaboración de Guillermo Pérez Alonso, de Social Lex, especialista en gestión de despachos y sociólogo como invitado de excepción, así como con las habituales del programa, Iurisfriki y Sara Molina Pérez-Torné.

Como siempre, dedo para arriba si os ha gustado, y sin más os dejo el enlace a Ivoox, donde si quereís también os podéis suscribir, o descargarlo si sois de Apple aquí, aunque también os podéis bajar la App ;).

De Cloud, Pizza, Kamasutra y Datos personales

De Cloud, Pizza, Kamasutra y Datos personales

Al igual que muchas veces uso la frase de @elpady para hablar acerca del Big Data, esa que dice que “el Big Data es como el sexo entre adolescentes, todos hablan de ello, todos quieren hacerlo, pero muy pocos lo hacen y casi ninguno bien”, el Cloud puede ser objeto de una frase similar, aunque un poco más adulta, así el Cloud es como el Kamasutra, todo el mundo puede tener acceso a él, pero casi ninguno le sacará todo el partido ni entenderá correctamente.

Esto se debe a que el Cloud no es un sólo concepto a nivel práctico, sino que existen distintos tipos de Cloud, variaciones de un mismo producto que a su vez, tienen repercusiones legales.

Para entenderlo mejor, tal vez la opción más recomendable sea partir del concepto Cloud como una Pizza que se explica con este gráfico:

19656ee

Como se puede observar por este gráfico, existen fundamentalmente 4 tipos de cloud, que se identifican con los cuatro tipos de formas a través de la que puedes disfrutar de una Pizza, de este modo podemos habar de:

 1. On-premises, es decir, cloud en local, donde su titular es que lo hace todo, genera el cloud y lo carga de contenido. En el mundo de la Pizza, se trata de hacerla en casa, donde se es responsable de comprar todos los ingredientes, como hacer la masa y poner hasta la mesa.

2. IaaS se refiere a los servicios en línea que el usuario abstracta del detalle de la infraestructura, que es lo que se contrata, como los recursos físicos de computación, la ubicación, la partición de datos, ajustes de seguridad, copias de seguridad, etc. Un hipervisor , como Xen , Oracle VirtualBox , KVM , VMware ESX / ESXi o Hyper V ejecuta las máquinas virtuales como invitados. es el caso de comprar la pizza congelada, pero el resto debes hacerlo tu, es decir, contratar el software de Cloud, pero las medidas de seguridad, productos instalados etcétera, corren a cuenta de quien contrata.

3. PaaS o  Plataform as a Service ofrecen un entorno de desarrollo para los desarrolladores de aplicaciones. El proveedor normalmente se desarrolla conjunto de herramientas y estándares para el desarrollo y los canales de distribución y pago. En los modelos PaaS, los proveedores de nube ofrecen una plataforma de computación , por lo general incluyendo el sistema operativo, el entorno de ejecución del lenguaje de programación, bases de datos y servidor web, es decir, en el mundo de la pizza, es que te traigan la pizza a casa, pero tu te encargas de servirla, poner las bebidas y fregar los platos, se contrata en Cloud las herramientas, pero el propietario se encarga de ponerla, como quiera, a disposición del público, como ocurre en Azzure de Microsoft o Google App.

4.SaaS o software como servicio, es el caso en el que contratas todo el servicio cloud, desde la base hasta las funcionalidades asociadas (Casos como Drive o Dropbox), es en el mundo de la Pizza, ir a comer a un restaurante donde todo te lo ponen por delante.

Una vez vistos los tipos de Cloud, debemos apreciar cuales son las diferencias a nivel legal que podemos apreciar entre ellos, no sin antes establecer una serie de reglas comunes, sin perjuicio de que en algunas de ellas hagamos más énfasis a continuación:

a) El servicio de Cloud, tras la caída del Puerto Seguro (Adoro este concepto, suena tanto a Games of Thrones) , debe estar necesaria e imperativamente en territorio de la unión europea, en caso contrario, será necesaria la autorización de dicha transferencia a través del Director de la AEPD con firma de clausulas tipo, algo que por tedioso y lento, no os aconsejo, y que no tiene porque ser aceptado por el mencionado Director.

b) Alta de los ficheros en la Agencia de Protección de Datos (Salvo excepción de uso doméstico)

c) Registro de ficheros y desglose en Documento de Seguridad.

d) Contrato de Prestación de servicios de Cloud.

  1. On-premises, este tipo de cloud es el más simple, ya que no necesitas contrato de encargado de tratamiento ni prestación de servicios, pero a la vez el más complicado, ya que deberá de instalar su titular las medidas de seguridad de carácter técnico necesarias en función del tipo de dato que almacene, así como, dar de alta los ficheros en dicho sentido, siempre y cuando el uso del mismo sea exclusivamente personal, es decir, la plataforma no la ponga a disposición de terceros, que en estos casos, suele ser la opción más común.
  2. IaaS , para este tipo de cloud, ya empezamos a necesitar más requisitos legales que en el anterior, toda vez que los datos personales que almacenemos allí van a ser objeto de un contrato de encargado del tratamiento por parte del prestador, característica que se repetirá en las dos estructuras de Cloud que se definen a continuación, sin perjuicio de que dichos datos, no dejarán de ser del contratante, por lo que deberán ser objeto a su vez de alta en la Agencia Española de protección de datos, así como tener su fiel reflejo en el Documento de Seguridad, y digo fiel reflejo, porque hay que especificar en el mismo como van a ir montado en dicho Cloud, ya que la estructura corre a cargo del contratante del Cloud.
  3. PaaS, en esta modalidad, y dado que ya se van a empezar a facilitar herramientas nuevas para la configuración del servicio, más allá de lo ya mencionado, es necesario revisar que dichas herramientas sea facilitadas por el mismo prestador, y en caso contrario, firmar los pertinentes contratos de encargado del tratamiento con los desarrolladores de dichas herramientas (Como por ejemplo un balanceador de carga), así como un contrato con dicho prestador donde se fije que y con que características se va a dar el servicio, igual de necesario que en los casos anteriores, pero que en este caso, es de mayor relevancia dada la complejidad que puede llevar el servicio en si mismo.
  4. Saas, el último, la pizza en el Restaurante, normalmente suele ser menos complejo ya que el pack viene cerrado y el contrato suele perfilar todos los extremos, no obstante, es conveniente revisar el mismo y ver que se cumplen con los requisitos legales al respecto, en este caso, coincidentes con los requisitos comunes antes descritos.

Espero que con esto, quede un poco más claro en que se diferencian a nivel práctico y legal los tipos de cloud en función de su infraestructura y servicios, para que cuando nos enfrentemos al Kamasutra, aunque sigamos sin ser expertos (Yo el primero), al menos no nos suene a chino, o mejor dicho, a hindú.

De Startup in Law o el Chapter2 de los #ELegales

startups

Como ya algún que otro lector sabrá desde hace poco menos de un mes hemos comenzado un podcast desde este pequeño blog acompañado de dos excepcionales compañeras como son Irusifriky y Sara Molina Pérez-Torné de Marketingnize.

Con estas, ya hemos llegado al segundo capítulo, en este caso centrado en el mundo de las startups, especialmente en el marco de la legalidad del modelo de negocio, donde se han tocado aspectos que ha ido desde la importancia de los elementos relativos a la privacidad, el objeto propiamente del modelo e negocio o incluso los destinatarios del negocio.

Antes de eso, encontrareis un resumen de las noticias más importantes que se han dado a lo largo de las últimas semanas, en especial, lo acontecido en Barcelona en el Mobile World Congress y el Four Years from Now.

Si os ha picado la curiosidad, aquí os dejo el enlace al Ivoox, donde os recuerdo, si os gusta, os podéis suscribir, que de momento, es gratis.

http://www.ivoox.com/chapter2-startups-in-law-audios-mp3_rf_10619363_1.html

 

O si lo preferís, desde aquí podéis descargarlo: Descarga