El documento trata sobre la protección de datos personales y el derecho de las tecnologías de la información. Explica los principios básicos de la protección de datos como el consentimiento, la calidad y finalidad de los datos, y los derechos de los ciudadanos sobre sus datos personales. También cubre temas como el tratamiento de datos en redes sociales, geolocalización, videovigilancia, big data y correo electrónico marketing.
Oportunidades del marketing digital UVA - Ponencia de Javier Alvarez Hernando
1. 1
PROTECCION DE
DATOS Y DERECHO DE
LAS TECNOLOGIAS DE
LA INFORMACION Y
LAS COMUNICACIONES
NECESIDAD DE
ABOGADOS TIC
2. ¿Qué es el Derecho desde
un punto de vista objetivo?
El conjunto de reglas que rigen la
convivencia de los hombres en
sociedad….
2
El Código de Hammurabi, creado en el año
1785 a. C. en Babilonia. En él aparece la ley del
Talión. Museo del Louvre, París.
TAMBIEN EN
INTERNET
4. PROTECCION DE DATOS
Imprescindible su conocimiento en la empresa
Derecho del ciudadano / Obligación de las
empresas y AAPP: Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos y más.
Es el amparo debido a los ciudadanos contra la
posible utilización por terceros, en forma no
autorizada, de sus datos personales susceptibles
de tratamiento automatizado, (o no
automatizado) para, de esta forma, confeccionar
una información que, identificable con él, afecte
a su entorno personal, social o profesional, en los
límites de su intimidad.
Sanciones: de 900 a 600.000 € (también el
apercibimiento). 4
5. Agencia Española de Protección deAgencia Española de Protección de
Datos.Datos. www.agpd.eswww.agpd.es
5
6. Aspectos básicos en Protección deAspectos básicos en Protección de
DatosDatos
Derecho fundamental exclusivo de
personas físicas. (excluido del ámbito
de aplicación: fallecidos y personas de
contacto de personas jurídicas).
Busca proteger los datos personales que
les conciernen frente a intromisiones o
violaciones ilegítimas de su intimidad o
privacidad.
Obliga a todo responsable del
tratamiento a observar una serie de
obligaciones formales y materiales.
6
7. Un dato de carácter personal es
cualquier información
concerniente a personas físicas
identificadas o identificables,
es decir, todos aquellos datos que
se vinculen o se puedan relacionar
con una determinada persona
física.
7
No todos los datos concernientes a una persona son
objeto del mismo nivel de protección, siendo
considerados como especialmente protegidos los
que se refieran a la ideología, afiliación sindical,
religión o creencias, origen racial o étnico, salud y
vida sexual.
8. La LOPD no es de aplicación a los
ficheros que se mantengan por
personas físicas en el ejercicio de
actividades exclusivamente personales o
domésticas. Tampoco es de
aplicación a aquéllos ficheros que
almacenan datos disociados. Tampoco
los sometidos a la normativa de materias
clasificadas o los que son objeto de
investigaciones del terrorismo.
El tratamiento de datos son
operaciones y procedimientos técnicos
que permiten la recogida, grabación,
conservación, elaboración, modificación,
bloqueo y cancelación, cesiones o
comunicaciones de datos, consultas,
interconexiones, y transferencias de datos
de carácter personal. 8
9. CONCEPTO DE FICHERO:
todo conjunto organizado
de datos de carácter
personal, cualquiera que sea
la forma o modalidad de su
creación, almacenamiento,
organización y acceso:
◦ ficheros automatizados y
◦ ficheros manuales o en
soporte papel,
◦ siempre que se encuentren
estructurados y organizados,
de tal modo que puedan
efectuarse búsquedas que
permitan la localización de
datos.
9
10. FUENTES DE ACCESO PUBLICOFUENTES DE ACCESO PUBLICO
(FAP)-(FAP)- GRAN HERRAMIENTA DE MKGRAN HERRAMIENTA DE MK
10
Lo son exclusivamente:
•Censo promocional.
•Repertorios telefónicos (guías de servicios
de comunicaciones electrónicas).
•Listas pertenecientes a grupos de
profesionales (determinados datos).
•Diarios y boletines oficiales.
•Medios de comunicación social.
¿Cuándo pierden su carácter de FAP?
En estos casos, el responsable del fichero no
necesita contar previamente con el
consentimiento del afectado, ni para tratar
sus datos ni para cederlos a terceros.
11. PRINCIPIOS DE PROTECCIÓN DEPRINCIPIOS DE PROTECCIÓN DE
DATOSDATOS
11
Consentimiento. Regla
General y excepciones.
Calidad de los datos: datos
adecuados, pertinentes y no
excesivos para la finalidad.
Información.
Finalidad
Seguridad de los datos.
Deber de guardar secreto.
Cesión de datos y acceso a
datos por cuenta de
terceros.
12. EJERCICIO DE DERECHOSEJERCICIO DE DERECHOS
Pero, ¿a qué tiene derecho un ciudadano?
Puede consultar el Registro General de Protección de Datos, para recabar
información acerca de los responsables de los tratamientos de datos, que han
declarado sus ficheros.
Puede ejercer su derecho de acceso para recabar determinada información
de un responsable de fichero acerca de los datos que sobre su persona están
siendo tratados.
Puede solicitar la rectificación de sus datos, ya que resultan inexactos o
incompletos.
Puede solicitar la cancelación de sus datos que están siendo objeto de
tratamiento.
Puede oponerse a que sus datos sean objeto de un determinado
tratamiento.
Puede impugnar las decisiones, con efectos jurídicos, realizadas respecto
a su persona, como consecuencia de tratamientos de evaluación de la
personalidad.
Puede solicitar la exclusión de sus datos, incluidos en ficheros, y que hayan
sido incluidos en fuentes de acceso al público.
Puede solicitar una indemnización ante la jurisdicción ordinaria si como
consecuencia de vulneraciones de la LOPD, por parte de los responsables de los
ficheros, han sufrido una lesión en sus bienes o derechos.
12
16. Autoridades europeas de protección de
datos.GT29: (Opinión 5/2009 sobre redes
sociales en línea) no consideran de
aplicación la normativa sobre protección de
datos, al considerarse actividades en el
ámbito doméstico o privado salvo:
◦ Uso de la red social como plataforma
empresarial para conseguir objetivos
comerciales…
◦ Cuando se trate de datos especialmente
protegidos.
◦ Cuando el acceso a la información del perfil de
un usuario en una RRSS se amplía más allá de
los contactos seleccionados: p.e. Cuando se
indexa por buscadores.
16
17. Aparente gratuidad RRSS---tiene como
contraprestación el comercio de perfiles con
finalidades de MK.
Publicación de gran cantidad de
datos...imágenes /videos…
Constituye un verdadero perfil indicativo de
personalidad de un
individuo….aficiones…….intereses….pre-
ferencias de compra…geolocalización..
Límites: LOPD y RLOPD..
17
20. Los contenidos de una
red social no son
Fuentes Accesibles al
Público (FAP) desde el
punto de vista de la
LOPD.
Empresas que se
dedican a recopilar info
de candidatos en
procesos de selección o
posibles fraudes en los
seguros…p.e.
www.socialintel.com …
OJO….ILEGAL EN
EUROPA
20
22. USO DE LAS REDES SOCIALES ENUSO DE LAS REDES SOCIALES EN
LAS EMPRESASLAS EMPRESAS
Mantener una página corporativa
implica tratar datos de los usuarios
que se aceptan como “amigos” o se
declaran “fans” de esa empresa. Por
ello, la LOPD es de plena aplicación,
considerándose a la entidad como
“responsable de ese tratamiento” de
esos “potenciales clientes”.
En el caso de que la función social
media se haya externalizado, esta
figura (sea persona física o jurídica)
sería considerada como “encargada
del tratamiento
22
23. USO DE LASUSO DE LAS
REDESREDES
SOCIALES ENSOCIALES EN
LASLAS
EMPRESASEMPRESAS
Esencial que la entidad mantenga
en su perfil una política de
privacidad corporativa, siendo
recomendable, incluso elaborar un
mensaje de bienvenida a
nuevos contactos que enlace al
mismo, en el que se informe acerca
del tratamiento de los datos con
finalidades comerciales o
publicitarias y la posible distribución
de datos a terceros.
23
24. Uso de las RRSS por parte de los
trabajadores: necesaria la delimitación y
supervisión de su utilización dentro de la
jornada laboral, con el convencimiento de que
constituyen un nuevo canal de comunicación
con los clientes y una nueva forma de
obtención de información valiosa para
cualquier organización. Sin embargo, su uso
para fines privados en horario laboral supone
una evidente pérdida de productividad, y en
consecuencia podrían justificar un despido
disciplinario del trabajador.
24
25. Control empresarial sobre los mediosControl empresarial sobre los medios
informáticos (también RRSS) en elinformáticos (también RRSS) en el
trabajo.trabajo.
Con ese fin, y porque así lo ha
dicho el TS la empresa está
habilitada a controlar los medios
tecnológicos (e-mails, disco
duro…) que se otorga a los
trabajadores para el desarrollo de
sus funciones. Pero para ello,
deben establecer y
comunicarse un conjunto de
reglas de uso de esos medios,
debiendo informar a los
empleados de la potencialidad
de la existencia de controles,
señalando los medios o
herramientas que se aplicarían en
la comprobación de la corrección
de los usos.
25
26. Códigos de conducta internosCódigos de conducta internos
((online social media principlesonline social media principles))
Mediante los cuales
establecen las
acciones permitidas y
las prohibidas por la
organización dentro de
las redes sociales por
parte de los
trabajadores que
actúan en nombre de
esa empresa,
determinando incluso
las consecuencias para
el empleado en caso
de la vulneración de
las mismas. 26
27. GEOLOCALIZACIONGEOLOCALIZACION
Dictamen del GT Artículo 29, denominado, “Opinion
13/2011 on Geolocation services on smart mobile
devices”: destaca que esta tecnología, puede llegar a
revelar detalles íntimos sobre la vida privada de su
propietario, permitiendo a los proveedores de
servicios de geolocalización una visión personal de
los hábitos y los patrones del propietario del
dispositivo posibilitando la creación de perfiles
exhaustivos, que pueden también incluir categorías
especiales de datos.
27
Los servicios de geolocalización
están muy extendidos en
entornos sociales online, como
Tuenti Sitios o Foursquare.
LOS USUARIOS NO SOMOS
CONSCIENTES.
28. Requisitos para el adecuado tratamiento de datos deRequisitos para el adecuado tratamiento de datos de
geolocalización por parte de los proveedores degeolocalización por parte de los proveedores de
servicios y aplicaciones en estos dispositivos:servicios y aplicaciones en estos dispositivos:
Necesidad de obtener el consentimiento previo,
específico e informado del usuario. Y se debe
poder revocarlo sin que conlleve consecuencias
negativas para el uso del dispositivo.
Necesidad de informar de los fines para los cuales
los datos de geolocalización van a ser objeto de
tratamiento.
De forma predeterminada, los servicios de localización
deben estar desactivados.
El Grupo de Trabajo recomienda limitar el alcance
del consentimiento en términos de tiempo y
recordárselo a los usuarios por lo menos una vez al
año.
Deben respetarse y cumplirse el ejercicio de los
derechos de los usuarios a acceder, rectificar o borrar
los datos de ubicación que se han recogido.
28
29. VIDEOVIGILANCIA
29
Instrucción 1/2006, de 8 de noviembre, de la AEPD, sobre el tratamiento
de datos personales con fines de vigilancia a través de sistemas de
cámaras o videocámaras.
CONTROL en las EMPRESAS.
33. BIG DATABIG DATA
«datificación» de nuestros hábitos y costumbres.«datificación» de nuestros hábitos y costumbres.
Fenómeno del crecimiento exponencial de
generación, almacenamiento y análisis de datos.
Shigeomi Koshimizu (Instituto Avanzado de Tecnología
Industrial de Japón): sistema antirrobo de coches que
identifica al usuario por su forma de sentarse al
98%. Se genera una base de datos.
IBM (2012):suelos inteligentes que analicen las
pisadas de trabajadores y los reconozcan por su
peso y su forma de moverse.
Nueva manera de control de la información
en que unos pocos disponen de una gran
cantidad de datos.
33
34. INTERROGANTES ….privacidad y derecho al olvido, seguridad y
conservación de datos, propiedad intelectual, garantías de los sistemas
de computación en la nube o usos delictivos, entre otros.
El problema del big data son los datos inferidos, los que no son
dados voluntariamente
34
Análisis de datos masivos sea usado
para castigar a las personas
basándose en predicciones… CESARE
LOMBROSSO (concepción del delito
como resultado de tendencias
innatas, de orden genético,
observables en ciertos rasgos físicos
o fisonómicos de los delincuentes
habituales (asimetrías craneales,
determinadas formas de mandíbula,
orejas, etc.). L'uomo delinquente,
1876
35. Cesión masiva de nuestraCesión masiva de nuestra
información a cambio de…información a cambio de…
35
39. EMAIL MARKETINGEMAIL MARKETING
“Comunicación comercial” es toda
forma de comunicación dirigida a la
promoción, directa o indirecta, de la
imagen o de los bienes o servicios de
una empresa, organización o persona
que realice una actividad comercial,
industrial, artesanal o profesional.
Se requiere el consentimiento
previo y expreso del afectado.
Este consentimiento, además de
previo, específico e inequívoco,
deberá ser informado.
La exigencia de consentimiento
expreso impide justificar la obtención
de direcciones de e-mail de “fuentes
accesibles al público”.
39
Riesgos: multa de 30.001
hasta 150.000 euros.
40. No obstante, no es necesaria estaNo obstante, no es necesaria esta
autorización o solicitud del destinatarioautorización o solicitud del destinatario
siempre que se densiempre que se den todastodas laslas
circunstancias siguientes:circunstancias siguientes:
Que exista una relación contractual previa;
Que se hubieran obtenido de forma lícita los datos
del destinatario;
Que se emplearan esos datos para el envío de
comunicaciones comerciales referentes a productos
o servicios de su propia empresa que sean
similares a los que inicialmente fueron objeto de
contratación con el cliente; y
Que se ofrezca al destinatario la posibilidad de
oponerse al tratamiento de sus datos con fines
promocionales mediante un procedimiento sencillo y
gratuito, tanto en el momento de recogida de los
datos como en cada una de las comunicaciones
comerciales que le dirija.
40
41. (Ley Competencia Desleal)
Se considera como una
práctica desleal la
realización de propuestas
no deseadas y reiteradas
entre otros, por correo
electrónico u otros
medios de comunicación
a distancia.
Sanciones por la AEPD
que pueden alcanzar los
150.000 euros.
41
42. USO DE COOKIESUSO DE COOKIES
Importante incidencia en el ámbito de la
privacidad
A través de las cookies, se pueden crear
detallados perfiles de usuario, y realizar
un seguimiento continuo de los
individuos a través de su navegación en
múltiples sitios web. Esta es la esencia
de lo que se conoce como publicidad
online basada en el comportamiento
(behavioural advertising).
Las llamadas “cookies de rastreo”
(tracking cookies). se utilizan para
recopilar información sobre el
comportamiento de navegación de los
individuos con el objetivo de
presentarles anuncios dirigidos y
personalizados
42
43. La LSSICE permite el uso de cookies
(lo llama, “dispositivos de
almacenamiento y recuperación de
datos en equipos terminales de los
destinatarios”) siempre y cuando los
usuarios hayan dado su
consentimiento después de que se
les haya facilitado información
clara y completa sobre su
utilización, en particular, sobre los
fines del tratamiento de los datos, con
arreglo a lo dispuesto en la LOPD.
Se exige, por tanto, una acción del
usuario, bien aceptando la instalación
de cookies en el momento de la
instalación del navegador (o aplicación
que se trate), o bien, posteriormente
cuando se produzca una actualización.
43
44. ¿Es de aplicación la normativa sobre¿Es de aplicación la normativa sobre
protección de datos española (y europea)protección de datos española (y europea)
cuando una entidad ubicada fuera de la UEcuando una entidad ubicada fuera de la UE
instala una cookie en un equipo situado eninstala una cookie en un equipo situado en
España?España?
Se considera que las condiciones
en que pueden recogerse datos
personales del usuario mediante la
colocación de cookies en su disco
duro son reguladas por el Derecho
nacional del Estado miembro
donde se sitúa este ordenador
personal, es decir, si se ubica en
España, es de aplicación a ese
tratamiento de datos, la LOPD.
44
45. PROPIEDAD INTELECTUAL DE LOSPROPIEDAD INTELECTUAL DE LOS
CONTENIDOSCONTENIDOS
Mecanismos internos dentro de las
redes sociales.
La LPI concede a los autores de las
obras derechos en exclusiva sobre
éstas, lo que supone que cualquier
tratamiento, reproducción, puesta a
disposición o transmisión de la obra en
una red social deberá ser realizada con
la autorización de los titulares de
derechos. Hay límites en la LPI como
cuando se empleen obras para su
parodia, como cita o ilustración de
enseñanza, trabajos sobre temas de
actualidad…
Licencias Creative Commons. “Algunos
Derechos Reservados”. Problemas en
los Juzgados españoles.
45
47. ¿Cómo se obtiene una licencia CC?¿Cómo se obtiene una licencia CC?
http://creativecommons.org/choos
/
En este formulario el autor
debe determinar si
desea permitir el uso
comercial de su obra; si
permite su modificación;
y la jurisdicción de la
misma (bien internacional,
o localizado
geográficamente en un
país). Del mismo modo, el
autor tiene la potestad de
prestar más información
que conformaría la licencia
CC.
47
48. Intromisiones ilegítimas en los derechos alIntromisiones ilegítimas en los derechos al
honor, a la intimidad y a la propia imagenhonor, a la intimidad y a la propia imagen en elen el
ámbito de las redes sociales, entre otros: (Leyámbito de las redes sociales, entre otros: (Ley
1/1982)1/1982)
La utilización de cualquier medio que permita
acceder a los mensajes o contenidos privados
de un usuario, así como su registro o reproducción.
La divulgación en RRSS de hechos relativos a la
vida privada de una persona o familia que afecten
a su reputación y buen nombre, así como la
revelación o publicación del contenido de cartas,
memorias u otros escritos personales de carácter
íntimo.
La publicación en una RRSS de fotografías de una
persona en lugares o momentos de su vida
privada, sin su consentimiento.
La imputación de hechos o la manifestación
de juicios de valor a través de la publicación de
comentarios en una RRSS, que lesionen la dignidad
de otra persona, menoscabando su fama o
atentando contra su propia estimación. 48
49. Suplantación de identidad en lasSuplantación de identidad en las
redes socialesredes sociales
La suplantación
de identidad se
corresponde con
lo que nuestro
Código Penal
llama
“usurpación del
estado civil”,
estando
castigado por el
artículo 401 con
la pena de
prisión de 6
meses a 3 años.
49
50. Descubrimiento y revelación deDescubrimiento y revelación de
secretossecretos
Descubrir secretos o
vulnerar la intimidad
de otro,
apoderándose, por
ejemplo de
mensajes de correo
electrónico, o de
datos de carácter
personal o familiar
registrados en un
fichero se castiga
con penas de prisión
de 1 a 4 años y
multa de 12 a 24
meses.
50
No obstante lo anterior, es muy frecuente que los
datos personales se difundan a través de las
propias redes sociales, por lo que se estaría
produciendo una cesión a terceros, castigándose
esta circunstancia con penas de prisión de 2 a 5
años.
51. Delitos contra el honorDelitos contra el honor
Calumniar es imputar a alguien un delito con
conocimiento de su falsedad o temerario desprecio
hacia la verdad . Este tipo penal que se castiga con
penas de prisión de 6 meses a 2 años o multa de 12
a 24 meses, si se publican en una red social.
Injuriar es la acción o expresión que lesionan la
dignidad de otra persona, menoscabando su fama o
atentando contra su propia estimación. Si esas
injurias graves se hicieran con publicidad, es decir,
publicándolas en una red social, se agravaría la
pena a imponer castigándose con la pena de multa
de 6 a 14 meses.
Si bien las acciones lacerantes de una persona
frente a otra a través de una red social pudieran no
ser constitutivo de delito, atendiendo a la leve
gravedad de las mismas, podrían ser castigadas
como faltas, a la pena de multa de 10 a 20 días
51
52. Extorsión y amenazasExtorsión y amenazas
Extorsión (art. 243 CP):el que, con ánimo de lucro,
obligue a otro con intimidación a realizar alguna acción en
perjuicio de su patrimonio o del de un tercero, será
castigado con la pena de prisión de 1 a 5 años. Por ejem.
si un tercero “secuestra” un perfil en una red social y
obliga al que sería legítimo titular, a abonar una cantidad
de dinero a cambio de no publicar determinados
comentarios o fotografías comprometedoras.
Por su parte, amenazar a una persona , a través de una
red social, (con un mal que constituya delitos de homicidio,
lesiones, contra la libertad, torturas y contra la integridad
moral, la libertad sexual, la intimidad, el honor, el
patrimonio y el orden socioeconómico) conlleva un castigo
de pena de prisión de 6 meses a 2 años . Si bien, puede
ser considerado como una falta de amenazas, tal y como
indicábamos en el apartado anterior, y ser castigado con
pena de multa de 10 a 20 días.
52
53. 53
CLOUD COMPUTING
DOMINIOS EN INTERNET
PROPIEDAD INDUSTRIAL
PROTECCION PÁGINAS
WEB
REDACCION POLITICAS
PRIVACIDAD Y
ADVERTENCIAS LEGALES.
CONTRATOS CV DE LEADS