Absolución por “ataque” de inyección SQL
El pasado 20 de enero, cuando España estaba al borde del inicio de la pandemia de la COVID-19, el Juzgado de lo Penal nº 24 de Madrid dictó sentencia absolutoria por un “ataque” de inyección SQL, sobre la página de la Universidad Pontificia de Comillas (ICAI), llevado a cabo por uno de sus antiguos alumnos. La acusación consideraba que los hechos eran constitutivos de los delitos de descubrimiento de secretos previsto en el artículo 197.2 del Código Penal y de acceso no autorizado de datos o programas informáticos, previsto y penado en el artículo 197.3 del Código Penal, por los que solicitaba una pena de 2 años de prisión y multa de 3.240 Euros. (más…)
LeerMordazas en lugar de mascarillas
Desde la gerencia de diversos centros hospitalarios se está “advirtiendo” sobre la difusión de información relacionada con el COVID-19, echando mano de forma claramente improcedente de la normativa sobre protección de datos de carácter personal.
Dichas advertencias varían en su redacción, pero tienen en común el hecho de utilizar la normativa sobre protección de datos como excusa para tratar de impedir la difusión de información relativa, no a los pacientes o profesionales concretos y sus datos personales, sino a las condiciones en que se están prestando los servicios sanitarios.
LeerEl testamento digital
Entrevista en ONDA CERO, para el programa Valencia en la Onda, hablando sobre el testamento digital.
LeerGoogle Spain condenada por intromisión ilegítima al usar de forma ilícita la imagen de una persona
En los procedimientos seguidos contra Google por el tratamiento y uso que hace de los datos de los usuarios, la multinacional norteamericana siempre ha mantenido que quien debe soportar la carga del procedimiento es Google Inc., con sede en Estados Unidos, defendiendo, en ocasiones hasta de forma numantina, que las diferentes sucursales que tiene a lo largo y ancho del mundo, como Google Spain, no tienen que responder ante las autoridades nacionales de los territorios correspondientes.
En este caso se discutía la responsabilidad de Google Spain por el tratamiento y publicación inconsentida de la imagen de una persona, cuya fotografía fue usada para crear un perfil falso en blogspot.com. Por ello, en el año 2009 se inició un proceso de tutela de derechos ante la Agencia de Protección de Datos contra Google Spain, S.L. que concluyó con una resolución instando a dicha entidad a que adoptara las medidas necesarias para que los datos del reclamante dejaran de publicarse. (más…)
LeerIntervención en Business 2.0 de Radio Internacional, sobre seguridad en la Red
El pasado 23 de diciembre compartí mesa en el programa Business 2.0 de Radio Internacional con Roberto Cerrada (@rcerrada), Antonio Domingo (@AntonioDomingo) y Pablo González (@pablogonzalezpe) para hablar sobre seguridad en Internet.
December 23 in Business 2.0, program of Radio Internacional, with Roberto Cerrada (@rcerrada), Antonio Domingo (@AntonioDomingo) and Pablo González (@pablogonzalezpe) to talk about Internet security.
Leer
Las consecuencias de la sentencia Schrems sobre el modelo “safe harbor” de protección de datos
La reciente Sentencia del TSJUE dictada en el caso Schrems y la nota de prensa que la precedió han dado lugar a un vivo debate. Aquí intentaremos desgranar el caso y apuntar las eventuales consecuencias prácticas que pudiera generar, especialmente a las empresas españolas.
En primer lugar, analicemos el conflicto. El Sr. Maximillian Schrems, ciudadano austriaco, basándose en las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), sostenía que debía comprobarse, por parte del equivalente a la Agencia Española de Protección de Datos, si las empresas incluidas en el sistema denominado “safe harbor” (puerto seguro) de EE.UU. de manera efectiva satisfacían los requisitos que impone la normativa europea de protección de datos. (más…)
LeerLa Agencia española de Protección de datos publica su Memoria del año 2013
La Agencia española de protección de datos ha publicado su Memoria del año 2013, donde recoge las actuaciones más relevantes realizadas por la institución, dedicando un espacio destacado a los retos actuales y futuros.
En la nota informativa que acompaña a la memoria se destaca que los ciudadanos y organizaciones son cada vez más conscientes de las garantías que pueden exigir o deben cumplir, como prueba el hecho de que las solicitudes de cancelación de datos crece respecto a 2012.
La utilización legal de las “cookies”
Sobre los “dispositivos de almacenamiento y recuperación de datos en equipos terminales”, que así es como la redacción actual de la LSSICE define a las cookies, se ha hablado mucho y desde hace tiempo, y desde luego no siempre de forma pacífica. Otra definición se puede encontrar en la página de la Agencia Española de Protección de Datos a las que se refiere como “ficheros que se almacenan en el ordenador del usuario que navega a través de Internet y que, en particular, contiene un número que permite identificar unívocamente el ordenador del usuario, aunque éste cambie de localización o de dirección IP.”
En el caso de España, es el artículo 22 de la LSSICE el que se ocupa del asunto y su regulación ha cambiado desde su previsión original, en la que sólo se requería informar al afectado, hasta la actual en la que , dando cumplimiento a la Directiva 2009/136/CE, se exige el consentimiento previo del internauta, con el siguiente tenor:
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
“Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”
Esta regulación no está exenta de polémica. La normativa europea ha sido calificada como “la enésima demostración de incompetencia política regulando la red”. En 2011, el ICO (Information Commissioners Office) del Reino Unido, mostraba su preocupación por la implantación de la normativa europea sobre las cookies augurando un descenso en el número de visitas. Y en fechas muy recientes se ha hecho público que el aviso legal de su página web ha cambiado de requerir el consentimiento del internauta a meramente informarle del uso de las cookies, aquí pueden consultar las explicaciones a esta modificación.
Lo cierto es que la implantación práctica de esta normativa no es una cuestión que resulte clara, pues caben diversas posibilidades técnicas y no se sabe muy bien donde van a poner el límite las autoridades encargadas de velar por el cumplimiento de esta normativa y lo acontecido con el ICO es una muestra de ello.
En síntesis, a lo que obliga la Ley es, en primer lugar, a informar, con carácter previo a la instalación de la cookie, especialmente, sobre la finalidad de su utilización. En segundo lugar, es preciso que el usuario preste el consentimiento para esa instalación. Se discute si este consentimiento puede ser tácito, circunstancia que se daría, por poner un caso, si se indica en las condiciones generales que el acceso a la web implica la prestación del consentimiento para la instalación de la cookie, o expreso, como parece pretender la normativa, al decir que para prestar el consentimiento se requiere “una acción expresa a tal efecto”, en cuyo caso el sistema comentado anteriormente sería insuficiente.
Finalmente, en cuanto a la exclusión de la obligación de recabar el consentimiento, cuando la única finalidad de la cookie sea efectuar la transmisión de una comunicación o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario, tampoco puede decirse que el panorama esté claro, cuando ha dado lugar a un extenso dictamen del denominado Grupo de Trabajo del Artículo 29 fechado en junio de 2012. Entre las cookies que se puede considerar exentas de esta obligación se mencionan como ejemplo, las cookies de “entrada del usuario” (que se emplean para realizar un seguimiento de los datos introducidos por el usuario cuando rellena formularios en línea o utiliza un carrito de la compra), también conocidas como cookies de identificación de sesión, las cookies de las sesiones de los reproductores multimedia y las cookies de personalización de la interfaz del usuario (por ejemplo, las cookies de preferencia de idioma que permiten recordar el idioma seleccionado por un usuario).
Cabe indicar también que el uso de las cookies se tiende siempre a asociar con el mundo de los ordenadores personales y la utilización de navegadores, pero la definición que se usa es susceptible de utilizarse para otras plataformas, como tabletas o teléfonos inteligentes. En estos entornos serían de aplicación también estas previsiones legales.
Para acabar recomiendo este artículo que analiza el tema intentando huir, en la medida de lo posible, de términos legales, donde se comenta la existencia de herramientas que permitan cumplir las exigencias legales y que pueden suponer una ayuda.
Comentario a la Ley Orgánica de Protección de Datos
1.- Consideración general sobre la normativa relativa a la protección de datos
La publicación de la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal (LOPD), como ha sido reconocido unánimemente por la doctrina, supone, a pesar de que una lectura apresurada pudiera sugerir lo contrario, una sustancial modificación del régimen sobre protección de datos de personas físicas que anteriormente se contenía en la ya extinta LORTAD.
La nueva LOPD es susceptible de críticas negativas y positivas. Dentro de estas últimas, es de destacar el esfuerzo que supone por introducir firmemente en la cultura jurídica actual unos valores sobre la defensa de la intimidad y privacidad de los ciudadanos y consumidores, principales roles impuestos por el mercado y los poderes públicos del presente. (más…)
Leer