Nueva LOPD 2018

Ya tenemos la nueva LOPD o Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Y no está exenta de polémica, sobre todo por la modificación que establece la Disposición Final Tercera del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

Para entender este cambio, veamos que nos dicen los Simpson en el siguiente video de Derecho Ficción:

Habrá movida. Cuestión de tiempo.

 

 

Comunicaciones comerciales a raíz del RGPD

proteccion de datosHa pasado más de un mes desde aquel aluvión de emails a resultas del RGPD, y aun hoy siguen preguntándonos sobre la misma cuestión: las comunicaciones comerciales y su implicación con el RGPD.

 

Debemos partir de la definición de comunicación comercial, que es toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

 

¿Qué no es comunicación comercial? Pues todos aquellos datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica.

 

El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) define el consentimiento en su artículo 4.11 como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Es decir, no cabe el consentimiento tácito.

 

Y el considerando 32 del RGPD establece lo siguiente: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.”

 

En consecuencia, los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

 

Por otro lado, al tratarse de comunicaciones electrónicas debe tomarse en consideración la aplicación de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico (LSSICE), por ser norma especial, y por tanto, no podrá acudirse en este punto a las previsiones del RGPD. La LSSICE en su artículo 21 establece: “1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

  1. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

 

Por tanto, en estos supuestos, la regla general es el consentimiento expreso del interesado, a menos que dichas acciones se refieran a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

 

Por otro lado, si los correos electrónicos que se envíen no tienen el carácter de comerciales, el tratamiento de los datos de las personas físicas (y no jurídicas), se encontrará sujeto a lo previsto en el RGPD.

 

El responsable del tratamiento debe encontrarse legitimado para llevar a cabo dichos tratamientos, encontrando dichas causas legitimadoras en el artículo 6 del RGPD, y entre ellas cabe destacar el interés legítimo, que viene de antiguo.

 

La determinación de si existe un interés legítimo requiere ponderar por el responsable, si dicho interés prevalece sobre los derechos y libertades fundamentales del interesado; en el caso de que el mismo prevaleciese, podría llevar a cabo tales tratamientos, pero en todo caso el interesado podrá oponerse a dichos tratamientos conforme a lo dispuesto en el artículo 21 del RGPD.

 

Cómo cumplir el RGPD en tu web

Ya queda muy poco para el 25 de mayo, fecha en la que será de aplicación el Reglamento General de Protección de Datos, como ya todo el mundo sabe.

 

Los nuevos cambios afectan a la implementación de la normativa en la actividad profesional o empresarial, y también, como no, en la web corporativa.

 

Aun veo formularios de contacto que recopilan datos y que, o simplemente tienen el botón de enviar, si remisión a ninguna información sobre la política de privacidad, o la tienen pero no así ninguna casilla para expresar el consentimiento, o teniendo la casilla la misma está premarcada. Muy mal.

 

La prestación del consentimiento es un punto clave del nuevo reglamento, que debe ser expreso, específico y demostrable.

 

En este punto, y ligado con el principio de calidad, es importante que aquellos que obtuvieron el consentimiento de sus usurarios de manera no expresa, hagan un esfuerzo para cambiar dicha situación. Y que lo puedan demostrar, en caso de inspección.

 

Es mejor perder usuarios y tener una base de calidad, que pasar las noches sin dormir porque nos han llovido mil denuncias que hacen peligrar la continuidad de nuestra entidad.

 

El usuario es dueño y señor de sus datos, como lo era antes, pero ahora más. Y como dueño y señor tiene derechos, y ahora más. Por lo que se debe facilitar al interesado la información de estos derechos, sus derechos, y su efectivo ejercicio, y ayudarle en todo lo posible, incluso en el asesoramiento a interponer una denuncia ante la autoridad de control. En el caso de realizar campañas de marketing, es necesario ofrecer un sistema sencillo de oposición al tratamiento de sus datos para dicha finalidad.

 

La información que se ofrezca a los usuarios debe ser clara y concisa, en un lenguaje que sea entendible por todos. Se acabó ya de tanta palabrería que no entendía ni quien lo había hecho.

 

La AEPD recomienda la información por capas, donde en una primera capa, de un vistazo, puedas tener toda la información básica, y en una segunda capa desarrollar dicha información.

 

La información básica debe contener los siguientes puntos:

  • Identidad del responsable del tratamiento, de su representante y de su DPD (Delegado de Protección de Datos), si los tuviere.
  • Destinatarios de los datos personales.
  • Finalidad.
  • Plazo de conservación.
  • Derechos de los interesados.

 

Por tanto, ya no hay excusa para no leer la información legal, al menos la primera capa que no lleva más de medio minuto en leerlo.

 

La información legal debe estar adaptada al responsable que realiza el tratamiento, por lo que se acabó el copy-paste, que muchos casos hemos visto en los que no se molestaban ni en cambiar los datos de quien los había copiado.

 

¿Recordáis qué nos decía el profesor en el colegio cuando hacíamos un examen? Quien copie, suspende.

¿Es necesario depositar ante notario las bases de un concurso realizado a través de Internet?

Concurso online

Concurso online

Alea iacta est, La suerte está echada

La suerte está echada, frase célebre de Julio César cuando cruzó el Rubicón camino de Roma, rebelándose contra el Senado.

Hoy venimos a hablar de la suerte, la de los concursos.

Quien no ha oído aquello de “bases depositadas ante notario”, en infinidad de concursos y promociones realizadas en diversos campos.

 

Esto no es más que elevar a público las bases legales del concurso, dándole mayor garantía o transparencia al consumidor o usuario, que en todo momento podrá comprobar la veracidad de las mismas.

 

Pero, ¿es obligatorio tener siempre depositadas las bases legales de un concurso ante notario?

 

La respuesta es no, si bien, como decimos, da mayor seguridad y transparencia al concurso, pues no conocemos ningún piratilla que se gaste dinero en notarios.

 

¿Dónde se pueden consultar las bases legales que han sido depositadas ante notario?

 

En el Archivo Notarial de Bases de Concursos (archivo Ábaco), creado en el 2003, de acceso público y gratuito, donde se pone a disposición de todos el contenido íntegro de las bases legales del concurso. Dispone de un buscador (Buscador Ábaco) donde se puede meter los registros o bien de la empresa organizadora, o bien del nombre del concurso.

 

Cosa distinta son los aspectos legales que debe cumplirse en toda promoción a través de Internet o las Redes Sociales, conforme a la Ley de Regulación del Juego.

 

¿Cuándo se aplica?

 

  1. Se realice un concurso, aunque sea esporádico, en el que el dinero está por medio, como las apuestas.
  2. Cuando hay que pagar por participar, aunque sea un SMS de pago.

 

¿Cuándo NO se aplica?

 

  1. Cuando no haya nada de valor en juego, ni haya que pagar por participar, o, si se paga, sea solo para gastos y no para ganancia del promotor.
  2. Cuando sea una promoción publicitaria donde lo que se consigue como premio es el producto o servicio en cuestión.
  3. Cuando tenga ámbito local.

 

Pero con independencia de si se aplica o no, lo cierto es que todo promotor debe pasar por caja y abonar las correspondientes tasas, cuyo importe dependerá del tipo de concurso, y solicitar la correspondiente autorización a la Dirección General de Ordenación del Juego u organismo similar autonómico.

 

Pero no siempre es necesario solicitar autorización. ¿Cuándo no? Cuando se el premio dependa de los méritos del concursante y sin que haya que pagar por concursar.

 

No hay que olvidar las condiciones que imponen las diversas Redes Sociales cuando realizas una campaña a través de ellas, por lo que es importante estar informado al respecto si no queremos ver nuestra campaña al traste a mitad de la misma, con toda la inversión que conlleva.

 

También hay que tener en cuenta la política sobre protección de los datos de carácter personal, pues lógicamente se realizará un tratamiento con ellos con el fin de poder dar el premio y, como no, enviarle futuras comunicaciones promocionales.

 

Y no nos olvidemos de las sanciones, porque el incumplimiento, por leve que sea, conlleva multa de hasta 100.000 euros. Si es muy grave, mejor ni lo decimos.

La problemática de la videovigilancia

Videovigilancia

Videovigilancia

Hoy venimos a hablar de algo que interesa y mucho en la sociedad actual: la videovigilancia y su problemática.

 

Todo el mundo sabe valorar su propia imagen, menos aquellos que les gusta más una cámara que a un niño una golosina, y por salir en la caja tonta hacen cualquier cosa. Pero aun éstos, saben que su imagen es importante, para tal o cual fin, pero importante al fin y al cabo.

 

De hecho es un derecho fundamental protegido, y si no que se lo digan a la Agencia Española de Protección de Datos personales. Sin embargo, en cualquier ciudad de España, ya sea en sitio público o privado, nos encontramos con cámaras que graban cada minuto de nuestras vidas como si de una película se tratase. Y lo cierto es que cada vez más se instalan cámaras en establecimientos, por motivos de seguridad, si bien tomar la decisión de ponerlas puede acarrear bastantes dolores de cabeza.

 

¿Y por qué? Imaginemos un supuesto práctico. Quiero ejercer mi derecho de acceso ante el responsable del fichero de videovigilancia de unos almacenes, y accedo sin problemas, pero seguro que se ha vulnerado la LOPD por cesión de datos. Me explico. Como en toda película, hay actores principales y otros secundarios, amén de los extras. Pues bien, raro es que en cualquier captación por medio de videocámaras, aunque sea la de un establecimiento pequeño, salgamos solo nosotros, el sujeto concreto que está ejerciendo su derecho de acceso, pues como en cualquier película, si no hay secundarios, seguro que hay extras. Y en ese momento, nos estarían cediendo datos personales sin el consentimiento de esas otras personas que salen en la imagen.

 

Como todo fichero de datos, el de videovigilancia tiene las obligaciones formales no solo de su notificación y puesta en conocimiento de todos los afectados, sino también la de hacer copia de respaldo y cumplir con las medidas de seguridad adecuadas. Esto es importante, pero no problemático como lo anterior explicado. Pero es que hay autores que opinan que las imágenes deben guardarse por un tiempo superior al indicado en la LOPD. Así, si las videocámaras fueran testigos mudo de un delito, se puede dar el caso que dichas imágenes tuvieran que conservarse por un plazo de hasta 20 años, que es el de prescripción de los delitos mayores. Borrar una prueba de tanto calado puede traer consecuencias, y al final, como siempre, resulta más caro el remedio que la enfermedad.

 

¿Cumples la normativa? 

Los datos de los campos marcados con * son necesarios.

Este es un formulario guiado que no le llevará más de 10 minutos rellenar. En él se cubrirá información referente a la actividad económica, imagen corporativa, estrategia comunicativa y datos web mediante los cuales obtendremos una visión general de la situación en la que su empresa se encuentra en relación a los servicios que requiera para darle la mejor atención posible.

Como ser YouTuber y no morir en el intento

Youtube

Youtube

Las redes sociales padecen las modas. Hoy se lleva ésta y mañana estará de moda otra.

 

Lo cierto es que cada vez escribimos y leemos menos. Nos gusta la inmediatez, y claro, YouTube cumple todas esas premisas. Que queremos saber cómo se hacen unos huevos fritos, pues en lugar de leer grandes e ilustrativas recetas, mejor ponemos un tutorial en YouTube que, cuanto más breve, mejor.

 

Y así nacen los Youtubers, que a base de seguidores terminan haciéndose profesionales y ganan dinero subiendo videos.

 

Pero como todo en la vida, no están exentos de asumir la ley, por mucho que siga pareciendo a la fecha en la que estamos que Internet sea un mundo sin ley. Que no señores, que hay que cumplir la ley aquí y en Pekín.

 

Así, es primordial para aquellos youtubers españoles cumplir con la normativa de los servicios de la sociedad de la información, recogido en la Ley 34/2002, ya conocida por todos como LSSI.

 

De este modo, los youtubers deben identificarse a fin de que los usuarios puedan comunicarse con ellos. Si el youtuber cuenta con una web (lo que ocurrirá en los casos de youtubers profesionales), con la remisión a dicha web donde conste los datos, es más que suficiente.

 

Si no es así, deberá mostrar los datos en algún momento del video, a modo de título de crédito, que animo a meter algo de creatividad al estilo de las mejores películas de cine, que todo suma a la hora de conseguir followers.

 

Si el youtuber es ya un profesional y tiene web propia, además de lo anterior deberá tener una política de privacidad, adecuar su actividad a la normativa sobre protección de datos personales, y una política de cookies.

 

En Internet se debe tener respeto por el contenido de terceros. Tendemos a creer que todo lo que está en Internet es de libre acceso y puedo disponer de ello como me plazca. Flaco error amigo. Hay que obtener el permiso de sus autores para poder disponer del contenido, a no ser que expresamente digan lo contrario.

 

A algunos les gusta que les copie, a otros no tanto. Y a estos últimos los juzgados les da la razón, y no sin motivos.

 

Otras de las normas que se debe cumplir es la Ley General de Publicidad, es decir, que no sea engañosa, ilícita, etc. Es precisamente en la publicidad donde los youtubers sacan tajada a su trabajo, al recomendar marcas y productos y recibir por ello una contraprestación, ya sea en efectivo o en especie.

 

Y cuidado con desprestigiar a la competencia de la marca o producto que anunciamos, ya que las personas jurídicas también tienen honor, pues bien caro le habrá costado tener una buena reputación en el mercado para que un influencer venga a calumniarla. Y eso se cuantifica, y bien caro.

 

El youtuber, al estar realizando una actividad económica, debe darse de alta como autónomo en la Seguridad Social y, lógicamente, en Hacienda, donde como mínimo va a tener la obligación de llevanza de los libros contables y la declaración trimestral de, al menos, el IVA.

 

Y si te animas a ser un youtuber de éxito, aquí tienes un video explicativo de cómo hacerlo:

 

 

El caso Blablacar

BlaBlaCar

BlaBlaCar

Los mandatos del derecho son éstos: vivir honradamente, no molestar a los demás, dar a cada cual lo suyo.

 

Así empieza los fundamentos de derecho de la sentencia conocida como el caso BLABLACAR, mediático donde los haya, para recordar a todos el principio constitucional de independencia de los jueces.

 

Desde que aparecieron las plataformas de economía colaborativa, ha habido mucho recelo por parte de los sectores de actividad más tradicionales (y también de Hacienda), que lo ven como una amenaza, sin contemplar soluciones más acordes a los tiempos actuales. Y es que, visto desde fuera, no se estima que sea tal amenaza, todo lo contrario.

 

Para aquellos que no lo sepan, la economía colaborativa comprende a todos aquellos modelos de negocios en los que las actividades se desarrollan a partir de plataformas colaborativas que proporcionan un mercado abierto para la utilización temporal de bienes o servicios, frecuentemente ofrecidos por entes privados.

 

Entre dichas plataformas se encuentra la muy popular BLABLACAR, que en mayo de 2015 se enfrentaba a una demanda por competencia desleal interpuesta por la Confederación Española de Transporte de Autobus (CONFEBUS), que pretendía su cierre en España.

 

Sin embargo, el Juzgado de lo Mercantil nº2 de Madrid, en su sentencia nº30/2017 de 2 de febrero de 2017, ha desestimado la demanda de CONFEBUS por entender que se trata de una actividad ajena a la regulada por la Ley de Ordenación de los Transportes Terrestres (LOTT), por lo que poco puede infringirla.

 

Argumenta que los usuarios de la plataforma son particulares que no están contratados por BLABLACAR, ni pertenecen a una empresa dedicada al transporte, amén de que lo que comparten son gastos, sin que exista ánimo de lucro.

 

Además, BLABLACAR impide el uso lucrativo de la plataforma. Así, el coste medio por kilómetro lo establece en 0,06 euros, cuando Hacienda entiende que el coste del uso de un vehículo privado es de 0,19 euros el kilómetro.

 

Llama la atención el informe pericial aportado por BLABLACAR donde se establece que el coste medio de viajar en un vehículo privado es de 0,332 euros el kilómetro, realista por cuanto no solo se consume combustible, sino que existe un desgaste de los componentes del vehículo. Entiendo que esto es conocido por la Hacienda Pública, quien hace oídos sordos y sigue con la media anterior indicada, que debe tener unos 20 años ya.

 

Como bien fundamenta la sentencia, la actividad de BLABLACAR es la propia de una sociedad de la información, que pone en contacto a personas, prestando un servicio de intermediación entre particulares, conforme establece el artículo 1 de la LSSICE.

 

En cuanto a la remuneración que recibe BLABLACAR por la intermediación entre usuarios, no es significativa como para incluirla dentro de las actividades reguladas por la LOTT, y son exclusivamente gastos de gestión por el control y gestión de la plataforma.

 

Otra cuestión debatida en la demanda es de índole fiscal, en cuanto a si el conductor debe pagar o no IVA, si bien no se ha pronunciado sobre la misma. Pero seguro que pronto Hacienda querrá llevarse parte del pastel, obviando la realidad cambiante de una sociedad que quiere compartir recursos, cada uno con sus motivos, económicos, sostenibilidad, ambientales, etc. Si no hay lucro y no se ejerce una actividad profesional, no debe generar IVA, pero como al final aquí se justifica todo…

 

 

 

El peligro de usar WhatsApp con los clientes

whatsappHace un año escribía sobre Whatsapp como prueba en juicio, dado su fácil uso para injuriar, calumniar, y un sinfín de problemáticas jurídicas, que hace cada vez más frecuente su aportación en el proceso judicial.

 

Ya comenté entonces que, al igual que el correo electrónico, no es suficiente con la aportación de las conversaciones impresas o mero pantallazo, que también, si tienes la suerte de que no te lo impugnen. Pero lo aconsejable es que garantizar la cadena de custodia, así como su integridad y no modificación, labor propia de perito informático. Y como recordatorio, debemos tener en cuenta que la impugnación afectará en costas a quien la realiza, amén de que debe ser motivada para desplazar la carga de la prueba.

 

Este medio de  mensajería instantánea está sumamente extendido, y lo que empezó como una forma de comunicarse con la familia y amigos, está hoy por hoy muy integrado en el mundo laboral y profesional, si bien en las condiciones legales de uso WhatsApp prohíbe su utilización comercial, limitándolo solo a uso personal, declinando toda responsabilidad. Claro que… ¿Quién lee las condiciones legales? Por mucho que la Agencia Española de Protección de Datos lo recomiende, nadie lo hace.

 

Son muchos los compañeros abogados que lo usan para sus relaciones con los clientes, cuando evidentemente no es el mejor de los medios para hacerlo, no ya por la molestia de la disponibilidad 24h, entre otras, sino porque entiendo infringe la normativa sobre protección de datos, por los motivos que vamos a ver.

 

En las referidas condiciones de uso, WhatsApp te deja muy claro que consientes en que trate no solo tu número de teléfono, sino toda tu agenda. Claro que diréis que hace ya años la Audiencia Nacional dijo que el número de teléfono no es dato personal (y sin embargo la IP si, sigo sin entenderlo). Pero WhatsApp dice “y los demás contactos que tienes en la libreta de direcciones. Y claro, en la libreta, al menos yo, identifico al contacto, con nombre y a veces apellidos. A su vez, WhatsApp accederá a los datos de nuestros contactos cuando estos se den de alta a su vez en la aplicación, accediendo a su información personal, por lo que ya lo tenemos identificado.

 

Si a todo esto le sumas que esos datos viajan a Estados Unidos, donde tiene su sede WhatsApp, el desaguisado es tremendo, amén de que ninguno de nosotros tenemos firmado un contrato de encargado del tratamiento con la aplicación, pues van a pasar de nosotros, ni en su defecto solicitamos autorización al Director de la AEPD para la transferencia internacional de datos, que veo difícil nos dé. Y como todos sabemos, Estados Unidos eso de cumplir con la protección de datos, pues como que es algo muy de los europeos y sus trabas para el comercio.

 

Y aunque WhatsApp ha introducido como mejora de seguridad el cifrado de extremo a extremo, lo cierto es que la seguridad 100% es imposible. Además, los smartphones tienen por costumbre guardar los archivos que llegan por las distintas aplicaciones, muchos de ellos, sobre todo las imágenes, que si tenemos cuenda en Google u otro proveedor, se sincronizará con las aplicaciones de dicha compañía subiendo los archivos a la nube, infringiendo con ello nuevamente la normativa sobre protección de datos por cuanto las medidas de seguridad y el propio cumplimiento por parte del prestador de servicios de cloud son más que dudosos.

 

Lo aplicable para abogados lo es para cualquier profesional, sea de la rama que sea.

 

Deber de información al paciente menor de edad y su consentimiento a efectos de la normativa sobre protección de datos

PrivacidadLa gran mayoría del personal sanitario se pregunta cómo debe informar a sus pacientes sobre la recogida de datos personales, en qué casos no es factible hacerlo, y cómo cumplir con la normativa sobre protección de datos.

 

Este es un tema que se puede regular por dos tipos de normas: de un lado, por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento y, de otro, por la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. No obstante, dada la especialidad, habrá que estar, preferentemente a lo dispuesto en esta segunda ley, que dispone, concretamente, lo siguiente:

 

1º.- Casos en que el consentimiento se ha de prestar por los representantes legales:

 

  1. Cuando el paciente no sea capaz de tomar decisiones, a criterio del médico responsable de la asistencia, o su estado físico o psíquico no le permita hacerse cargo de su situación. Si el paciente carece de representante legal, el consentimiento lo prestarán las personas vinculadas a él por razones familiares o de hecho.
  2. Cuando el paciente tenga la capacidad modificada judicialmente y así conste en la sentencia.
  3. Cuando el paciente menor de edad no sea capaz intelectual ni emocionalmente de comprender el alcance de la intervención. En este caso, el consentimiento lo dará el representante legal del menor, después de haber escuchado su opinión, conforme a lo dispuesto en el artículo 9 de la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.

 

2º.- Casos en que el menor podrá prestar por si su consentimiento:

 

  1. Cuando se trate de menores emancipados o mayores de 16 años que no se encuentren en los supuestos b) y c) del apartado anterior, no cabe prestar el consentimiento por representación.
  2. No obstante lo dispuesto en el párrafo anterior, cuando se trate de una actuación de grave riesgo para la vida o salud del menor, según el criterio del facultativo, el consentimiento lo prestará el representante legal del menor, una vez oída y tenida en cuenta la opinión del mismo.

 

Por tanto, como professional sanitario, deberás decidir, en primer lugar, acerca de la aplicación de alguno de los casos previstos en los epígrafes anteriores y, una vez ello, deberás informar de los siguientes extremos:

 

  1. De que dichos datos (de nivel alto) se incorporarán en el fichero que debes tener inscrito en el Registro de la AEPD.
  2. La finalidad para la que se van a recoger que, en este caso, no será otra que la de prestar un servicio sanitario.
  3. Si dichos datos se van a ceder o no y en qué condiciones.
  4. La forma en que las personas que prestan el consentimiento podrán ejercer sus derechos ARCO, esto es, de acceso, rectificación, cancelación y oposición previstos en la LOPD.

Safe Harbor ha muerto, viva Privacy Shield

Como en los mejores guiones cinematográficos Hollywood o en los partidos más emocionantes de fútbol, así ha sucedido con el tan traído tema de las transferencias internacionales de datos: en el último minuto y de penalti, las autoridades de la UE y EEUU han alcanzado un acuerdo, bautizado ya como Privacy Shield, que sustituirá al ya defenestrado Safe Habor.

ADIOS SAFE HARBOR

Como ya vimos en anteriores posts, el Tribunal de Justicia de la Unión Europea anuló el llamado Tratado de Puerto Seguro dejando un vacío normativo importante que hacía muy difícil para las empresas europeas el poder seguir trabajando con sus proveedores de servicios del otro lado del charco.

El motivo no era otro que la falta de garantías que ofrecía ese tratado para la adecuada aplicación del derecho de protección de datos de los ciudadanos europeos.

SITUACIÓN DE INCERTIDUMBRE

Ante dicha situación de incertidumbre, las empresas europeas adoptaron varias posiciones: desde aquellas que directamente cambiaron de proveedor de servicios para evitar cualquier problema, a aquéllas otras que intentaron obtener, sin mucho éxito eso sí (clientes de Mailchimp), la autorización de la Agencia Española de Protección de Datos, pasando por aquellas que ni se inmutaron en la confianza de que la situación se arreglaría a tiempo.

Y va a ser que han sido éstas las que han acertado de pleno al parecer con el nuevo acuerdo alcanzado entre la EU y los EEUU.

BIENVENIDO PRIVACY SHIELD

A día de hoy, 2 de febrero de 2016, la Comisión Europea ha emitido un informe de prensa en el que se anuncia que, tras las correspondientes negociaciones, la UE y los EEUU han alcanzado un acuerdo, ya bautizado como Privacy Shield, que vendrá a sustituir al Safe Harbour.

QUÉ HAY DE NUEVO EN EL PRIVACY SHIELD

A pesar de que aún no conocemos el contenido del acuerdo alcanzado, parece ser que dicho Privacy Shield subsana y corrige las deficiencias detectadas en el Safe Harbour:

1.- Se incrementan las obligaciones de las empresas norteamericanas.-

Los proveedores estadounidenses que traten datos personales provenientes de Europa se comprometerán a cumplir con obligaciones más sólidas en el tratamiento de los datos personales así como garantizar los derechos individuales de protección de datos de los ciudadanos.

2.- Mayor control por parte de las autoridades norteamericanas.-

Las autoridades estadounidenses controlarán que los proveedores publiquen sus compromisos, haciendo exigible la aplicación de las medidas contenidas en los mismos.

3.- Cumplimiento de las decisiones de las autoridades de control europeas.

De forma paralela a lo anterior, cualquier proveedor norteamericano que trate datos personales provenientes de Europa tiene que comprometerse a cumplir con las decisiones de las autoridades de control europeas.

4.- Obligaciones de transparencia en el acceso del gobierno de EEUU:

Por primera vez, los EEUU han ofrecido, por escrito, garantías a la UE en los que se descarta la vigilancia masiva e indiscriminada de los datos personales transferidos a los EEUU en el marco del nuevo acuerdo.

De este modo, el acceso por las autoridades públicas de EEUU a los datos de los europeos se sujetará a limitaciones, garantías y mecanismos claros y objeto de supervisión que se revisarán periódicamente.

5.- Protección efectiva de los derechos ciudadanos de la UE.-

Cualquier ciudadano europeo que considere que sus datos han sido mal utilizados bajo el nuevo acuerdo tendrá varias posibilidades de recurso, fijándose plazos de respuesta obligadas para los proveedores. Además, la resolución alternativa de conflictos será gratuita.

Igualmente, las autoridades de control europeas podrán remitir quejas al Departamento de Comercio y la Comisión Federal de Comercio.

Finalmente, para quejas sobre el posible el acceso de las autoridades de inteligencia de EEUU, se creará un nuevo Defensor.

PROXIMOS PASOS

Una vez alcanzado el acuerdo político, por el lado de la UE, se elaborará un proyecto de que se presentará en las próximas semanas, que deberá ser aprobado por la Comisión después de obtener el asesoramiento del Grupo del artículo 29 y previa consulta a un comité compuesto por representantes de los Estados miembros.

Mientras tanto, la parte estadounidense hará los preparativos necesarios para poner en marcha el nuevo marco, los mecanismos de supervisión y la figura del nuevo Defensor.