Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #Reglamento General de Protección de Datos

Cookie walls: “Consentir el uso de cookies o pagar por el servicio”

Publicado el 22-04-2024

El pasado 17 de abril, el Comité Europeo de Protección de Datos (CEPD) emitió un dictamen analizando si la práctica seguida por las grandes plataformas en línea, consistente en ofrecer a los usuarios la opción entre pagar por el servicio o acceder a él de forma gratuita pero con publicidad comportamental, es conforme al Reglamento General de Protección de Datos, en especial en lo tocante a los requisitos que deben observarse a la hora de recabar el consentimiento de los interesados.

Previamente al análisis de fondo resulta necesario mencionar que el ámbito subjetivo del Dictamen se circunscribe a “grandes plataformas en línea” las cuales se definen en el apartado 2.1.3 del Dictamen. No obstante, la limitación en el alcance del Dictamen, resulta interesante para el resto de agentes que hayan abrazado esta práctica tener presente las conclusiones que se alcanzan porque, al igual que sucediera con dictámenes anteriores con similar alcance subjetivo, pueden resultar finalmente aplicables también a estos últimos, aunque no tengan la condición de “Gran plataforma en línea”, y así lo menciona el propio CEPD en su Dictamen.

Aclarado lo anterior, procede analizar el fondo del asunto que no es otro que establecer las directrices que deben respetarse para adoptar el modelo denominado: “consentimiento o pago” y cuya definición pormenorizada se ofrece en el apartado 2.1.1 del Dictamen, y que en resumen consiste en ofrecer al usuario la opción de pagar una cuantía económica a cambio de ofrecerle el servicio sin cookies de publicidad comportamental (definido en el apartado 2.1.2 del Dictamen) pero pudiendo realizar otro tipo de tratamientos de datos que impliquen el seguimiento de los hábitos de navegación del usuario para finalidad distinta de la de ofrecerle publicidad personalizada.

Así, la cuestión a dilucidar es si las opciones y la información asociada a las mismas que se facilitan al interesado son suficientes para entender que el interesado esta eligiendo libremente entre las opciones y por ende si su consentimiento es conforme al RGPD. A este respecto, el CEPD concluye que en la mayor parte de los casos en los que se está empleando esta modalidad de acceso a grandes plataformas en línea no se estarían cumpliendo los principios del RGPD ni los requisitos específicos relativos al consentimiento. En concreto, en cuanto al consentimiento el CEPD establece que debe analizarse si el consentimiento:

Se otorga de forma libre: Esto implica que:

  • La negativa a otorgar el consentimiento no puede tener consecuencias negativas para el interesado. En el caso de las grandes plataformas en línea esto puede ser difícil de acreditar en la medida en que la negativa a pagar supone en la práctica la imposibilidad de usar un servicio lo que tiene un impacto importante en la vida social y/o profesional del interesado o en su forma de comunicarse.

  • No puede existir desequilibrio entre las Partes: Este elemento suele ser especialmente relevante a la hora de analizar la validez del consentimiento otorgado en el ámbito laboral. En este caso, el CEPD ofrece una serie de elementos a analizar por las grandes plataformas en línea a los efectos de determinar si existe desequilibro, a saber, por ejemplo, la posición de la plataforma en el mercado, el posible bloqueo de acceso a redes sociales o de trabajo…

  • Que se ofrezca una alternativa equivalente: Este punto es especialmente interesante porque si bien el servicio de “pago por datos” y el de “pago económico” son equivalentes en la práctica, el CEPD matiza que ofrecer únicamente una alternativa de pago dificulta el poder acreditar que se ofrece una alternativa real al usuario complicando el considerar que el consentimiento se ha otorgado de forma libre. Así, se recomienda facilitar opciones de acceso gratuitas con tratamientos menos invasivos que la publicidad comportamental y dejar el acceso mediante pago para aquellos accesos libres de tratamientos de datos no necesarios para la prestación del servicio.

  • Coste del acceso: El CEPD señala que el importe establecido puede impedir en la práctica que los interesados sean libres de tomar una decisión por lo que establece la importancia de analizar caso por caso el importe que se establece y recuerda que los datos de carácter personal no son un objeto de comercio y que en ningún caso puede convertirse la privacidad en un derecho únicamente ejercitable por quienes ostentan un poder adquisitivo elevado.

  • Que se otorga de forma informada: El consentimiento para que sea válido debe otorgarse tras haber recibido información suficiente sobre el tratamiento sobre el que se está consintiendo. En este sentido el CEPD señala que se debe hacer un ejercicio didáctico importante a la hora de facilitar la información para garantizar que esta se adapte a la audiencia a la que va dirigida, en especial si son menores.

  • Que es específico: La forma de recabar el consentimiento debe garantizar que el interesado únicamente consiente aquellos tratamientos sobre los que quiere consentir de forma separada, para ello se deben evitar patrones oscuros y se debe ofrecer una granularidad suficiente evitando, por ejemplo, unir el consentimiento a la publicidad comportamental con otros tratamientos de datos.

  • Que resulta fácilmente revocable: Se debe evitar el uso de patrones oscuros encaminados a impedir la retirada del consentimiento una vez otorgado.

Así, si bien el CEPD manifiesta que resulta improbable el cumplimiento de las Grandes Plataformas en Línea con los requisitos recogidos en este Dictamen no concluye ni menciona incumplimiento por ninguna de ellas, limitándose, en el marco de sus funciones, a otorgar directrices claras a las Autoridades de Control para que puedan evaluar el cumplimiento de estos principios por parte de los Responsables, que se encuentren bajo su jurisdicción.

En el caso de la Agencia Española de Protección de Datos, habrá que ver los próximos movimientos en especial en materia de cookies ya que, en la recientemente actualizada Guía de Cookies editada por dicha entidad, se recogía expresamente la posibilidad de ofrecer una alternativa no necesariamente gratuita para el caso de que el usuario no quisiera consentir el uso de cookies.

 

Publicado en Blog, Fiscal, Nuevas Tecnologías, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián | Etiquetado como , , , , , , Comentarios desactivados en Cookie walls: “Consentir el uso de cookies o pagar por el servicio”

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº1

Publicado el 11-11-2021

PROPIEDAD INTELECTUAL

 

Decreto Ley Real Decreto-ley 24/2021

El Gobierno ha aprobado el Real Decreto Ley 24/2021 por el cual, entre otras normas transpone Directiva (UE) 2019/789 del Parlamento Europeo y del Consejo de 17 de abril de 2019 por la que se establecen normas sobre el ejercicio de los derechos de autor y derechos afines aplicables a determinadas transmisiones en línea de los organismos de radiodifusión y a las retransmisiones de programas de radio y televisión.

Aspectos prácticos: La norma aborda de forma específica los usos digitales de las obras de propiedad intelectual estableciendo nuevas reglas y clarificando el alcance de determinados límites a los derechos de propiedad intelectual. La idea es adaptar las nuevas formas de consumo de las obras de propiedad intelectual a la normativa intentando equilibrar el mercado permitiendo una mejor remuneración y un mayor control a los creadores. Esto puede suponer la necesidad de renegociar determinados aspectos de los contratos de cesión de derechos de propiedad intelectual.

Más información: Puede consultar el contenido completo del Real Decreto Ley 24/2021 a través del siguiente enlace e información institucional del ministerio de cultura aquí.

 

 

PROTECCIÓN DE DATOS

 

1/ El consentimiento como base legal del tratamiento

Nueva sanción de la Agencia Española de Protección de datos a Caixabank por no haber obtenido el consentimiento de los interesados de manera conforme al Reglamento General de Protección de datos para el tratamiento de perfilado.

Aspectos prácticos: Recuerda la importancia de que el consentimiento que se obtenga de los interesados sea previo, informado, expreso y autónomo poniendo especial énfasis es la importancia de que la información sea inteligible para el receptor de la misma y facilite suficiente detalle como para que éste último pueda comprender el tratamiento que está consintiendo.
Asimismo, aclara la importancia de evitar consentimientos agrupados que no permitan al interesado tomar decisiones autónomas.

Más información:
Puede consultar la resolución completa a través del siguiente enlace.

Nuestra compañera Candela Martínez elaboró un pequeño análisis de la resolución que puede consultarse en nuestro sitio web.

         __________________________________________________________________

2/ Evaluaciones de impacto y biometría

La Agencia Española de Protección de datos ha sancionado con 20.000 euros a una empresa por no haber realizado una evaluación de impacto del tratamiento de biometría que había desplegado en sus instalaciones para el control de horario y entrada de sus trabajadores.

Aspectos prácticos: En el pasado la Agencia había manifestado la licitud del uso de determinadas soluciones de biometría para los tratamientos de control de jornada y entrada, pero con esta resolución viene a recordar la obligación de los responsables de mantener la responsabilidad proactiva y analizar las soluciones y los tratamientos antes de desplegarlos. Asimismo, señala la importancia de realizar evaluaciones de impacto de aquellos tratamientos que entrañen un mayor riesgo para los derechos y libertades de los interesados, entre los que coloca determinadas soluciones de biometría.

Más información:
Puede consultar la resolución completa a través del siguiente enlace.

           ______________________________________________________________

3/ Videovigilancia y despidos

La Sala de lo Social del Tribunal Supremo valida desde el punto de vista social la grabación de la conducta del conductor por el sistema de videovigilancia ubicado en un autobús como prueba justificativa de su despido disciplinario a pesar de que la finalidad declarada del sistema de videovigilancia era garantizar la seguridad de los conductores y no la finalidad sancionadora o de control laboral. 

Aspectos prácticos: El propio Tribunal supremo señala que el hecho de que la prueba pueda ser válida en el ámbito social no implica que no suponga una infracción de protección de datos.
Debe tenerse en cuenta que los hechos enjuiciados son anteriores a la actual Ley Orgánica de Protección de Datos y garantía de derechos digitales y a su artículo 89 que establece la obligación de informar de forma previa y expresa de este tipo de sistemas, por lo que a futuro el uso de este tipo de sistemas con finalidad sancionadora deberá analizarse con cautela.

Más información: La Sentencia completa en el siguiente enlace.

 

 

 

 

Publicado en Blog, Circulares, Derecho del Entretenimiento, Empresas TIC, Nuevas Tecnologías, Protección de Datos, Sede, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº1

Un año del Reglamento General de Protección de Datos.

Publicado el 05-06-2019

Este 25 de mayo se cumplió el primer aniversario de la entrada en aplicación del Reglamento General de Protección de Datos o RGPD. Aprovechando su cumpleaños, nuestro compañero Álvaro Abáigar Domínguez, abogado, asociado y director del departamento de Nuevas Tecnologías y Protección de Datos de ARPA Abogados Consultores ha escrito el siguiente artículo que ha sido publicado en el Número 313 de la revista «Negocios en Navarra» donde comparte unas reflexiones sobre lo que ha supuesto esta norma. Si bien es cierto que vamos a necesitar todavía mucho más tiempo para acabar de interiorizarla, si que podemos hacer un primer balance de las sensaciones que nos deja.

 ¿Freno a la innovación tecnológica?

Hace no mucho escuchaba a un cliente comparar la innovación tecnológica con un coche que circula a una gran velocidad por la carretera. Reflexionaba esta persona sobre el hecho de que a nadie le gustaría montarse en ese vehículo que va a gran velocidad sin garantizarse de que alguien en condiciones se hiciera cargo del “volante” y dirigiera el rumbo. No puedo estar más de acuerdo. Normativas como la de protección de datos nos ayudan a dar orientación a esta gran revolución tecnológica en el tratamiento de datos, no para retrasarla o impedirla, sino precisamente para conducirla al espacio donde pueda ser más útil y provechosa para las personas y la sociedad en su conjunto.

¿Este Reglamento está consiguiendo conducir adecuadamente el coche de la revolución tecnológica? La actual normativa pretende conciliar los diferentes intereses contrapuestos, dotando de mecanismos para adaptarse ingeniosamente a las diferentes situaciones que se le vayan presentado. Buena prueba de ello lo tenemos en la potenciación del denominado “interés legítimo” como vía para poder tratar datos de carácter personal sin el consentimiento del interesado. Sólo el tiempo dirá si ha conseguido su propósito.

¿Desventaja europea frente a otros territorios?

Se puede afirmar sin ninguna duda que la normativa europea se ha convertido en un referente a nivel internacional en materia de protección de datos. Buena prueba de ello es que muchos territorios están preparando actualizaciones legislativas en esta línea.  Pero claro, todo eso va a tardar. ¿Supone esta situación un lastre para nuestras empresas frente a corporaciones ubicadas en otras zonas del mundo? No debería, por lo menos en lo que respecta al mercado europeo, en cuanto que el RGPD recoge expresamente su obligada aplicación a cualquier organización con independencia de donde esté ubicada, siempre y cuando claro está se dirija a ciudadanos europeos.  Es cierto que es toda una declaración de intenciones muy contundente, pero también lo es la necesidad de tener mecanismos y  clara voluntad de hacer cumplir la premisa. En caso contrario las iniciativas empresariales europeas estarán siendo penalizadas injustamente. Este primer año no nos ha dejado la sensación de que este extremo sea una prioridad de las Autoridades de Protección de Datos. Veremos a futuro si cambian las tornas.

 Las sanciones como elemento motivador.

Una de las cuestiones del RGPD que más publicidad se le dio hace un año fue sin duda el régimen sancionador. Simplemente recordar que la normativa establece que se pueden llegar a imponer multas de hasta 20 millones de Euros o el 4% de la facturación (la mayor de las dos magnitudes). Lo cierto es que a fecha de hoy estamos a la espera de conocer el resultado de los grandes procedimientos sancionadores. Las Agencias de Protección de Datos siguen trabajando coordinadamente en numerosas denuncias que se interpusieron el primer día de entrada en aplicación del Reglamente frente a grandes compañías como, por ejemplo, Facebook. Los próximos meses iremos conociendo el resultado de dichos procedimientos sancionadores. Mientras tanto, a modo de aperitivo, sí que es cierto que alguna agencia se ha “adelantado” con algún procedimiento de su exclusiva competencia: CNIL (la Agencia de Protección de Datos de Francia) sancionó a comienzos de año a Google con una multa de 50 millones de euros, lo que algunos quieren interpretar como un presagio de la línea que nos espera.

La publicidad de las brechas de seguridad.

Otro tema ciertamente novedoso ha sido el de la publicidad de las brechas de seguridad. Según la nueva regulación los incidentes de seguridad que afecten a datos de carácter personal tienen que tener una gestión mas transparente. Así las cosas, en algunos casos resulta necesario comunicar a la Agencia Española de Protección de Datos el incidente (en un plazo no superior a 72 horas) e incluso notificar a los propios afectados la situación. ¿La consecuencia? La estamos viviendo a diario con numerosos comunicados y noticias de brechas de seguridad. Las organizaciones han empezado a tomar en consideración esta cuestión desde diferentes ópticas (no sólo desde el temor a ser sancionado sino también a nivel reputacional). No es infrecuente que los usuarios y clientes observemos con mucha atención como una organización afectada por una brecha gestiona dicha crisis. Sobra decir que la confianza de trabajadores, clientes, etc., puede verse quebrada para siempre no sólo por el incidente en si mismo, sino precisamente por la actitud y talante que se ofrezca ante el mismo.

¿Dónde están las medidas de seguridad a implementar?

Si usted decide buscar en el Reglamento General de Protección de Datos una relación de controles a nivel técnico y organizativo a aplicar, deje de buscar. Simplemente no existen. ¡Bienvenido a la orientación al riesgo! En efecto, cada organización tiene que hacer una reflexión sobre qué grado de probabilidad tiene de que se materialice una posible amenaza y las consecuencias que tendría para ella. Eso supone el necesario punto de partida para elaborar un plan de tratamiento de los riesgos que le afecten de forma que se puedan reducir la exposición a los mismos.  En mi humilde opinión, este enfoque es todo un acierto ya que permite superar el anterior sistema basado en niveles de seguridad según los datos (nivel básico, medio u alto) que en no pocas ocasiones planteaba desajustes. Este nuevo paradigma implica que cada organización tiene que descubrir y decidir por su cuenta que es lo que tiene que hacer para reducir su exposición al riesgo hasta un nivel tolerable.  Este enfoque nos debería permitir orientar los esfuerzos hacia los lugares realmente importantes y generar valor en lo que respecta a seguridad de los datos.

 He leído y acepto…o no.

Cuando casi nos habíamos acostumbrado a entender muchos servicios que se ofrecen en internet como un “lo tomas o lo dejas” (en el sentido de tener que aceptar en bloque las condiciones del servicio y las políticas de privacidad), la normativa de protección de datos vuelve a empoderar a los usuarios. Permítanme que me explique. Tomemos por ejemplo una red social. La que ustedes quieran. Ahora piensen en los tratamientos de datos que hacen. Cierto es que habrá algunos tratamientos de datos que serán necesarios para la prestación del servicio; otros por ejemplo impuestos por una concreta normativa (por ejemplo, fiscal). Pero seguro que se le ocurren rápidamente otros que son absolutamente opcionales (por ejemplo, cesiones de datos a terceros para publicidad). Con este último grupo, es decir, los que no son inherentes a la relación, ahora es absolutamente necesario que la red social nos pregunte y pida permiso, y, lo que es más importante sin condicionarnos el acceso al servicio si no estamos de acuerdo. ¿Se imaginan acceder a Facebook sin que esta red social puede utilizar mis datos para ofrecer publicidad personalizada de terceros?

Esta situación puede provocar que algunas organizaciones o modelos de negocio que han sido especialmente voraces con la recogida y tratamiento de datos sin contar con la autorización del usuario puedan verse seriamente comprometidos en este nuevo escenario. Iremos viendo en los próximos meses como se van asentando las interpretaciones y los procedimientos sancionadores que están en curso.

Tratamiento de datos para publicidad.

Una cuestión que no se ha cerrado todavía es la relación futura entre la normativa de protección de datos y la que regula las comunicaciones electrónicas. Es precisamente en esta normativa donde se tratan cuestiones tan importantes como la publicidad por medios electrónicos o el régimen de las “cookies”. Todos confiábamos en una actualización simultánea de los dos cuerpos legales, pero lo cierto es que las instituciones europeas no han sido capaces de ponerse de acuerdo en el texto de la reforma.  Veremos que nos depara el futuro.

 

Hay otras muchas cuestiones que merecen ser comentadas (biometría, delegados de protección de datos, etc.) pero si me lo permiten, me lo reservo para el próximo cumpleaños. Hasta entonces.

 

 

Publicado en Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , Comentarios desactivados en Un año del Reglamento General de Protección de Datos.
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X