Prohibido Publicar Y Compartir Fotos De Terceros Sin Su Consentimiento

Protección de datos

Desde que llegaran las redes sociales a nuestras vidas, son muchas las fotos que subimos al día, a la semana o al mes tanto de nosotros como de personas que están a nuestro alrededor y por ello, deberíamos tener en cuenta que no deberíamos publicar fotos donde salgan otras personas sin su consentimiento.

Durante los últimos años han crecido las cuentas personales o de empresas donde se publican fotos que han sido publicadas anteriormente por sus propietarios en sus redes sociales y deberíamos tener en cuenta que, el Tribunal Supremo recogió en una sentencia que “publicar una foto extraída de una cuenta de Facebook en cualquier medio de comunicación sin el consentimiento de la persona supone, una intromisión ilegítima en el derecho a la propia imagen, aunque el perfil sea público y accesible por parte de cualquier usuario”.

Publicar una foto sin el consentimiento de la persona contraviene el derecho a la propia imagen, recogido en los artículos 7.5 y 8.2 de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Artículo 7.5: La captación, reproducción o publicación por fotografía, filme o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos, salvo los casos previstos en el artículo 8.2.

Artículo 8.2: En particular, el derecho a la propia imagen no impedirá:

a) Su captación, reproducción o publicación por cualquier medio, cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.

b) La utilización de la caricatura de dichas personas, de acuerdo con el uso social.

c) La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

Las excepciones contempladas en los párrafos a) y b) no serán de aplicación respecto de las autoridades o personas que desempeñen funciones que por su naturaleza necesiten el anonimato de la persona que las ejerza.

En la sentencia se recoge que “la finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esta cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del mismo en un medio de comunicación”.

En el nuevo Reglamento de Protección de Datos se considera la imagen y la voz como un dato de carácter personal y sujeto, por tanto, a protección por lo que, para poder tratar cualquier dato personal se exige un consentimiento expreso por parte de su titular. En resumen, para tratar (publicar) las fotografías o vídeos de una persona, necesitamos su consentimiento.

¿Qué ocurre si la foto que publicamos es de nuestros hijos y son menores de 14 años?

Según la normativa en materia de protección de datos, a partir de los 14 años, el menor puede decidir si desea o no publicar fotos suyas y además, si considera que las fotos publicadas anteriormente por sus progenitores o personas de su entorno, podrían dañar su honor o dignidad, podría denunciar a la persona que hubiera publicado la/s foto/s.

A continuación, enumeramos algunos puntos a tener en cuenta en el momento de publicar fotos de menores:

1. Antes de publicar una foto, deberíamos tener en cuenta que para publicarla, si el menor tiene menos de 14 años, es necesario la autorización de los padres y en el caso de que el menor tenga entre 14 y 18 años, se necesitaría su consentimiento de forma expresa.

2. Para mayor seguridad, no publicar las fotos con geolocalización ni con información que pueda identificar al menor como podría ser el colegio, parque, vivienda…

3. Nunca publicar fotos de la persona sin ropa y es que últimamente vemos muchas fotos de padres cambiando al hijo en la hora del baño, en lugares como la playa o la piscina…

4. Si hemos ido a un cumpleaños, una fiesta familiar, un evento… donde hemos realizado fotos de nuestros hijos con otros menores, no podemos publicar las fotos sin el consentimiento de los padres de los otros niños que aparecen en la foto y en su defecto, deberíamos pixelar o tapar el rostro.

5. Sé selectivo con las fotos que publicas y con quién lo compartes. Es fundamental compartir las imágenes con personas de nuestra confianza y además, lo mejor es que estas personas no las compartan ya que, por ejemplo, en el caso de Facebook, cuando aceptamos la política de datos de la red social, se nos informa que si solicitamos la eliminación de las fotos, la red social procederá a ello pero no podrá asegurar que las fotos dejen de estar publicadas si éstas han sido compartidas por terceros.

Para terminar, nos gustaría recordar que es necesario hacer un uso responsable de las fotos que publicamos tanto de nosotros como de las personas que nos rodean ya que por ejemplo, en el caso de nuestros hijos, no deberíamos publicar todas sus fotos como si fuera un álbum ya que podría avergonzarse en el futuro y reclamar una indemnización si considera que se ha vulnerado su honor o dignidad.

Bases de Legitimación para el Tratamiento de Datos

Píldoras Formativas

El RGPD mantiene lo establecido en la Directiva 95/46 de que todo tratamiento de datos tiene que apoyarse en una base que lo legitime. El RGPD recoge las bases jurídicas que aparecían en la Directiva y se reproducían en la LOPD, por lo que no supone cambios en este sentido a los responsables:

  • Consentimiento
  • Relación contractual
  • Interés vital del interesado o de otras personas
  • Obligación legal para el Responsable
  • Interés público  o ejercicio de poderes públicos
  • Interese legítimos prevalentes del responsable o de terceros a los que se comunican datos

Recomendación

Justificar e identificar la base legal de los tratamientos, esto se deduce en algunos artículos y en el principio de  responsabilidad activa. Por ejemplo en el momento de la recogida de datos hay que informar acerca de la base legal sobre la que se desarrolla el tratamiento.

Saber identificar la base legal va a ser indispensable para poder demostrar que se está cumpliendo lo que establece el RGPD.

El consentimiento debe de ser “inequívoco”

El actual Reglamento 1720/2007 que desarrolla la LOPD admite la forma de consentimiento tácito, es decir, que es válido por la omisión de la respuesta: se basa en la inacción.

Con la aprobación del RGPD el consentimiento pasa a ser inequívoco, que es aquel que se presta mediante una manifestación del interesado o una clara acción afirmativa. A estos efectos las casillas ya marcadas, el consentimiento tácito o la inacción no constituirán un consentimiento válido.

– El consentimiento será inequívoco y además explícito en aquellas situaciones en las que:

  • Se traten datos sensibles
  • Se adopten decisiones automatizadas
  • Se realicen trasferencias internacionales

– Podrá ser inequívoco el consentimiento y otorgarse de forma implícita si se deduce una acción del interesado, como puede ser si continúa navegando en una página web, habiendo aceptado la política de cookies.

– Los tratamiento de datos que se han iniciado antes del RGPD sólo serán válidos si se ha prestado el consentimiento según lo estipulado en el RGPD, es decir mediante una acción o manifestación afirmativa.

Recomendación

– Comenzar cuanto antes a recabar el consentimiento conforme a lo estipulado en el RGPD, abandonando la recogida de consentimientos tácitos.

– La adaptación de los consentimientos debemos hacerla:

  • Obteniendo un consentimiento de los interesados conforme a lo establecido en el RGPD, es decir, mediante una manifestación o acción afirmativa.
  • Comprobando si existe alguna otra base legal para justificar los tratamientos de los titulares de los datos. Si se contempla esta opción los interesados deberán ser informados pudiendo ejercitar sus derechos.

¿Cómo afecta LOPDGDD y RGPD a las empresas?

Píldoras Formativas

Para poder saber cómo afecta la normativa en protección de datos a las empresas hay que:

  • Determinar si los tratamientos son de alto o de bajo riesgo para los derechos y libertadas de las personas.
  • Determinar el Registro de Actividades.
  • Responsabilidad no sólo activa, también proactiva.
  • Análisis de riesgos y en algunos casos evaluación de impacto.
  • Protección de datos desde el diseño y por defecto.
  • Notificación de brechas de seguridad.

 

A continuación, vamos a explicar cada una de ellas:

  1. Determinar si los tratamientos son de alto o de bajo riesgo para los derechos y libertades de las personas.

– Son de bajo riesgo:

* los datos personales de contacto de clientes o proveedores.

* los datos básicos de recursos humanos.

– Son de alto riesgo:

* los tratamientos masivos como por ejemplo los datos de empresas de servicios de telecomunicaciones, entidades bancarias y financieras, generación y uso de perfiles o publicidad.

* los datos de categorías especiales como los que realizan las empresas del sector sanitario o legal; de seguros; de servicios sociales; de actividades políticas, sindicales o religiosas; de solvencia patrimonial y crédito; videovigilancia en centros comerciales o en estaciones de ferrocarril.

 

2. Determinar el Registro de Actividades, anteriormente, era necesario que las empresas inscribieran el fichero en la AEPD ya que era una forma de notificar que realizaban un tratamiento de datos con una descripción del mismo, actualmente ya no es necesario inscribir ese fichero, ahora el responsable del tratamiento y el encargado deben llevar sendos Registros de actividades de tratamiento que se realicen bajo su responsabilidad. Este registro contendrá en caso del responsable:

– Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos cuando corresponda.

– Finalidades o motivos del tratamiento.

– Descripción de categorías de interesados y datos personales tratados.

– Categorías de los destinatarios a quienes se comunican los datos personales, incluso si están en otros países o son organizaciones internacionales.

– Transferencias de datos a otro país u organización.

– Cuando sea posible, el plazo previsto para eliminar los datos.

– Cuando sea posible, una descripción de las medidas de seguridad utilizadas durante el tratamiento.

 

3. Responsabilidad no sólo activa, también proactiva ya que el RGPD se basa en los mismos principios que la legislación anterior, pero se diferencia de la misma en que se desarrolla además en torno a la responsabilidad proactiva y el enfoque de riesgo.

La responsabilidad proactiva implica que el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento. En la práctica supone analizar los datos, las finalidades y las operaciones de los tratamientos, para determinar de forma explícita la aplicación de las medidas que el RGPD prevé, para proteger la privacidad y poder demostrarlo.

Para aplicar las medidas de responsabilidad proactiva se ha de utilizar un enfoque de riesgos teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertadas de las personas. En la práctica esto supone que algunas medidas (por ejemplo, evaluación de impacto o el nombramiento del DPD) se aplicarán sólo cuando exista un alto riesgo y el resto por ejemplo, la privacidad desde el diseño) serán adaptadas al nivel y tipo de riesgo que los tratamientos presenten.

 

4. Análisis de riesgos y en algunos casos evaluación de impacto.

Para saber si la empresa está obligada a llevar un registro de operaciones de tratamiento o a nombrar un Delegado de Protección de Datos y a realizar una evaluación de impacto, es necesario que el responsable haga una valoración continua de los riesgos que entrañan los tratamientos a los derechos y libertadas de los usuarios. Este análisis también servirá para establecer el resto de medidas de responsabilidad proactiva.

La evaluación de riesgos dará como resultado la adopción de las medidas necesarias para eliminar o mitigar los riesgos que el producto o servicio pueda entrañar para la protección de datos de las personas. La evaluación de impacto permitirá aplicar la privacidad desde el diseño, evitando costes de mitigación de riesgos a posteriori.

 

5.  Protección de datos desde el diseño y por defecto.

Protección y explotación de datos personales son para la empresa dos caras de una misma moneda. Por esto, la nueva legislación europea exige una mayor proactividad a las empresas y las insta a que valoren sus riesgos e incorporen mecanismos para minimizarlos, garantizando entre otros la privacidad desde el diseño y por defecto desde la concepción de sus productos o servicios. Este tipo de medidas pueden ser controles técnicos o políticas proactivas que se aplican desde el principio, pensando en todo el ciclo de vida del proyecto y centrados en garantizar la privacidad del usuario. Si tu empresa es de las que tiene que hacer una evaluación de impacto, con él tendrás identificados los riesgos del tratamiento con lo que podrás adoptar medidas en su fase de diseño.

 

6. Notificación de brechas de seguridad.

La nueva normativa obliga a notificar las violaciones de datos que podamos sufrir en la empresa a la autoridad de protección de datos competente y a las personas afectadas, salvo que sea improbable que suponga un riesgo para los derechos y libertadas de los afectados, por ejemplo, la empresa estaría exenta si los datos de los afectados estaban cifrados.

La notificación a la autoridad debe incluir como mínimo:

– La naturaleza de la violación, y cuando sea posible las categorías y número de afectados aproximados.

– El nombre y los datos de contacto del DPD o de otro punto donde obtener más información.

– Las consecuencias posibles de la violación.

– Las medidas adoptadas o propuestas para remediar los efectos negativos.

 

¿Cumple tu empresa con la normativa en protección de datos? Contacta con nosotros en el 957463547 y te informaremos de todo.

¿Están sus empleados formados sobre RGPD?

Píldoras Formativas

Con la entrada en vigor del Nuevo Reglamento General de Protección de Datos en mayo de 2016 y su posterior obligación del cumplimiento de la norma en mayo de 2018 tras los dos años de adaptación que han tenido las empresas, éstas han ido tomando las medidas técnicas y organizativas que exige su cumplimiento como son el análisis de riesgos o un diseño de seguridad desde la recogida del dato pero, aún queda algunos puntos a tener en cuenta para el cumplimiento de la norma y entre ellos nos encontramos la obligación de formar correctamente a los empleados que tratan con datos personales ya que, muchas organizaciones no incluyen como riesgo al personal sin formación en protección de datos.En el caso de que la empresa contara con un Delegado de Protección de Datos, éste debería de ser el encargado de formar e informar a los empleados de cómo actuar, cómo tratar cada dato, qué precauciones deben tomar o cuál es la participación del empleado dentro de las medidas técnicas y organizativas de la empresa.

Formar a los empleados en materia de protección de datos siempre ha sido importante ya que en el día a día tratan con multitud de datos de sus clientes, usuarios, proveedores… pero con la entrada del Nuevo Reglamento General de Protección de Datos, esto se ha convertido en una obligación ya que según el Art. 47, 2n, se establece que las empresas tienen que ofrecer formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.

Es algo muy habitual trabajar con contraseñas que nunca se cambian, contraseñas compartidas, papel con datos de usuarios o clientes que se tira a la basura, accesos indiscriminados, inexistencia de copias de seguridad, documentos con información confidencial sobre la mesa…. todo esto sumado a que hoy en día, casi todo se envía por correo electrónico (facturas, presupuestos, albaranes, documentación confidencial….), hace que en cualquier momento la empresa pueda tener una brecha de seguridad.

Un ejemplo lo podemos encontrar en el uso de los USB ya que la mayoría de los empleados lo utilizan para guardar la información que necesitan para trabajar y en ocasiones esta información contiene datos personales de usuarios. No es de extrañar que varios compañeros compartan USB o incluso que lo saquen de la empresa para poder trabajar desde cualquier otro lugar. Esto puede llevar un riesgo de pérdida del USB, filtración de datos en Internet… lo que desembocaría en una brecha de seguridad por parte del empleado, quien intenta hacer su trabajo lo mejor posible.

Lo mismo podríamos decir de una copia de seguridad de datos que sale fuera de las instalaciones de la empresa pero no está cifrada y podría perderse.

Es muy importante que tanto los usuarios como los empleados sean conscientes de la importancia en el tratamiento de los datos para así poder reducir al máximo la probabilidad de que la empresa sufra una brecha de seguridad ya que, debemos recordar que, en el caso de que ocurriera, la empresa estaría obligada a notificarlo dentro del plazo máximo de 72 horas a la autoridad competente que en el caso de España, sería la Agencia Española de Protección de Datos y evitar así posibles sanciones puesto que no sólo hay que comunicarlo, sino también solucionarlo en el menor tiempo posible.

Las empresas se encuentran ante una obligación explícita de la propia normativa de protección de datos y de cualquier protocolo de seguridad de la información ya que, si el empleado no sabe, no puede cumplir por lo que, a la posible brecha de seguridad producida se sumaría la responsabilidad por no haber cumplido esta obligación.

Si la empresa no dispone de un Delegado de Protección de Datos y el responsable de tratamiento no pudiera dedicar tiempo de formación a sus empleados, desde Fersoft hemos organizado un curso de formación que se imparte por especialistas en la materia y que serán los encargados de proporcionar a los empleados de cada empresa los conocimientos necesarios para el cumplimiento y uso eficaz de las medidas de seguridad de los datos personales.

Las empresas deben de tener en cuenta que, omitir la obligación de formar a sus empleados ya sería un incumplimiento del Reglamento ya que no establece una de sus premisas como sería la protección de datos desde el diseño.

Medidas de Seguridad en la Normativa RGPD y LOPDGDD

Protección de datos

A diferencia de las medidas de seguridad que se contemplaban en la antigua LOPD, que ya ha sido derogada, que estaban determinadas al detalle de un modo muy exhaustivo en función del tipo de datos objeto de tratamiento, en el Reglamento general de protección de datos nos encontramos con que serán los responsables y encargados de protección de datos los que establecerán una serie de medidas de seguridad adecuadas al grado de riesgo que se habrá de detectar en el análisis de riesgo obligatorio que se establece en el RGPD. En nuestra solución de ayuda al cumplimiento de la normativa, SEGURPLUS incluimos un módulo específico para controlar este análisis.

En concreto, según dispone el RGPD en su artículo 32, “las medidas de seguridad que se adoptarán se elegirán en función de:

  • El coste de aplicación.
  • El estado de la técnica.
  • La naturaleza, alcance, contexto y finalidad del tratamiento.
  • El riesgo calculado y la probabilidad de que ocurra.”

Si ya se vienen aplicando medidas de seguridad de la antigua LOPD, se podrán mantener siempre que sean las más adecuadas para el nivel de seguridad requerido, o cambiarlas si es necesario.

Se podrán complementar las mismas con nuevas medidas o dejar de aplicar algunas, en función del resultado del citado análisis.

Tan solo en casos en los que exista algún tratamiento que suponga un alto riesgo para los derechos y libertades de los afectados se aplicarán medidas como la Evaluación de Impacto.

Teniendo en cuenta que según el citado artículo del RGPD, las medidas se modularán dependiendo:

  • del riesgo asociado a cada tratamiento.
  • que todos los responsables tendrán como obligación la realización de una medición del riesgo que tienen las actividades de tratamiento que llevan a cabo,con el fin de elegir las medidas a aplicar.
  • y el modo de hacerlo.

Algunas de las medidas técnicas y organizativas que se contemplan en el artículo 32, con las que los encargados y responsables de la protección de datos podrán hacer frente al riesgo en su entidad son las siguientes:

“a) la seudonimización y el cifrado de datos personales;

  1. b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  2. c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
  3. d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la  seguridad del tratamiento.”

Desde Fersoft, y teniendo en cuenta todas las especificaciones más arriba citadas, hemos añadido a nuestro software SEGURPLUS la opción de realizar un análisis de riesgos, indicándole tanto los riesgos y amenazas que podrían afectar a su entidad, como el porcentaje de que esto ocurra, el impacto que esto tendría y las recomendaciones personalizadas al respecto de las medidas de seguridad que podría aplicar.

Le recordamos que desde Fersoft les ofrecemos, a clientes con mantenimiento, un servicio de asesoramiento ilimitado en cuanto al uso del programa, de cara a su configuración y optimización, así como un servicio de asistencia técnica que incluye además del equipo de técnicos las recomendaciones personalizadas ofrecidas por nuestro departamento jurídico.