EVALÚA, herramienta para analizar el grado de cumplimiento de la LOPD
Coincidiendo con la celebración, hoy 28 de enero, del Día Europeo de Protección de Datos, la Agencia Española de Protección de Datos (AEPD) ha presentado Evalúa, una herramienta que permite a empresas, autónomos y administraciones públicas evaluar el grado de cumplimiento de la Ley Orgánica de Protección de Datos.
Esta herramienta, disponible en la web de la AEPD, ofrece la posibilidad de evaluar el estado de implantación de la normativa LOPD en una organización, mediante un test basado en preguntas con respuesta múltiple.
DOS NIVELES DE EVALUACIÓN
El programa consta de dos niveles de evaluación: el primero, el Test de cumplimiento de la LOPD, es un test básico que permite evaluar el grado de cumplimiento de la normativa sobre protección de datos. Así, el test va guiando por una serie de preguntas relativas al procedimiento de recogida de datos personales, obliglaciones de información a los titulares de datos, la obligación de secreto y confidencialidad, los tratamientos que se realizan, la forma en que se permite el ejercio de los derechos ARCO, la cesión de datos a terceros, transferencias internacionales, y otros requisitos de la LOPD. Antes de realizarlo, la AEPD recomienda haber consultado previamente la Guía de la AEPD del Responsable de Ficheros (PDF) y manejar ciertos conceptos básicos.
Por otro lado, el segundo, el Test de cumplimiento de medidas de seguridad, se ha diseñado para facilitar la verificación de las medidas de seguridad previstas por el Reglamento de Desarrollo de la Ley Orgánica de Protección de datos. En este caso, el programa presente primero una introducción básica, y luego va realizando, a lo largo de varios apartados, preguntas sobre el Documento de Seguridad, funciones y obligaciones del personal, controles de acceso, registros de incidencias, gestión de soportes, y demás medidas de seguridad exigibles en función del nivel aplicable a los datos tratados. Para realizarlo es recomendable la consulta previa de la Guía de Seguridad de Datos de la AEPD (PDF).
45-60 MINUTOS PARA COMPLETAR LOS TESTS, SEGÚN LA AEPD
De acuerdo con la AEPD, completar el test de autoevaluación puede llevar entre 45 y 60 minutos, si bien, en mi opinión, a la hora de realizar los tests conviene tener la información sobre nuestra organización bien clara y preparada, así como tener claros ciertos conceptos básicos. En todo caso, se nota que, de alguna manera, la AEPD ha intentado utilizar un lenguaje claro y directo, y además, en cada pregunta se ofrece una pestaña de Ayuda para facilitar su comprensión.
AL FINALIZAR, GENERA UN INFORME “PERSONALIZADO” EN PDF
La herramienta es anónima y gratuita, y además permite dejar el test sin finalizar, asignándole un código único de sesión, para luego recuperarlo y volver a retomar el test en otro momento, sin tener que volver a empezar desde el principio.
Una vez finalizado el test, la herramienta genera un informe descargable en PDF, que, en principio, y según anuncia la AEPD, contiene indicaciones personalizadas en función de las respuestas que se hayan dado en el test, así como ofrece recursos que orientan para cumplir con la LOPD. No obstante, en la primera prueba que he realizado, con información ficticia, el informe que me ha generado parece bastante general, casi una guía completa de la normativa de protección de datos, en lugar de señalar específicamente aquellos puntos que deberían corregirse en el caso concreto.
HERRAMIENTA DIDÁCTICA, MERAMENTE ORIENTATIVA, QUE NO GARANTIZA EL CUMPLIMIENTO DE LA LOPD
Es importante aclarar que la realización de estos tests, y la obtención del informe final, no implica ni significa que una determinada entidad o autónomo esté efectivamente cumpliendo la normativa de protección de datos. De hecho, el propio informe emitido lleva el siguiente aviso al inicio: “Informe basado en las contestaciones proporcionadas a las preguntas del Test de Autoevaluación EVALUA Agencia Española de Protección de Datos. El resultado del test es meramente orientativo. Es una herramienta de ayuda cuyos resultados dependen de las respuestas facilitadas. Por lo tanto, su realización no exime del cumplimiento de la LOPD ni podrá exhibirse con la finalidad de justificar o eximir la responsabilidad ante una eventual infracción.”
Esta herramienta es muy útil, por ejemplo, para (auto)evaluar a priori la situación de una empresa, una PYME, un autónomo o una administración en relación con el cumplimiento de la normativa de protección de datos personales. Siempre y cuando se manejen, como decía, ciertos conceptos básicos. De otra forma, los tests pueden hacerse largos, tediosos y difíciles de completar.
En cualquier caso, la herramienta no sustituye la necesidad de implantar correctamente la LOPD y las medidas de seguridad, para lo cual, sigue siendo recomendable contar con un experto en protección de datos que guie a tal entidad en el cumplimiento debido de las obligaciones derivadas de tal normativa.
Se acabó el ‘spam’ telefónico
El pasado 22 de diciembre de 2009, el Congreso de los Diputados aprobó la Ley por la que se modifica el régimen legal de la competencia desleal y de la publicidad ilícita para incrementar la seguridad de los consumidores, transponiendo de esta forma dos Direcivas europeas, la directiva 2005/29, relativa a prácticas comerciales desleales, y la 2006/114, sobre publicidad engañosa y publicidad comparativa.
Esta nueva Ley supone la introducción de modificaciones en cuatro leyes generales: defensa de los consumidores y usuarios, competencia desleal, publicidad y ordenación del comercio minorista. La finalidad de la misma es aumentar el nivel de protección y la seguridad de los consumidores, así como proporcionar seguridad jurídica a las empresas y profesionales que compiten legítimamente.
Con esta nueva normativa se pretende aclarar la prohibición de determinadas prácticas comerciales agresivas o contrarias a la buena fe, a la diligencia profesional o que distorsionan el comportamiento económico de los consumidores. Entre ellas, el uso de medios de comunicación a distancia para realizar propuestas no deseadas y reiteradas, incluido a través de teléfono o fax u otros medios de comunicación a distancia.
PRÁCTICAS ENGAÑOSAS
La nueva Ley regula por primera vez en nuestro ordenamiento jurídico las prácticas comerciales agresivas y tipifica con claridad las practicas comerciales desleales, es decir, aquellas conductas engañosas que contengan información falsa o que, aun siendo veraz por su contenido o presentación, pueda inducir a error a los destinatarios; por ejemplo, en cuestiones como la asistencia postventa o el tratamiento de las reclamaciones.
Del mismo modo, se considera desleal y agresivo todo comportamiento que pueda mermar de manera significativa, mediante acoso, coacción, fuerza o influencia indebida, la libertad de elección o conducta de los consumidores en relación al bien o servicio que se oferte. Por ejemplo, actuaciones como el spam telefónico pueden ser consideradas desleales y, por tanto, perseguibles por esta nueva Ley, sin perjuicio de que también podrían considerarse perseguibles como una infracción en materia de protección de datos, especialmente cuando dichas llamadas se realicen sin intervención humana. De alguna manera, la nueva Ley clarifica que incluso cuando una llamada comercial directa se realiza con intervención humana, si previamente el consumidor que la recibe no había dado su consentimiento (llamada no deseada) y la llamada ha sido reiterada (no especifica la nueva Ley este concepto), o (evidentemente) si dicho consumidor está inscrito en una lista Robinson, dicha actuación puede ser considerada desleal y perseguible.
OTRAS CONDUCTAS DESLEALES
La nueva ley también contempla otras conductas que se consideran desleales (también, evidentemente, respecto a las empresas que prestan servicios o venden productos en Internet):
- La comparación pública de la actividad, las prestaciones o el establecimiento propio o ajeno con los de un tercero cuando dicha actividad se refiera a extremos que no sean análogos, relevantes ni comparables.
- La ocultación de información necesaria para que los consumidores puedan adoptar un comportamiento económico con conocimiento de causa.
- La transmisión de información de manera poco clara, ininteligible, ambigua o en un momento que no sea adecuado.
- Inducir a los consumidores a tomar decisiones inmediatas con el pretexto de que un bien o servicio sólo estará disponible durante un período de tiempo limitado y esto no sea cierto.
- Presentar los derechos que otorga la legislación a los consumidores o usuarios como si fueran una característica distintiva de la oferta del empresario o profesional.
Con esta nueva normativa, se establece un régimen jurídico unitario para todos los actos de engaño y para las prácticas agresivas y se exige el mismo nivel de corrección con independencia de que los destinatarios de las actividades comerciales, sean consumidores o empresarios.
Para combatir todo el tipo de prácticas señaladas, el nuevo texto legal prevé la posibilidad, de emprender, entre otras, acciones de cesación del acto o prohibición de reiteración, de rectificación y de resarcimiento de daños por parte de los afectados y las autoridades competentes.
______________________
» ACTUALIZACIÓN:
La nueva Ley 29/2009, de 30 de diciembre, por la que se modifica el régimen legal de la competencia desleal y de la publicidad para la mejora de la protección de los consumidores y usuarios, ha sido publicada en el BOE de 31 de diciembre 2009 (en PDF).
El artículo 29 de esta nueva Ley, regula las Prácticas agresivas por acoso, entre las que se incluyen el uso de medios de comunicación a distancia para realizar propuestas no deseadas y reiteradas, incluido a través de teléfono o fax) (apartado 2 del artículo 29):
“2. Igualmente se reputa desleal realizar propuestas no deseadas y reiteradas por teléfono, fax, correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la medida en que esté justificado legalmente para hacer cumplir una obligación contractual.
El empresario o profesional deberá utilizar en estas comunicaciones sistemas que le permitan al consumidor dejar constancia de su oposición a seguir recibiendo propuestas comerciales de dicho empresario o profesional.
Para que el consumidor o usuario pueda ejercer su derecho a manifestar su oposición a recibir propuestas comerciales no deseadas, cuando éstas se realicen por vía telefónica, las llamadas deberán realizarse desde un número de teléfono identificable.
Este supuesto se entenderá sin perjuicio de lo establecido en la normativa vigente sobre protección de datos personales, servicios de la sociedad de la información, telecomunicaciones y contratación a distancia con los consumidores o usuarios, incluida la contratación a distancia de servicios financieros.”
Aprobada la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones
Finalmente se ha publicado, aproximadamente un año y medio después de que se aprobara la Directiva europea 2006/24/CE , la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones , que precisamente transpone a nuestro ordenamiento jurídico las obligaciones que establece la Directiva y que a partir de ahora van a tener que cumplir los operadores de comunicaciones electrónicas en relación con la conservación de datos de tráfico de las comunicaciones, para su utilización en el marco de una investigación criminarl por delitos, con la finalidad de prevención y persecución de delitos graves.
A falta de analizarla detalladamente, algunas novedades importantes de esta Ley (con gran repercusión en la regulación de telecomunicaciones, sociedad de la información y tratamiento de datos personales) son:
- Se aplica a todos los operadores que exploten redes o presten servicios de comunicaciones electrónicas.
- Se derogan determinados artículos de la Ley de Servicios de la Sociedad de la Información (LSSICE) y Ley General de Telecomunicaciones. En especial, se ha derogado el artículo 12 de la LSSICE, que podía hacer aplicable estas obligaciones a los prestadores de servicios de hosting (que no es un servicio de comunicaciones electrónicas, pero si de la sociedad de la información). No obstante, habrá que ver si es de aplicación la nueva Ley a determinados prestadores de servicios de la sociedad de la información.
- Se determinan los datos de tráfico que los sujetos obligados deberán conservar para su puesta a disposición de los agentes facultados en el marco de una investigación criminal.
- Los datos a conservar dependerán del tipo de comunicaciones. En todo caso, la obligación afecta por igual a las comunicaciones de voz como de datos.
- Entre los datos a conservar, se deberá conservar también los datos de tráfico de las ‘llamadas perdidas’ (infructuosas).
- El período de conservación será de 12 meses (pudiendo ampliarse o reducirse para determinadas categorías de datos).
- Los costes derivados de la obligación de conservar estos datos durante el tiempo establecido, los asumirán los operadores y sujetos obligados.
- Se obliga a los operadores móviles a registrar a los usuarios prepago, que dejan de ser anónimos.
