Caso práctico I. LOPD.
LOPD.
RESUMEN.En este apartado hemos explicado la LOPD y la RGPD, dando sus características principales y como se debe llevar a cabo el procesamiento de datos para no cometer infracciones, ya que en comunicación audiovisual se es más propenso a cometerlas debido a la cantidad de información con la que se trabaja. Para ello hemos explicado algunos casos comentando que artículos infringen y que sanciones son llevadas a cabo según su gravedad.
Por otra parte, hemos puesto las diferencias entre la protección de datos y la privacidad y como se protege cada una de ellas. Además de las brechas de seguridad en los datos personales y como solucionarlo.
- PROTECCIÓN DE DATOS.
Los datos personales son cualquier tipo de información relativa a una persona física viva identificada o identificable. Los datos que hayan sido anonimizados, cifrados o prestados con un seudónimo, pero con ellos se puede volver a identificar a una persona, siguen siendo datos de carácter personal. Mientras que, si no permiten volver a identificar a una persona, no se considerarán datos personales. Estos datos se protegen mediante la LOPD o la RGPD.
La Ley Orgánica de Protección de Datos (LOPD) es una ley que tiene como objetivo legislar sobre el tratamiento de los datos de carácter personal, definir los derechos y obligaciones de las personas a las que se le toman los datos y a los encargados de tratarlos.Esta ley ha ido sufriendo cambios para poder integrarse dentro del Reglamento de Protección de datos de la Unión Europea 2016/679 o también conocida como RGPD. Esta nueva ley la deben cumplir todas las organizaciones, personas y entidades, privadas o públicas siempre que utilicen cualquier dato de carácter personal.
La RGPD protege los datos personales sin tener en cuenta la tecnología utilizada para su tratamiento, siendo “tecnológicamente neutro”. Tampoco importa cómo se hayan conservado los datos, todos están sujetos a la protección del RGPD
Siguiendo con las graves (entre 40000 y 300000€), estas se dan por no inscribir los ficheros en la AGPD, por utilizar ficheros con otra finalidad a la que se crearon, por no permitir el acceso a los ficheros, etc. Un ejemplo de esta sería que, si tu web no trabaja con información cifrada, o subes tus bases de datos a clientes a Dropbox o Google Drive, estarías cometiendo una infracción grave
Las causas más habituales por las que es incumplida la LOPD son: la falta de legitimidad para llevar a cabo el tratamiento de datos, no llevar a cabo los principios de protección de datos y no tener medidas de seguridad apropiadas para garantizar la seguridad de la información.
Las nuevas tecnologías han afectado seriamente a la línea que separa que es lo privado y que no, al igual que cómo se debe actuar en cada caso de la protección de datos. Esto se debe a la falta de conocimiento que poseen las personas sobre cuáles son sus derechos o como los pueden proteger.
Para cumplir el tratamiento de los datos personales se deberá cumplir con el derecho de información, que se basa en informar a la persona dueña de los datos lo que se va a hacer con los mismos, el tiempo que se conservaran los datos, entre otras cosas. Después, se deberá identificar los datos y ficheros para saber qué nivel de seguridad necesario y la creación de un protocolo. También, se tendrá que informar al usuario de todos sus derechos y conseguir un consentimiento explicito e inequívoco.
También podemos hablar sobre las brechas en la seguridad de los datos personales. Esta brecha es un incidente de seguridad que afecta a estos datos personales. Puede tener un origen accidental o intencionado y además afectar a datos tratados digitalmente o en papel. Es un suceso que ocasiona de destrucción o perdida de los datos personales.
- Medio por el que se ha materializado la brecha, es decir, qué es lo que ha ocurrido.
- Origen de la brecha (externa/interna) y su intencionalidad.
- Categorías y volumen de los datos afectados.
- Categorías de afectados.
- Información temporal de la brecha.
Para valorar correctamente las consecuencias de la brecha hay que tener el registro de actividades de tratamiento y el análisis de riesgo. Además, se debe notificar en un plazo máximo de 72 horas a la AEPD, y a los titulares de los datos afectados si es un alto riesgo a los datos.
- CASO 1.
Dentro de la LOPD en el mundo de la comunicación audiovisual encontramos muchos casos en los que ha sido necesaria la implantación de la ley para llegar a una sanción acorde al nivel de la infracción.
Uno de los más comunes es el uso de imágenes o datos ajenos a nosotros dentro de nuestro trabajo. Es decir, nosotros durante la creación de un proyecto personal nos centramos en el material que necesitamos, sin tener en cuenta si tras nuestro material hay personas, matrículas, direcciones o cualquier dato que este protegido por la LOPD.
En este caso concretamente hablaremos del problema que llega a ser la grabación de un videoclip callejero, sin ningún tipo de permiso y en el que posteriormente aparecerá la imagen de una persona menor de edad en un vehículo, del cual no ha sido censurada la matricula.
Las personas físicas identificables son todas aquellas a las que podemos identificar de manera directa o indirecta, ya sea por varios elementos o por un identificador en línea. Por este motivo captar la imagen de una persona física viva identificable de manera general es un delito que regula esta ley, pero en el caso destacado la sanción que puede llevar este delito es grave ya que se utilizan datos de un menor de edad sin previo consentimiento de sus tutores legales. La sanción monetaria varía de 40.001€ a 300.000€ dependiendo de la resolución final.
Como bien encontramos en el artículo 78 del BOE las sanciones tienen una prescripción dependiendo de su nivel, esto es lo que encontramos en el BOE:
De este modo, antes de llevar a cabo la grabación debemos tener en cuenta los permisos necesarios y los datos que están regulados por esta ley, ya que por mucho que sea de manera involuntaria, estamos cometiendo un delito. Además, al tratarse de una persona menor de edad, también se encuentra protegida por otro lado por la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de modificación parcial del Código Civil y de la Ley de Enjuiciamiento Civil. En la cual encontramos en el artículo 4, el derecho a la intimidad personal y familiar, al honor y a la propia imagen.
- CASO 2.
Este otro caso también es muy común debido a que la mayoría de las personas no diferencian la anonimización y la seudonimización.
La parte más destacable de la LOPD en este caso es la seudonimización, que no nos permite llegar a un interesado sin el uso de información adicional. Esta información está sujeta a garantizar que estos datos no nos permiten reconocer a una persona física viva identificable. Estos datos están protegidos por cuatro garantías, que son:
- No se puede reconocer a la persona a la que pertenecen los datos sin la información adicional.
- Las garantías del RGPD que nos limitan únicamente a tener una finalidad donde utilizar esos datos.
- Garantías adicionales dependiendo del riesgo para las libertades y los derechos de las personas vivas físicas identificables.
- Las garantías técnicas para impedir el uso erróneo de los datos de carácter personal.
Para asegurar el proceso recurrimos a los mecanismos más frecuentes que son:
- Función con clave almacenada.
- Cifrado determinista.
- Función hash con clave de borrado de clave.
- Cifrado con clave secreta (puede ser alfabética, numérica o mediante caracteres especiales).
La anonimización consta de eliminar de manera permanente los datos, por lo que de este modo no se podrá identificar a una persona física identificable. Su tratamiento ya no está dentro del RGPD y a diferencia de la seudonimización, solo tiene un tipo de garantía aplicable, que es:
Un proceso que no tiene posibilidad de cambio como ya habíamos mencionado, por lo que ya no está obligado a implementar los otros tres tipos de garantía.Llegados a este punto pondremos un ejemplo relacionado con el mundo de la comunicación audiovisual.
Queremos realizar un estudio sobre el uso de Photoshop para comprender a que edad la gente quiere hacer retoques a sus fotos, por lo que pasamos una encuesta para poner el nombre y la edad. Estos datos son importantes para el estudio para ver cuál es el género que le da más importancia a la estética de como se ve su piel.
Tras realizar esta encuesta procedemos a realizar el estudio sin anonimizar los datos previamente y por un problema en la plataforma, hay una difusión de estos datos. Aquí encontramos diversos factores en contra ya que no han firmado antes de realizar la encuesta un consentimiento de uso de los datos, además de que ya no se están utilizando con el fin que tenían.
La sanción de este delito es de tipo leve por lo que se tendría que abonar entre 900€ y 40.000€ dependiendo de la sentencia. Esto afecta al artículo 24 del BOE:
c) Proteger la seguridad pública. d) Proteger la Seguridad Nacional.
e) Proteger los derechos y libertades de otras personas.
2. En caso de restricción de los derechos contemplados en los artículos 22 y 23, el responsable del tratamiento informará por escrito al interesado sin dilación indebida, y en todo caso, en el plazo de un mes a contar desde que tenga conocimiento, de dicha restricción, de las razones de la misma, así como de las posibilidades de presentar una reclamación ante la autoridad de protección de datos, sin perjuicio de las restantes acciones judiciales que pueda ejercer en virtud de lo dispuesto en esta Ley Orgánica.
Las razones de la restricción podrán ser omitidas o ser sustituidas por una redacción neutra cuando la revelación de los motivos de la restricción pueda poner en riesgo los fines a los que se refiere el apartado anterior.
- CASO 3.
Otro caso común hoy en día es la venta de datos personales a terceros mediante las redes sociales. Esto se lleva a cabo mediante los data brokers, son empresas que se dedican a la recopilación de datos para después venderlos a terceras empresas con fines lucrativos.
La venta de datos se puede llevar a cabo gracias a que los usuarios aceptan el tratamiento de sus datos sin saber a dónde van esos datos o qué van a hacer con ellos. Cuando los datos llegan a los data brockers, estos deciden que datos les interesan, aunque les interesen todos, ponen especial interés en los que contienen información más íntima y sensible de los usuarios.
Para llevar a cabo este proceso de captación de datos utilizan páginas web con aplicaciones de registro y cookies, es decir, cada vez que se pulsa “acepto las condiciones”, se está dando permiso a que se utilicen esos datos para cualquier fin, en este caso, la compraventa de estos.
La venta de los datos no es en sí un delito, pero si se puede considerar como delito la forma en la que se han conseguido los datos, y si, en este caso, cuenta con el consentimiento del usuario o no. Esto constituiría una sanción muy grave, la cual se debería abonar entre 300000 hasta 20 millones de euros. Se relaciona con los artículos 40, 42, 43, 19 y 46 del BOE:
En todo caso se aplicarán a los tratamientos en que consista la propia transferencia las disposiciones contenidas en dichas normas, en particular las que regulan los principios de protección de datos.”
“Artículo 42. Supuestos sometidos a autorización previa de las autoridades de protección de datos.
b) Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.
por el responsable al afectado del modo en que este podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho.
4. Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas.”
Y el artículo 46.1 del reglamento europeo:
Un ejemplo actual de esta infracción es la venta de datos de Meta a usuarios de EE. UU desde Europa, siendo sancionado con una multa de 1.200 millones de euros por incumplir las normas de privacidad de la Unión Europea.
CONCLUSIÓN.
En conclusión, hoy en día las tecnologías han hecho que la seguridad de los datos personales haya empeorado. Cada día nos metemos en más paginas web aceptando las condiciones sin pararnos a mirarlas, por lo que pueden hacer con nuestros datos lo que sea al darles nuestro consentimiento.
Al investigar hemos visto que ha habido algunos casos reales de transmisión internacional de datos, entre otros.
Dentro de la comunicación audiovisual, podemos ver que es difícil seguir todas las normas impuestas por la LOPD debido a que en este campo de audiovisuales usamos muchos videos e imágenes al día. Esto hace que pasemos por alto la importancia de la seguridad de los datos de todas las personas, haciendo que en ocasiones no contemos con su consentimiento.
¿Qué es la Ley Orgánica de Protección de Datos? (s.f.). Obtenido de geslopd: https://www.geslopd.es/ley-organica-de-proteccion-de-datos-lopd/
¿Qué es la LOPD? (s.f.). Obtenido de DATOS101: https://www.datos101.com/lopd/
¿Qué son los datos personales? (s.f.). Obtenido de Commisision Europa Eu: https://commission.europa.eu/law/law-topic/data-protection/reform/what-personal-data_e
Anonimización y seudonimización. (6 de octubre de 2021). Obtenido de aepd: https://www.aepd.es/prensa-y-comunicacion/blog/anonimizacion-y-seudonimizacion
Avelar, T. (22 de mayo de 2023). Protección de datos | Meta recibe una multa récord en Europa de 1200 millones de euros. Obtenido de euronews: https://es.euronews.com/next/2023/05/22/proteccion-de-datos-meta-recibe-una-multa-record-en-europa-de-1-200-millones-de-euroS
Berniz, A. (24 de Mayo de 2023). Datos de Carácter Personal (LOPD) para el Profesional Audiovisual. Obtenido de Medium: https://medium.com/@angel.berniz/datos-de-car%C3%A1cter-personal-lopd-para-el-profesional-audiovisual
Brechas de seguridad de datos personales: qué son y cómo actuar. (18 de septiembre de 2019). Obtenido de aepd: https://www.aepd.es/prensa-y-comunicacion/blog/brechas-de-seguridad-de-datos-personales-que-son-y-como-actuar
Infracciones y sanciones. (s.f.). Obtenido de lopd-proteccion-datos: https://www.lopd-proteccion-datos.com/infracciones-y-sanciones
Infracciones y Sanciones LOPD/RGPD, criterios, procesos y ejemplos de multas. (s.f.). Obtenido de Grupo Atico34: https://protecciondatos-lopd.com/empresas/infracciones-sanciones-lopdgdd-rgpd/#Infracciones_leves
Juliá, S. (s.f.). ¿Cuáles son las sanciones por incumplir la LOPD? Obtenido de Gadae: https://www.gadae.com/blog/cuales-son-las-sanciones-por-incumplir-la-lopd/
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. (6 de diciembre de 2018). Obtenido de Agencia Estatal Boletín Oficial del Estado: https://www.boe.es/buscar/act.php?id=BOE-A-2018- 16673
Los Data Brokers y la venta de datos personales. (s.f.). Obtenido de Grupo Atico34: https://protecciondatos-lopd.com/empresas/data-brokers/
Multa récord a Meta: tendrá que pagar 2.800 millones de dólares por mal uso de datos de usuarios. (s.f.). Obtenido de La Vanguardia: https://www.lavanguardia.com/andro4all/facebook/multa-record-a-meta-tendra-que-pagar-2-800-millones-de-dolares-por-mal-uso-de-datos-de-usuarios#:~:text=La%20empresa%20Meta%20Platforms%2C%20conocida,datos %20de%20usuarios%20en%20Europa
Porto, J. P. (8 de agosto de 2022). DEFINICIÓN DE PRIVACIDAD. Obtenido de Definicion.de.: https://definicion.de/privacidad/
Qué debe hacer un/a creador/a audiovisual para cumplir con la normativa vigente en materia de protección de datos. (s.f.). Obtenido de SingularLaw: https://www.singularlaw.es/2018/09/03/la-proteccion-de-datos-en-el-sector-audiovisual/?cn-reloaded=1
Solís, A. (10 de abril de 2018). PRIVACIDAD Y DATOS PERSONALES EN LA COMUNICACIÓN AUDIOVISUAL. Obtenido de tecnologiaaudiovisualuah: https://tecnologiaaudiovisualuah.wordpress.com/2018/04/10/primera-entrada-del-blog
Comentarios
Publicar un comentario