viernes, 9 de febrero de 2018

CRITERIOS SANCIONADORES QUE USARAN LAS AUTORIDADES DE PROTECCION DE DATOS AL IMPONER SANCIONES

11 criterios sancionadores que usarán las autoridades de protección de datos al imponer sanciones

  • Sin duda, el tema de las sanciones es uno de los que más ha llamado la atención en la nueva regulación establecida por el RGPD. Te ofrecemos a continuación los criterios orientativos para determinar la imposición de una multa y la cuantía de la misma establecidos por el GT29, criterios que pueden ofrecer cierta previsibilidad sobre las consecuencias de una infracción a los responsables y encargados del tratamiento de datos.
Ante las grandes divergencias entre los regímenes sancionadores nacionales de la UE y a la vista de las cláusulas abiertas previstas en el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (en lo sucesivo, RGPD), el Grupo de trabajo del art. 29 (en adelante GT29) adoptó en octubre de 2017 unas Directrices sobre la aplicación y fijación de multas administrativas a efectos del RGPD (LA LEY 6637/2016).
El GT29 ha indicado hasta once criterios orientaciones para determinar la imposición de una multa y la cuantía de la misma. Se trata de unos criterios que, si bien se dirigen a las autoridades de supervisión, son de especial interés también para los responsables y encargados del tratamiento, pues les permite poder tener cierta previsibilidad sobre las consecuencias de una infracción y, al mismo tiempo, seguridad jurídica.
Un análisis detallado de las sanciones en el RGPD, así como de todas las novedades que ofrece esta trascendental norma de aplicación directa en todos los Estados miembros de la Unión Europea, puedes encontrarla en el «Especial Protección de datos. Guía para afrontar la nueva regulación», 
Te ofrecemos a continuación las pautas previstas en el art. 83.2 del RGPD (LA LEY 6637/2016) que ha desarrollado el GT29 en los siguientes términos.
RGPD (LA LEY 6637/2016): Criterios del GT29 para determinar las multas y su cuantía
1 Naturaleza, gravedad y duración de la infracción
Al margen de la aparente contradicción en clasificación de infracciones graves y leves en el RGPD (LA LEY 6637/2016) y leves, graves y muy graves en el Anteproyecto de LOPD, las autoridades de supervisión tendrán que evaluar, separada o conjuntamente: a) por una parte, si se ha producido una infracción y; b) por otra parte, la sanción, ya sea una multa administrativa u otra, pudiendo ser esta última independiente o complementaria a la primera.
La gravedad de la infracción debe evaluarse en combinación con otros factores, incluyendo el GT29 en sus directrices los relativos al número de afectados, a la finalidad del tratamiento y al daño.
El GT29 considera que la duración puede ser indicativa de: a) una conducta intencionada del responsable del tratamiento, b) un fallo en la adopción de medidas preventivas apropiadas, o c) la incapacidad de adoptar las medidas técnicas y organizativas requeridas
2
Intencionalidad o negligencia en la infracción
Un ejemplo de infracción intencional que se apunta en las directrices es el relativo a la venta de datos personales para fines de marketing cuando se haga como si se hubiera obtenido el consentimiento (opt-in) sin comprobar o desatendiendo las consideraciones de los interesados sobre cómo deberían ser utilizados sus datos.
3
Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados
El GT29 apunta que la adopción de medidas o la falta de adopción de las mismas debe ser tenido en consideración por la autoridad de supervisión al decidir sobre la medida correctiva y el cálculo de la sanción que se imponga.
4
Grado de responsabilidad del responsable o encargado del tratamiento, según medidas técnicas u organizativas que hayan aplicado ex arts. 25 (LA LEY 6637/2016) y 32  RGPD (LA LEY 6637/2016)
El GT29 destaca que el RGPD (LA LEY 6637/2016) ha introducido un nivel mucho mayor de responsabilidad (accountability) para el responsable. Se concreta en la adopción de medidas técnicas y organizativas e implica que debe evaluar de manera constante los medios a los que recurre sobre la base de las conclusiones derivadas de las correspondientes evaluaciones. Hay que preguntarse, en qué medida el responsable «hizo lo que se podía esperar que hiciera» considerando la naturaleza, las finalidades o el tamaño de la organización, en virtud de las obligaciones impuestas por el RGPD (LA LEY 6637/2016), así como las buenas prácticas, los códigos de conducta y las certificaciones.
5
Toda infracción anterior cometida por el responsable o el encargado del tratamiento (reincidencia)
Toda infracción del RGPD (LA LEY 6637/2016), en sentido amplio, sería «relevante», tal y como resalta el GT29, para que la autoridad de supervisión realice su evaluación sobre si el responsable o el encargado del tratamiento tienen un nivel general de conocimiento insuficiente o son indiferentes ante las normas sobre protección de datos personales.
6
Grado de cooperación con la autoridad de control para poner remedio a la infracción y mitigar posibles efectos adversos de la infracción
Según el GT29, y ante el silencio del RGPD (LA LEY 6637/2016), dicha cooperación se deberá tener en consideración por las autoridades de supervisión a la hora de calcular la multa administrativa que se impondrá.
No obstante, cuando el responsable del tratamiento adopte medidas para evitar consecuencias en los derechos de las personas o minimizar el impacto que su infracción hubiera tenido en otro caso, entonces sí se tendrá en consideración para decidir sobre el tipo de medida correctiva sobre el mismo.
7
Categorías de los datos de carácter personal afectados por la infracción
El GT29 incluye cuestiones tales como si los datos personales están directamente disponibles sin medidas técnicas de protección o si se han cifrado, siendo esto más bien una cuestión relativa a las medidas técnicas que hubieran adoptado el responsable y encargado del tratamiento para proteger los datos personales y no a las categorías de datos personales afectados por la infracción
8
Forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida
En particular, el GT29 indica: a) por una parte, que la mera notificación de una violación de la seguridad de los datos personales no puede ser considerada como una atenuante o factor que mitigue la sanción por tratarse del cumplimiento de una obligación y; b) por otra parte, que debe considerarse la falta negligente de notificación o una notificación incompleta no puede dar lugar a que se cualifique la infracción como leve.
9
Cumplimiento de las medidas del art. 58.2 RGPD (LA LEY 6637/2016), cuando hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto
El GT29 recuerda a las autoridades de supervisión que tengan en cuenta las medidas previas que hubieran adoptado en relación con el responsable o encargado del tratamiento, así como los contactos previos, haciendo referencia expresa al delegado de protección de datos
10
Adhesión a códigos de conducta o a mecanismos de certificación
Como se ha señalado en el criterio 4, demuestran el grado de compromiso del responsable y encargado de tratamiento. Se regulan en los arts. 40 (LA LEY 6637/2016) y 42 RGPD (LA LEY 6637/2016), respectivamente.
11
Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso.
Por ejemplo, indica el GT29, los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción. En relación con esta previsión, el GT29 destaca que la obtención de un beneficio económico puede ser una prueba relevante de que debería imponerse una multa.
Fuente: Las sanciones en el RGPD (LA LEY 6637/2016): comentarios a las Directrices del Grupo de trabajo del artículo 29, Miguel RECIO GAYO (Diario La LEY, No 12, Sección Ciberderecho, 29 de Noviembre de 2017, Editorial Wolters Kluwer)

 
Posted by at No hay comentarios:
Labels:

NO CAMBIES CONTRASEÑA DE FACEBOOK DE TU EX, PUEDES COMETER UN DELITO!

Aunque estés tentado, no cambies la contraseña de Facebook de tu ex, puedes cometer un delito de revelación de secretos

 
 
  • 8-2-2018 | Wolters Kluwer
  • Un joven orensano ha sido condenado a 16 meses de prisión por un delito de descubrimiento y revelación de secretos y a una multa de 1.440 euros por acceder al Facebook de su ex novia y cambiarle las contraseñas, además de hacerse con el control de todas las demás cuentas, incluido su correo electrónico y hacerse pasar por ella. También deberá indemnizarla con 300 euros por daños morales.
Jurisprudencia comentada
Ir a Jurisprudencia APOR, Sección 2ª, S 388/2017, 11 Dic. 2017 (Rec. 713/2017)

CIBERSEGURIDAD
Isabel Desviat.- La frustración no asimilada por una ruptura sentimental puede traer malas consecuencias. La venganza puede ser muy tentadora, como le ocurrió a este joven, que tras romper su relación sentimental con una chica, aprovechó, desde el ordenador de su progenitora, a acceder al perfil de su antes novia y cambiar la contraseña de acceso, entre otras cosas.
La Audiencia Provincial de Orense, en sentencia del pasado 11 de diciembre (SAP Orense 388/2017, de 11 de diciembre (LA LEY 195787/2017)) ha confirmado la condena impuesta por el Juzgado de lo Penal de 16 meses de prisión, y pena de 16 meses de multa (un total de 1.440 euros), más una indemnización por daños morales de otros 300 euros.
Control de las cuentas
Según se constata en la sentencia, el chico desde el ordenador familiar, accedió al contenido de la cuenta de Facebook de su ex novia, con la que había roto relaciones, y procedió a cambiar las contraseñas de acceso, haciéndose además con el control de las demás cuentas pertenecientes a su ex, como la del correo de Yahoo.
Esto tuvo como consecuencia que la chica no podía entrar a su propia cuenta y deshacer las interceptaciones de sus telecomunicaciones. El acusado se hizo pasar por su novia, accediendo además a los perfiles de las personas agregadas, manteniendo conversaciones, como si fuera su ex, con un antiguo compañero de estudios de ella, incluso quedando para ir al cine.
El acusado negó los hechos
El joven negó ser responsable de los hechos, porque conectarse a una IP de otra persona era cosa muy sencilla. Alegó que en su casa se utilizaba un router doméstico, con una red wifi con una seguridad ni mucho menos inviolable. Así que era perfectamente posible que hubiera sido hackeada.
Según consideró la defensa, el titular de la conexión no tiene por qué ser la persona que haya llevado a cabo los hechos.
Existencias de pruebas de cargo suficientes
La Audiencia considera que existen pruebas de cargo suficientes para acreditar la culpabilidad, puntualizando que en lo relativo a un posible hackeo de su router doméstico, se trata de una mera alegación sobre un posible escenario, pero nada hace sospechar dicha posibilidad. Por otra parte, se procedió al examen del ordenador del condenado y se descartó la utilización de sus puertos por una tercera persona.
El uso de la IP ya constituye un indicio objetivo, a lo que hay que añadir que el acusado había mantenido una relación sentimental con la denunciante, que desde su domicilio se hizo con el control de sus cuentas, contactando con personas que habían incidido en la vida sentimental de su ex novia…. En fin, que el objeto de la intrusión era conocer las relaciones que la joven sostenía y los contenidos de su correo electrónico.
Las actividades que el condenado llevó a cabo solo pueden explicarse desde una motivación afectiva o de venganza, que desde luego no son propias de un tercero que no tuviera una relación con la joven denunciante.
Daños morales
La Audiencia confirma también la indemnización de 300 euros a favor de la víctima que impone el Juzgado de lo Penal. Se trata a su juicio de una cantidad mínima, justificada en la privación del uso de las cuentas de Faceboo, y Yahoo, y sobre todo por el daño que se le ocasionó al conocer el acusado de sus mensajes y contenidos, y como no, de la realización de actos para suplantar su identidad. La indemnización incluso es tachada de escasa por la Audiencia.
 
 
Posted by at No hay comentarios:
Labels:

viernes, 2 de febrero de 2018

PENSION DE VIUDEDAD A LAS DOS ESPOSAS DE UN MARROQUI POLIGAMO.

  • El TS reconoce la pensión de viudedad a las dos esposas de un marroquí polígamo
    •  

    El TS reconoce la pensión de viudedad a las dos esposas de un marroquí polígamo

    Tribunal Supremo, Sala de lo Contencioso-Administrativo, Sentencia 24 Enero 2018

     
    La situación de poligamia del causante no impide, por motivos de orden público, que se conceda la pensión a todas las mujeres simultáneamente casadas con él conforme a su ley personal.
    Tribunal Supremo, Sala de lo Contencioso-Administrativo, Sentencia 84/2018, 24 Ene. Recurso 98/2017 (LA LEY 613/2018)
    El Alto Tribunal, con un voto particular, ha reconocido la pensión de viudedad a la segunda mujer de un marroquí polígamo que sirvió como soldado para el Ejército español en el Sáhara y que al tiempo de fallecer percibía una pensión de retiro, y a cuya primera esposa ya le había sido reconocida en vía judicial. Estima así el recurso de casación que interpuso aquélla contra la sentencia del TSJ Madrid que confirmó la resolución del M.º Defensa que le denegó la pensión, y que fue admitido a trámite por auto 21 Mar. 2017 (LA LEY 15027/2017) al apreciar el Supremo que las cuestiones suscitadas revestían interés casacional.
    Señala la Sala que no resulta aplicable al caso, para determinar si la situación de poligamia es contraria o no al orden público, el criterio jurisprudencial que alude a los efectos que tal situación tiene a la hora de reconocer o no a un extranjero la nacionalidad española, y que es claramente contrario a tal posibilidad por valorar que esa situación constituye un dato de especial y determinante relevancia que acredita la inexistencia de un grado suficiente de integración en la sociedad española. Subraya en este sentido que es el propio Estado Español quien, como sujeto de derecho internacional y a pesar de la proscripción del matrimonio polígamo en nuestro ordenamiento jurídico, admite un determinado efecto a dicho matrimonio en el art. 23 del Convenio de Seguridad Social entre España y Marruecos (LA LEY 2374/1979), como es que las sucesivas esposas del trabajador marroquí causante de la pensión puedan ser en España beneficiarias de esa pensión generada por el esposo polígamo, siempre que fuesen beneficiarias de dicha prestación según la propia legislación marroquí.
    A juicio del Tribunal, la existencia de dicho Convenio internacional de carácter bilateral pone de relieve que en nuestro propio ordenamiento jurídico existe un concreto efecto reconocible para los matrimonios polígamos de súbditos marroquíes y, por tanto, si el Estado Español reconoce esos efectos "atenuados" a las situaciones de poligamia de súbditos marroquíes, no es acertado oponer la cláusula general de orden público al reconocimiento de la condición de beneficiarias de la pensión de viudedad.
    Concluye así que la constatación de una situación de poligamia de un súbdito marroquí no impide, por razones de orden público, el reconocimiento del derecho a una pensión de viudedad en el régimen de clases pasivas del Estado, regulado por RDLeg. 670/1987 de 30 Abr (LA LEY 1012/1987)., a favor de todas las esposas que, de acuerdo con su ley personal, estuvieran simultáneamente casadas con el causante perceptor de una pensión con cargo al Estado español.
    Añade que el art. 23 del Convenio, por la posición jerárquica que tiene en nuestro ordenamiento jurídico tras ser publicado en el BOE de 13 Oct. 1982 y por el reconocimiento que le otorga el art. 96 CE (LA LEY 2500/1978), permite que por vía interpretativa se pueda ampliar o extender la condición de beneficiarias de pensión de viudedad en el régimen de clases pasivas del Estado a todas las esposas que, de acuerdo con su ley personal, estuvieran simultáneamente casadas, en una situación de poligamia, con el causante perceptor de una pensión con cargo al Estado español que tenga origen marroquí, y que fuesen beneficiarias de la pensión según la legislación marroquí.
    Finalmente, en lo que se refiere al cálculo del importe de la pensión, indica el TS que ha de acudirse al referido art. 23, de manera que ha de efectuarse partiendo de que la pensión se distribuye por partes iguales entre las viudas que hayan estado simultáneamente casadas con el mismo causante.
    Posted by at No hay comentarios:
    Labels:
    Suscribirse a: Entradas (Atom)