PUYOL-ABOGADOS BLOG

LA TRANSPARENCIA EN EL USO DE LOS NUEVOS CANALES DE COMUNICACIÓN

Oct
09

Hoy en día constituye una nueva preocupación para los empresarios, y especialmente al ámbito comercial de las empresas buscar nuevos canales y novedosas formas de dirigirse de una manera más directa, sencilla y eficaz a los clientes.

En la mayoría de los casos, el conocer de una manera más profunda quienes son nuestros clientes, que opinan sobre nuestros productos, y como impactan los mismos en la voluntad del consumidor.

Consiguientemente con ello, el estudio del comportamiento del consumidor muestra investigar los procesos por los cuales el mismo procede a buscar, comprar, utilizar, evaluar y desechar los productos y servicios que, considera, satisfarán en cada momento sus necesidades. El comportamiento del consumidor, por tanto, se muestra como una disciplina del Marketing dirigida a la forma en que los individuos toman decisiones para disponer de sus recursos disponibles (tiempo, dinero y esfuerzo) en artículos relacionados con el consumo.

Conocer el mercado, y, por tanto, tomar conciencia del comportamiento de los consumidores significa algo más que reconocerlo. Significa haber buceado en lo profundo de sus esencias y ser capaces de sintetizar y de analizar: su estructura, sus características y sus condicionantes, en el sentido de mejorar las decisiones de Marketing que le afectan.

Y significa, sobre todo, controlar los esquemas de su funcionamiento y las bases sobre las que se asienta el comportamiento de sus instituciones. Porque conociendo este comportamiento, estaremos en disposición de aplicar las técnicas y las herramientas que la ciencia del Marketing pone a nuestra disposición, para encontrar elementos multiplicadores y sinérgicos a favor recíproco de los Clientes y de las empresas.

En esta nueva perspectiva, juega un papel decisivo, tal como antes se apuntó, los canales de comunicación con el cliente, entre ellos WhatsApp, los SmS, internet el correo electrónico, y sobre todo el teléfono móvil

WhatsApp es una aplicación de mensajería instantánea para teléfonos inteligentes, que envía y recibe mensajes mediante Internet, complementando servicios de correo electrónico, mensajería instantánea, servicio de mensajes cortos o sistema de mensajería multimedia.

“WhatsApp”’ constituye un juego de palabras entre la frase en inglés “What’s up?” utilizada en lenguaje coloquial a modo de saludo (“¿Qué tal?” o “¿Cómo va?”’) y el diminutivo app de la palabra inglesa application (“aplicación”, utilizada en este caso como programa informático para teléfonos móviles). El nombre completo de esta aplicación para teléfonos móviles es WhatsApp Messenger.

El SMS constituye un servicio de mensajes cortos o servicio de mensajes simples, más conocido como SMS por las siglas del inglés: Short Message Service, y que constituye un servicio disponible en los teléfonos móviles, que permite el envío de mensajes cortos, conocidos como mensajes de texto entre teléfonos móviles.

El correo electrónico también conocido como e-mail, un término también de origen anglosajón conocido como “electronic mail”, constituye un servicio de intercambio de mensajes a través de sistemas de comunicación electrónicos.

Estos sistemas de comunicación, y otros muchos con gran arraigo social entre los consumidores, siempre terminan haciendo referencia a datos de carácter personal, protegidos por el régimen jurídico de la protección de datos. Siempre hay un número de teléfono móvil titularidad de una persona, cuyo consentimiento permite su utilización, al igual que sucede con WhatsApp, y los SMS. Un tanto de lo mismo sucede con los correos electrónicos, donde se hace preciso disponer del consentimiento para poder utilizar la dirección electrónica de cualquier persona.

Ello lleva a la reflexión de la necesidad de que, en aras de potenciar la confianza y la transparencia en la utilización de datos personales, se cuente con el consentimiento del ciudadano como titular de los mismos, y si desde una perspectiva comercial se pretende abrir el abanico de la utilización de estos nuevos canales de comunicación, es necesario hacérselo saber el aviso legal del soporte documental o electrónico donde se esté recabando los datos de un determinado titular.

En este sentido, difícilmente se puede dar cumplimiento a las exigencias derivadas de la transparencia, si a un ciudadano se le solicita exclusivamente el número de su teléfono móvil, y el mismo se emplea para enviarle SMS’s o whatsApp’s sin que haya prestado su consentimiento para recibir mensajes por medios de estos nuevos canales. Tal vez, en este sentido, el correo electrónico tiene una mayor proyección, y nadie duda de que no se pueden enviar mail´s a una persona sin el previo consentimiento del destinatario.

Por todo ello, parece recomendable desde la nueva perspectiva del Reglamento General de Protección de Datos de la Unión Europea, hacer más transparente la información que se proporciona a un consumidor, no sólo sobre sus datos personales que van a serle solicitados, sino especialmente el uso que se va a llevar a cabo de los mismos, y ello, tal como ha quedado dicho, es muy relevante sobre los canales de comunicación y acceso que se van a utilizar en las relaciones comerciales y jurídicas que van a ser entabla

El deber de secreto: Una obligación existente también en la protección de datos (I)

Sep
26

Tal como afirma el artículo 10 de la Ley Orgánica de Protección de Datos (LOPD) 15/1999, el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo (artículo 10 de la LOPD).

La LOPD trata el deber de seguridad junto con el deber de secreto cuando regula los principios de protección de datos. Por tanto, les concede a ambos una importancia central.

Legalmente tanto el responsable del fichero, como, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado (artículo 9 de la LOPD).

Ambos principios, el de seguridad y el de secreto, resultan necesarios y constituyen una garantía para el derecho fundamental a la protección de datos.

Consecuentemente con ello, existe una importante interrelación entre el deber de secreto y la seguridad en el tratamiento de los datos de carácter personal, pues en definitiva junto con las medidas de seguridad, tratan de garantizar la confidencialidad efectiva en el conocimiento de los datos vinculados a una persona concreta y determinada.

El secreto y la confidencialidad aseguran que los datos personales sólo sean conocidos por el afectado o interesado y por aquellos usuarios de la organización cuyo perfil les atribuye competencia para usar, consultar, modificar o incluir los datos en los sistemas de información, es decir, pretende fundamentalmente garantizar el derecho a la intimidad del individuo, frente a los riesgos potenciales que contra la misma, se pueden derivar del uso de sistemas informáticas, o de las tecnologías de la información y la comunicación, que la misma hoy en día lleva aparejada.

En cualquier caso, cabe establecer que el entendimiento del derecho a la intimidad que ha prevalecido antes de la difusión de las potencialidades de la informática lo identifica con la pretensión del individuo de excluir del conocimiento ajeno cuanto guarda relación con sus relaciones sexuales, conyugales, paterno-filiales y familiares, con su cuerpo, con su salud, con su muerte, con sus pensamientos, creencias, aficiones y afectos. Los distintos medios jurídicos puestos a disposición de su salvaguardia se ocupaban de ofrecer tutela penal, administrativa o civil frente a las eventuales amenazas o a las lesiones consumadas a tal derecho.[i]

Obligaciones

“Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el ‘deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo’. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática, a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30/11, y, por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto”.[ii]

Asimismo, debe tenerse presente que hoy por hoy, el incumplimiento del deber de secreto constituye infracción grave de acuerdo con lo previsto en el artículo 44.3.d) de la LOPD, en el que se indica que: “La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.

El deber de secreto trata de salvaguardar o tutelar el derecho de las personas a mantener la privacidad de sus datos de carácter personal, y en definitiva, el poder de control o disposición sobre sus datos, cuestión que constituye ahora uno de los ejes vitales del nuevo Reglamento General de Protección de la Unión Europea, donde el pretendido empoderamiento del ciudadano, y la devolución al mismo de la capacidad de decidir sobre el destino de sus datos personales, constituye un eje fundamental en la nueva normativa existente sobre esta materia.

Por todo ello, puede afirmarse que la finalidad del deber de secreto es de manera fundamental evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros o bases de datos, se lleven a cabo accesos no autorizados que permitan conocer el alcance y la información de carácter personal contenida en los mismos, o la realización de filtraciones de dichos datos sin que medie el consentimiento de los titulares de los mismos a tales efectos, garantizando en todo caso el derecho a la privacidad de las personas.

Además, el alcance de este deber de guardar el secreto sobre los datos personales que sean objeto de tratamiento, no sólo afecta al responsable del mismo, sino que tiene un carácter general, afectando, por ejemplo, a cualquier persona que intervenga en el tratamiento de los datos personales o que simplemente pueda tener acceso a los mismos, aunque no intervenga propiamente dicho en el tratamiento de dichos datos de carácter personal.

Por ello, se puede afirmar, que cualquier prestación de servicios en la que exista la posibilidad de que se produzca un acceso a datos personales, genera de forma inmediata para dicha persona de manera efectiva, la obligación de guardar secreto sobre el conocimiento que pueda albergar sobre dichos datos de carácter personal.

El deber del secreto, por tanto, constituye uno de los pilares básicos sobre los cuales se sienta hoy en día la protección de datos de carácter personal, y consiste en definitiva en dichos datos personales no puedan ser conocidos por terceros, salvo que se de cumplimiento a los condicionamientos y requisitos establecidos en la propia Ley Orgánica 15/1.999, de 13 de diciembre.

Este deber de secreto está lógicamente relacionado con el secreto profesional. En sentido objetivo se entiende por secreto, aquello que debe permanecer oculto o desconocido para terceros. Subjetivamente, es la obligación de no revelar lo conocido, que contrae aquel ha llegado a saberlo justa o injustamente.

El secreto profesional, tiene una condición moral y otra jurídica. Desde el punto de vista moral, existe el deber de guardar el hecho conocido cuando éste puede producir resultados nocivos o injustos sobre el cliente, si se viola el secreto. En el ámbito legal, debe tenerse presente que la obligación de guardar secreto profesional está recogida por la mayoría de las legislaciones, aunque no en la misma medida o con idéntico nivel de exigencia.

Pilar básico

Según el ATC de 11 de diciembre de 1989, “el secreto profesional se entiende como la sustracción al conocimiento ajeno, justificado por razón de una actividad, de datos o informaciones obtenidas que conciernen a la vida privada de las personas”.

Una cuestión espinosa, sin lugar a dudas, es la determinación jurídica sobre dónde se encuentran los límites de la confidencialidad o de la obligación de guardar secreto. La confidencialidad es un derecho que se debe preservar a toda costa, y puede ser considerado como un vínculo invisible entre dos personas, como un pacto tácito de complicidad que permite la comunicación de lo más íntimo, de lo que uno no desea que se ha conocido la esfera pública, pero tiene necesidad de comunicar, sabiendo que tal información no va ser revelada [iii].

Así, se puede afirmar, que es posible pero no constituye una obligación  revelar información confidencial sin contar con el consentimiento del interesado, por ejemplo, en los supuestos en los que exista un imperativo legal; en los hechos que sean verdaderamente trascendentes, y en aquellos acontecimientos cuya declaración sea obligatoria; y, al mismo tiempo, cuando existan  graves y fundadas razones ello, entre las que se encuentran aquellos casos en los que se pretenda razonablemente evitar un daño grave a terceras personas, al propio interesado o titular de la información, o incluso ante un serio peligro de carácter colectivo.

La Ley Orgánica 15/1999 (LOPD) frente al eventual uso desviado de la información o datos de carácter personal que legítimamente se pueden recabar u obtener, impone un deber específico de secreto profesional, incluso después de finalizadas sus tareas al respecto, al responsable del fichero automatizado, y a quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal.

Se puede afirmar que constituye una exigencia elemental y anterior al propio reconocimiento del derecho fundamental al habeas data, y como antes ya se indicó, no constituye una obligación de carácter absoluta, ya que la propia normativa se establecen límites a este deber de confidencialidad por secreto como pueden ser los previstos en el artículo 11 de la propia LOPD con relación a la cesión de datos, cuando por ejemplo exista una obligación legal de ceder datos, o que se determine una obligación contractual donde se pacte de manera expresa el acceso a los datos por cuenta de terceros a los que se refiere artículo 12 de dicho Cuerpo Legal.

Así en el artículo 11.2 de la LOPD, Al igual que sucede con su obtención, en principio, la comunicación de los datos personales solamente puede producirse para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario. Requiere, además, la conformidad previa del afectado a quien se le ha de solicitar en términos concretos, poniéndole de manifiesto, con absoluta claridad, quién es el cesionario y la finalidad que se pretende con la cesión. Naturalmente, el consentimiento es revocable y el cesionario está obligado a observar todas las disposiciones de la ley.

Existen, sin embargo, varios casos en los que, según el artículo 11.2, no es preciso el consentimiento para que se pueda producir de una manera legal y plenamente ajustada a derecho, la comunicación de los datos personales, pertenecientes a un titular de los mismos concreto y determinado. Tales supuestos son los siguientes:

  • a).  Cuando una Ley prevea otra cosa.
  • b). Cuando se trate de datos recogidos de fuentes accesibles al público.
  • c). Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho fichero con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
  • d). Cuando la comunicación que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal o los Jueces y Tribunales, en el ejercicio de las funciones que tienen atribuidas. Tampoco será necesario el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
  • e). Cuando la cesión se produzca entre las Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
  • f). Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Todos estos supuestos revelan que el secreto en la protección de datos de carácter personal tiene límites, que se encuentran en función de las circunstancias concurrentes en cada tratamiento, los cuales deben ser interpretados de conformidad con aquellos supuestos, en los que como ha quedado dicho, se encuentran expresamente liberados de la observancia del consentimiento de titular de dichos datos.

Javier Puyol

Publicado en Confilegal 25/09/2017


[i] Cfr.: LUCAS MURILLO, Pablo. “La comunicación de Datos entre Administraciones Públicas, y la Protección de Datos de Carácter Personal en el ámbito local”. Barcelona, 6 de junio de 2.003

[ii] Cfr.: AGENCIA ESPAÑOLA DE PROTECCION DE DATOS. PS/00192/2008, y Sentencias de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de fechas 18 de febrero de 2002 y de 1 de febrero de 2006).

[iii] Cfr.: TORRALBA ROSELLO, Frances. “¿Cúales son los límites de la Confidencialidad?”. La Vanguardia 3 de octubre de 2.009.

¿CUAL ES EL PERFIL DE UN CIBERDELINCUENTE?

Sep
03

Los ciberdelincuentes, son personas que realizan actividades delictivas en internet como robar información, acceder a redes privadas, estafas, y todo lo que tiene que ver con los delitos e ilegalidad[i].

Muchas son las actividades delictivas que un ciberdelincuente puede llevar a cabo, pero las mismas suelen centrarse fundamentalmente en los ataques a sistemas informáticos y la realización de cualquier acto de piratería, la comisión de fraudes o actos de falsificación, así como la publicación de cualquier clase de contenidos ilegales.

Según datos públicamente reconocidos, aproximadamente el 76% de los ciberdelincuentes son hombres, cuyas edades oscilan entre los 14 (un 8%), y los 50 años (un 11%), determinándose que la edad promedio de este tipo de delincuentes es habitualmente la de 35 años (con un 43%).

El perfil de los delincuentes informáticos se caracteriza normalmente por el hecho de que, o bien son personas que saben cómo utilizar la tecnología con dolo para cometer un delito; o de manera alternativa, porque que quieren robar información, cometer un delito de cualquier clase, o sacar algún beneficio normalmente de índole o naturaleza económica, y para ello, se ayudan de la tecnología como instrumento eficaz para poder llevarlo a cabo.

Normalmente en la actuación de un ciberdelincuente existe un nexo común, que hace referencia a haber encontrado el camino o la forma de vulnerar los sistemas informáticos, y al mismo tiempo, conoce la manera profunda el modo de usar la tecnología para extraer la información que necesita de una persona, de una empresa o de una organización, pero eso no supone obviar la actividad que puede ser desarrollada por aquellas personas, que si bien no son tan expertas en el conocimiento de dichos sistemas, si que conocen las vulnerabilidades existentes en la seguridad tecnológica de una empresa, y sobre esta base las aprovechan en cada momento para extraer los datos o la información que buscan, o, que pretenden sustraer.

Una de las cuestiones fundamentales en el seno de cualquier empresa u organización, hace referencia al hecho, que hace referencia a la necesidad de detectar anticipadamente a la persona del ciberdelincuente que pertenece a la propia organización, al que habitualmente se le denomina con la expresión de “insider”, el cual, no sólo va a tener el conocimiento suficiente para diferenciar y concretar aquella  información que le interesa, sino que va a disponer de los diferentes medios para su obtención, los cuales van estar de ordinario a su alcance.

En este sentido, el uso de las memorias USB, el correo electrónico, los sistemas de almacenamiento en la nube, la aplicación de programas o software tipo Keyloggers, constituyen de manera habitual, los medios para la obtención de la información pretendida.

En todo caso, el perfil del ciberdelincuente responde principalmente a algunos de los siguientes comportamientos o factores de riesgo característicos, y que por otra parte son muy en este tipo de actuación[ii], y que son los que se indican a continuación:

  • a). Una persona que tiene un mediano o alto conocimiento de computadores y redes en general.
  • b). Un sujeto con avanzados conocimientos técnicos o informáticos en general  por encima del promedio (v.gr. cambio de IP, uso de programas Keyloggers, o de navegadores  inusuales entre otros).c) Una persona que aprovecha espacios sociales para preguntar por datos de clientes y demás información de uso restringido.
  • d). Una persona que instala programas espías sin autorización.
  • e). Un sujeto que desactiva el software antivirus en su equipo de trabajo.
  • f). Una persona que hace uso sin autorización de ordenadores o dispositivos de los demás miembros de la organización.
  • g). Cualquier empleado que se queda a trabajar en horario extra de oficina sin dar la oportuna justificación.

En la práctica, se suele atribuir el mismo significado a los términos “ciberdelincuente” y “hacker”, y sin embargo, ello no es del todo punto cierto. Un hacker es simplemente una persona con altos conocimientos computacionales que utiliza sus capacidades y habilidades para descubrir vulnerabilidades en las redes y sistemas informáticos[iii].

La motivación primordial de un hacker es la búsqueda del conocimiento per se, y el respeto de la “Comunidad  Hacker”, pero un hacker, y por ello, no tiene porque ser efectivamente un ciberlincuente.

Normalmente un hacker está constituido por una persona que es amante de la informática que sólo persigue el conocimiento y su difusión, pero al mismo tiempo, desea saber cómo funcionan las cosas. Es un individuo curioso por naturaleza, que se caracteriza por compartir sus descubrimientos con el resto de la comunidad internauta[iv].

En muchas ocasiones confundir ambos términos constituye una ofensa para los “hackers”, pues se les atribuyen unas características peyorativas y delictivas que no se corresponden en absoluto con la realidad.

Por ello, la utilización del término correcto del delincuente que desarrolla su actividad en internet, se encontraría más próximo al uso de las siguientes expresiones: “ciberdelincuentes” o “piratas informáticos” o “delincuentes cibernéticos”, o incluso podrían ser caracterizados con la expresión “crackers” ya que, si bien tanto el hacker como el cracker son expertos en colarse en sistemas, el segundo lo hace con propósitos ilícitos.


[i] Cfr.: “¿Qué son los ciberdelincuentes?.. Seguridadpc.net. http://www.seguridadpc.net/conceptos/los-ciberdelincuentes.html

[ii] Cfr.:   GALLO, Toni. “Conozca el perfil de un ciberdelincuente, según Digiware” El heraldo. 3 de mayo de 2.016. https://www.elheraldo.co/tecnologia/conozca-el-perfil-del-ciberdelincuente-258538

[iii] Cfr.: DUARTE. Eugenio. “La diferencia entre Hacker y Cibercriminal”. Capacity. 24 de junio de 2.013. http://blog.capacityacademy.com/2013/06/24/la-diferencia-entre-hacker-cibercriminal/

[iv] Cfr.: SIERRA, Marcos. “No confundas un hacker con un ciberdelincuente. No son lo mismo”. Voz Populi. 13 de mayo de 2.017. http://www.vozpopuli.com/altavoz/tecnologia/Hacker-ciberdelincuente-diferencias_0_1025897578.html

 

A %d blogueros les gusta esto: