Nuestro Blog

"COMPLIANCE" NO SIGNIFICA CUMPLIR  05-12-2016
El sistema debe ser diseñado desde un punto de vista de organización de empresa, desde el conocimiento de sus procesos de trabajo, sus riesgos asociados, etc. y no desde un punto de vista jurídico. El hecho de que el incumplimiento genere una responsabilidad jurídica no implica que evitarlo sea un tema jurídico, es un tema organizativo.

¿NOS CUESTA ENTENDER EL COMPLIANCE EN ESPAÑA?  05-12-2016
Ya no resulta difícil adecuar las estrategias de las empresas al cumplimiento de las normas y eso a pesar de un entorno jurídico cada día más complejo. Implantar y controlar un eficaz sistema de cumplimiento, COMPLIANCE, incide de forma directa y positiva en el crecimiento económico de las organizaciones. Este, posiblemente, sea el único argumento de peso que nos llegue a hacer comprender la eficacia de un sistema COMPLIANCE, que su implantación y resultados no sean el resultado de la observación del éxito de otros, sino de nuestro propio éxito.

El Reglamento europeo de protección de datos y la concienciación entre ciudadanos y entidades centrarán las actuaciones de la AEPD en 2017  05-12-2016
La AEPD ha presentado el balance del primer año de su Plan Estratégico y las líneas prioritarias para 2017, entre las que destacan nuevas vías y materiales para informar a los ciudadanos de sus derechos, así como herramientas sencillas para que las entidades obligadas puedan cumplir con la nueva legislación.

INFORME SOBRE TIPOLOGIAS DE BLANQUEO DE CAPITALES  01-12-2016

LAS EMPRESAS, OBLIGADAS A REGISTRAR LA JORNADA DE TRABAJO DE SUS EMPLEADOS  01-12-2016
La Sala de lo Social de la Audiencia Nacional, en su reciente sentencia de 6 de mayo de 2016, nos recuerda la obligación que, de acuerdo con el artículo 35.5 del Estatuto de los Trabajadores, tienen todas las empresas de registrar día a día la jornada de trabajo de los trabajadores. Las empresas, además, han de entregar a cada trabajador la información que le competa sobre dicho registro, totalizando la información que corresponda en el período fijado para el abono de las retribuciones. Es decir, el trabajador tiene derecho a recibir de la empresa información sobre las horas que ha realizado durante el mes, si es que cobra mensualmente.
Esta entrega de información, parafraseando a la Audiencia Nacional, tiene por objeto procurar al trabajador un medio de prueba documental que facilite la acreditación, de otra parte siempre difícil, de la realización de horas extraordinarias, cuya probanza le incumbe.
Así mismo recuerda que los Inspectores de Trabajo no pueden controlar si se superan o no los límites de la jornada ordinaria, si no existe el registro de jornada diaria regulado en el artículo 35.5 del Estatuto de los Trabajadores, cuya finalidad es registrar la jornada diaria.
En su Sentencia de 6 de mayo de 2016, la Audiencia Nacional (AN) ha confirmado su doctrina previa establecida en las sentencias de 4 de diciembre de 2015 y de 19 de febrero de 2016, así como la ya fijada por el Tribunal Supremo, en relación con la obligación de la empresas de establecer un sistema de registro de la jornada diaria efectiva que permita conocer no sólo la realización de las horas extraordinarias, en su caso, sino también la duración de la jornada ordinaria.
No nos encontramos, por tanto ante una nueva obligación, pero si, posiblemente, ante una mayor necesidad de información fruto de los distintos sistemas de jornadas vigentes en la actualidad: jornada flexible, distribución irregular, extensiones de jornada, reducciones de jornada... que hacen más necesario que los controles que se han venido haciendo por las empresas, lleguen al trabajador.
En las sentencias se analizan una serie de conflictos colectivos, donde los sindicatos demandantes reclaman a las empresas el cumplimiento del art. 35.5 del Estatuto de los Trabajadores, que obliga al registro de la jornada, día a día, de los trabajadores, a efectos del cómputo de las horas extraordinarias, así como de la DA 3ª del Real Decreto 1561/1995, relativo al derecho de los representantes de los trabajadores a ser informados mensualmente sobre las horas extraordinarias realizadas.
Las empresas entienden que no han incumplido la legislación ya que no habiendo horas extraordinarias no debían informar a los representantes de los trabajadores, sin embargo, se recuerda a las empresas: la obligación de tener un sistema de registro de las horas día a día, la obligación de informar a los trabajadores y, por último, la obligación de tener dicha información accesible para la inspección.
Estas Sentencias no han de pasar desapercibidas, ya que de una forma totalmente clara nos recuerda la obligación de las empresas de contar con un sistema de registro de la jornada diaria, independientemente que se realicen o no horas extraordinarias y a informar mensualmente tanto a los trabajadores, con las consecuencias prácticas que implica el establecimiento de estas medidas y el impacto que pueden tener incluso respecto de los sistemas de control de acceso establecidos en los centros.
Marta Alamán

Socia de Laboral de PwC Tax & Legal Services
Más artículos de PWC
11:22
11:12
11:08
SUSCRÍBETE
Personaliza la información económica que quieres recibir por secciones.

LOS 5 MÉTODOS MÁS SEGUROS PARA ALMACENAR CONTRASEÑAS  29-11-2016
Aprender a gestionar nuestras claves de las cuentas de redes sociales o páginas web es fundamental.

DELEGADO DE PROTECCION DE DATOS EN 7 PREGUNTAS CLAVE  28-11-2016
Empresas y Administraciones Públicas deben tener esta figura regulada.

ERRORES MÁS COMUNES DE UNA PYME CON LA LOPD  28-11-2016
Los directivos y emprendedores están acostumbrados a proceder sin tener en cuenta la LOPD, lo que les expone a sanciones por parte de la Administración.

CAMBIOS EUROPEOS EN MATERIA DE MARCAS  28-11-2016
El nuevo Reglamento persigue promover el uso de marcas en las pymes.
A partir de ahora, las marcas podrán representarse en cualquier forma que se considere adecuada usando la tecnología disponible, siempre que dicha representación sea clara, precisa, autosuficiente, accesible, inteligible, duradera y objetiva.

LAS DIRECCIONES IP DE LOS USUARIOS DE INTERNET DEBEN SER CONSIDERADAS COMO DATOS PERSONALES Y POR TANTO, ESTÁN PROTEGIDOS POR LA LOPD  25-11-2016
La Sección Sexta de la Sala de lo contencioso-administrativo del Tribunal Supremo ha dictado una sentencia de fecha 3 de octubre de 2014 (recurso número 6153/2011), por la que establece una interesante doctrina sobre la consideración de la claves IP, a efectos de la protección de datos de carácter personal.
La sentencia estima, con base en la STJUE de sentencia de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10, caso ASNEF), que  las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.
Al no producirse la imposibilidad de informar a los intersados del tratamiento de sus direcciones IP, ni exigir dicho trámite un esfuerzo desproporcionado al obligado al mismo,  no concurren los motivos exigidos para aplicar la exención del deber de informar al interesado del tratamiento de sus datos.
Además, no cabe presumir, de forma segura e indudable, tal como exige el artículo 6 de la LOPD que los interesados han otorgado su consentimiento para el tratamiento de sus datos por el hecho de conectarse a una red P2P.
El hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida, no  significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma  específica el tratamiento de sus datos que pretende la parte recurrente. Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.
Igualmente la sentencia señala que los 138.3, 139.1 h) y 141.6 de la Ley de Propiedad Intelectual (RDLegislativo 1/1996), no contienen ninguna habilitación, ni referencia expresa, a la dispensa del consentimiento de los interesados para el tratamiento de sus datos, como tampoco lo hace el artículo 24 CE al garantizar el derecho a obtener la tutela efectiva de los jueces y tribunales. Pues, "Cuando una norma jurídica establece excepciones a las prohibiciones de tratamiento de datos sin el consentimiento del interesado, es exigible que lo efectúe de una forma precisa, como sucede con las excepciones previstas en los apartados 2 y 5 del artículo 6 de la Directiva 2002/58, que se refieren al tratamiento de los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones, o de la lucha contra el fraude, entendiendo por tal, de acuerdo con el considerando 29 de la Directiva, el consistente en la utilización sin pago de servicios de comunicaciones electrónicas, pues una habilitación legal tácita o implícita para tratar datos personales sin consentimiento del titular, en los términos que pretende la parte recurrente, no es conforme con el contenido del derecho a la protección de datos como derecho fundamental, con un régimen de especial protección en la CE."
Además, resuelve que, de acuedo con la STJU ... "no cabe añadir ningún otro requisito de carácter excluyente a los dos requisitos acumulativos contemplados en el artículo 7.f) de la Directiva 95/46/CE para la realización de un tratamiento de datos, si bien es admisible que, en la ponderación de los intereses en conflicto a que se refiere el segundo de los requisitos mencionados, se valore si los datos personales de que se trate figuran en fuentes accesibles al público." 
Si bien matiza que "sin perjuicio de lo anterior, los razonamientos de la sentencia impugnada sobre las fuentes de procedencia de los datos objeto de tratamiento, han de entenderse en el contexto en que se producen, que era el de respuesta a la concreta alegación de la demanda, que propugnaba una interpretación en sentido amplio de la expresión “fuente accesible al público” del artículo 6.2 LOPD, equiparando las redes P2P a los medios de comunicación e incluyéndolas entre estos, sin que la sentencia recurrida aceptara esta interpretación amplia, por considerar que, tanto el artículo 3.1.j) LOPD como el artículo 7 de su Reglamento de desarrollo, contienen una lista exhaustiva o cerrada de lo que deben considerarse fuentes accesibles al público, en la que no se incluye internet."
Por último, la Sala determina que "que no es posible entregar las direcciones IP a una entidad privada, como la recurrente, que “ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas”, lo que llevó a la sentencia recurrida a estimar reforzada su conclusión, razonada en los fundamentos precedentes, sobre la improcedencia de la pretensión de la parte recurrente."


Los hechos
La parte recurrente  presentó un escrito ante la AEPD en el que solicitó, al amparo del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales.
La AEPD acordón no autorizar dicha exención y la la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictó sentencia desestimatoria del recurso contencioso administrativo interpuesto contra dicha decisión, contra la que se ha interpuesto recurso de casación.
La sentencia
Por su interés reproducimos los principales fundamentos de derecho Octavo de la sentencia, de la que ha sido ponente el magistrado señor del Riego Valledor:
"CUARTO.- Como hemos indicado, el segundo motivo del recurso de casación sostiene que la sentencia recurrida se equivoca cuando sienta la premisa de que las direcciones IP son datos de carácter personal, pues para la parte recurrente las direcciones IP que pretende tratar no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP  que PROMUSICAE pretende tratar constituyan datos personales, haciendo la sentencia recurrida una lectura equivocada de la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008.
Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C-275/2006.
La Sala comparte y hace suyos los razonamientos de la Sala de instancia.
De acuerdo con el escrito de solicitud de la exención del deber de informar del tratamiento a los titulares de los datos (folio 3 del expediente administrativo), el tratamiento de datos que PROMUSICAE pretende llevar a cabo se refiere al nombre de usuario, la dirección IP, el día y la hora en que se realicen de forma masiva los actos de puesta a disposición de fonogramas o videos musicales, el número de archivos protegidos que ese usuario tenía a disposición del público en su carpeta compartida, los títulos de los fonogramas y videos musicales que ponía a disposición del público y el nombre del artista.
Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD, ya que contienen información concerniente a personas físicas “identificadas o identificables”. El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que “se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación…".
No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.
La sentencia recurrida cita, en apoyo de su tesis de que las direcciones IP son datos personales, la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 (asunto C-275/06), recaída en una petición de decisión prejudicial planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento promovido por la aquí parte recurrente, contra un proveedor de acceso a internet (Telefónica de España, SAU), para que le comunicase los nombres y direcciones de determinados usuarios de internet. En relación con dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la condición de datos personales de los que eran objeto de la pretensión de la parte recurrente en el litigio principal, es decir, los nombres y direcciones de determinados usuarios solicitada por P, sin que el TJCE se pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse también que, en el mismo asunto, la Abogado General en sus conclusiones si mantiene (apartado 61), que el dato del usuario al que se han atribuido determinadas direcciones IP es un dato personal, en el sentido del artículo 2.a) de la Directiva 95/46, es decir, información sobre una persona física identificada o identificable, pues “con ayuda de este dato se relacionan las actividades realizadas mediante el uso de la correspondiente dirección IP con el titular del punto de conexión”.
Por lo tanto, estimamos que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.
Se desestima el segundo motivo del recurso de casación.
QUINTO.- En su tercer motivo del recurso, PROMUSICAE alega que, en la hipótesis de que se entienda que las direcciones IP constituyen datos de carácter personal, debía concederse la exención del deber de informar al interesado, de conformidad con el artículo 5.5 LOPD, por resultar imposible el cumplimiento de dicho deber. Entiende la parte recurrente que la imposibilidad de informar a los interesados ha quedado acreditada a lo largo del procedimiento, y así lo declara la sentencia recurrida, al aceptar que dicha parte no es capaz de averiguar la identidad, el domicilio, ni ningún otro dato identificativo de los usuarios de redes P2P cuya dirección IP fuera recogida. 
El artículo 5 de la LOPD establece, en los casos de tratamiento de datos de carácter personal, el deber de informar previamente a los titulares de los datos, y si los datos de carácter personal no han sido recabados del interesado, como sucede en este caso, el apartado 4 del artículo 5 LOPD impone al responsable del fichero el deber de informar al interesado dentro de los tres meses siguientes al registro de los datos, si bien, el artículo 5.5 LOPD exceptúa de dicho deber de información determinados supuestos: cuando la ley expresamente lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, y cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. 
En desarrollo de dicha previsión legal, el Reglamento de la LOPD, aprobado por Real Decreto 1720/2007, en sus artículos 153 y siguientes, estableció el procedimiento a seguir para obtener de la AEPD la exención del deber de información al interesado del tratamiento de sus datos, cuando resulte imposible o exija esfuerzos desproporcionados, siendo este procedimiento al que acudió la parte recurrente, y la sentencia de la Audiencia Nacional basa la desestimación del recurso en el argumento de que no concurre, o al menos la parte recurrente no ha justificado, la circunstancia de imposibilidad de información a los interesados del tratamiento de sus datos.
El recurso de casación impugna la resolución recurrida a partir de una  premisa equivocada, pues considera la parte recurrente en este tercer motivo que “la imposibilidad de informar a los interesados del tratamiento de sus direcciones IP ha quedado acreditada a lo largo del procedimiento seguido ante la Audiencia Nacional, y así lo viene a declarar la Sentencia recurrida”, cuando no es así, sino que sucede justamente lo contrario, que la sentencia recurrida establece con claridad (FD Segundo), que “ninguna de las circunstancias que prevé el artículo 5.5 LOPD concurre en el caso presente”, en el que estima que “no consta dificultad especial para realizar dicha información”, insistiendo en que la autorización del tratamiento de datos sin realizar la preceptiva información al titular de los datos y sin contar con su consentimiento solo puede realizarse excepcionalmente, cuando concurran las circunstancias previstas en el artículo 5 LOPD “que, en el caso presente, no concurren".
La propia parte recurrente, en contradicción con lo afirmado en este motivo tercero del recurso de casación, reconoce en el motivo primero que la sentencia basa la desestimación de la demanda en que la parte no ha justificado la concurrencia de los requisitos exigidos por el artículo 5.5 LOPD y, por tal razón, combate en dicho motivo primero la -en su criterio irracional apreciación de la prueba llevada a cabo por la sentencia recurrida, que incurrió en un error palmario en la valoración de la prueba, que desemboca en una resolución irracional o arbitraria. No obstante, debe recordarse, como ya se ha indicado en esta sentencia, que este motivo primero del recurso de casación fue inadmitido por auto de la Sección 1ª de esta Sala, de 20 de diciembre de 2012, por su defectuosa preparación, pues el motivo debió invocarse en base a la letra d) del artículo 88.1 LJCA, como un error in iudicando, y no por el cauce de la letra c) de dicho precepto legal, como un error in procedendo. 
Al no haberse combatido eficazmente en este recurso de casación la valoración de la prueba por la Sala de instancia, hemos de mantener ahora su apreciación respecto de la falta de acreditación de las circunstancias del artículo 5.5 LOPD habilitantes de la exención del deber de informar, entre ellas la imposibilidad o exigencia de esfuerzos desproporcionados de la información.
Por las razones indicadas se desestima el tercer motivo del recurso de casación.
SEXTO.- El cuarto motivo del recurso de casación considera que concurre el consentimiento tácito de los interesados para el tratamiento de datos que P pretende llevar a cabo, que se desprende de su decisión libre y voluntaria de poner a disposición del público la información que estiman pertinente, incluida su dirección IP.
El artículo 3.h) LOPD define el consentimiento del interesado como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen” y, desde luego, en este caso no puede mantenerse que, entre otros requisitos, exista una manifestación de voluntad informada del interesado.
Es cierto que el artículo 6 LOPD exige el consentimiento del interesado, sin la previsión de que sea expreso, pero como afirma la sentencia recurrida, el consentimiento podrá ser tácito pero, en todo caso, deberá ser inequívoco, y esta Sala considera que no cabe presumir, de forma segura e indudable, el consentimiento de los interesados al tratamiento de sus datos por el hecho de conectarse a una red P2P.
A la hora de analizar si existe un consentimiento tácito del titular de los datos para su tratamiento, debe tenerse en cuenta la finalidad de los actos de los que se deduce esa voluntad, que en este caso están encaminados a operar en las redes P2P, sin que sea razonable deducir de dicho propósito el consentimiento para el tratamiento de los datos. En este sentido, como decía la sentencia de este Tribunal de 17 de abril de 2007 (recurso 3755/2003), “resulta incongruente hablar de consentimiento tácito cuando ni siquiera se ha producido la  necesaria información a los titulares sobre la existencia de tal tratamiento y fichero".
El hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida, no significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos que pretende la parte recurrente.
Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.
Se desestima el cuarto motivo del recurso de casación.
SÉPTIMO.- El motivo quinto del recurso considera que, de conformidad con el artículo 6.1 LOPD, existen varias habilitaciones legales para el tratamiento de datos pretendido por la parte recurrente, sin el consentimiento del afectado, contenidas de forma implícita en los artículos 138.3, 139.1.h) y 141.6 de la Ley de Propiedad  Intelectual y el artículo 24 CE.
El artículo 6.1 LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, “salvo que la ley disponga otra cosa.”
Como se ha indicado, la parte recurrente considera que son varias las disposiciones legales que,  implícitamente, dispensan el consentimiento del afectado para el tratamiento de datos que pretende. Se trata de los artículos 138.3, 139.1.h) y 141.6 del Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (LPI), en los que se prevé que el titular del  derecho de propiedad intelectual podrá solicitar el cese, y la medida cautelar de suspensión de los servicios prestados por intermediarios a terceros que se valgan de ellos para infringir derechos de propiedad intelectual, y que dicho cese y medida cautelar podrán también solicitarse, cuando sean apropiadas, contra los intermediarios a cuyos servicios recurra un tercero para infringir derechos de propiedad intelectual reconocidos en la LPI, aunque los actos de dichos intermediarios no constituyan en sí mismos una  infracción.
En la tesis de la parte recurrente, el tratamiento de datos a que se refiere su solicitud es imprescindible para poder iniciar con posibilidades de éxito un procedimiento judicial en defensa de sus intereses, en el que solicitar y obtener ese cese de la actividad, o la medida cautelar de suspensión de los servicios en cuyo ámbito se produce la infracción de los derechos de propiedad intelectual.
Sin embargo, ninguno de los preceptos citados por la parte recurrente contiene ninguna habilitación, ni  referencia expresa, a la dispensa del consentimiento de los interesados para el tratamiento de sus datos, como tampoco lo hace el artículo 24 CE al garantizar el derecho a obtener la tutela efectiva de los jueces y tribunales. 
Cuando una norma jurídica establece excepciones a las prohibiciones de tratamiento de datos sin el consentimiento del interesado, es exigible que lo efectúe de una forma precisa, como sucede con las excepciones previstas en los apartados 2 y 5 del artículo 6 de la Directiva 2002/58, que se refieren al tratamiento de los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones, o de la lucha contra el fraude, entendiendo por tal, de acuerdo con el considerando 29 de la Directiva, el consistente en la utilización sin pago de servicios de comunicaciones electrónicas, pues una habilitación legal tácita o implícita para tratar datos personales sin consentimiento del titular, en los términos que pretende la parte recurrente, no es conforme con el contenido del derecho a la protección de datos como derecho fundamental, con un régimen de especial protección en la CE.
En este sentido, el Tribunal Constitucional, en la sentencia 292/2000 (FJ 16), sobre cuestiones relacionadas sobre el derecho fundamental a la protección de datos, ha señalado no solo la necesidad de que las limitaciones a un derecho fundamental estén fundadas en una previsión legal que tenga justificación constitucional y sean proporcionadas, sino además, “que la Ley que restrinja este derecho debe expresar con precisión todos y cada uno de los presupuestos materiales de la medida limitadora”, y tal requisito de precisión y certeza no es compatible con la limitación normativa implícita del derecho fundamental a la protección de datos que alega el recurrente en este motivo.
De acuerdo con lo razonado, no cabe acoger el motivo quinto del recurso de casación.
OCTAVO.- El motivo sexto del recurso de casación denuncia la infracción del artículo 6.2 in fine de la LOPD, a través de dos submotivos. El primero alega la falta de conformidad de la interpretación que efectúa la sentencia recurrida del artículo 6.2 in fine de la LOPD con el artículo 7.f) de la Directiva 95/46 y el segundo se refiere a la existencia de un interés legítimo prevalente por parte de P para realizar el tratamiento pretendido.
En el primero de los submotivos citados, la parte recurrente aduce que no es necesario el consentimiento del afectado para tratar un dato personal, siempre que el tratamiento responda a un interés legítimo preponderante del responsable del fichero, sin que sea necesario, además, que el tratamiento conste en una fuente accesible al público. 
El artículo 6.2 LOPD establece que no será preciso el consentimiento del afectado en determinados supuestos que detalla, y entre ellos, “cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”
A su vez, el artículo 7.f) de la Directiva 95/46/CE señala que los Estados miembros dispondrán que el tratamiento de datos personales sólo puede efectuarse si: “f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”
En la interpretación del artículo 7.f) de la Directiva 95/46/CE, el Tribunal de Justicia de la Unión Europea ha dicho, en sentencia de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10, caso ASNEF), que el mencionado precepto “establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado” (apartado 38), de lo que se sigue que el indicado artículo 7.f) de la Directiva 95/46 “se opone a toda normativa nacional que, en el caso de que no exista consentimiento del interesado, imponga exigencias adicionales que se sumen a los dos requisitos acumulativos mencionados en el apartado anterior.” (apartado 39). 
Ahora bien, que el artículo 7.f) de la Directiva no contemple el requisito de que los datos figuren en fuentes accesibles al público para admitir su tratamiento sin consentimiento del interesado, no significa que dicha circunstancia no pueda ser ponderada al examinar el segundo de los requisitos establecido en el indicado precepto, que exige que no prevalezca el interés o los derechos y libertades fundamentales del titular de los datos sobre el interés legítimo perseguido por el responsable del tratamiento o [sic].
En efecto, añade la sentencia del TJCE citada que “En lo que respecta a la ponderación requerida por el artículo 7, letra f), de la Directiva 95/46, cabe tomar en consideración el hecho de que la gravedad de la lesión de los derechos fundamentales de la persona afectada por dicho tratamiento puede variar en función de que los datos figuren ya, o no, en fuentes accesibles al público” (apartado 44), pues “a diferencia de los tratamientos de datos que figuran en fuentes accesibles al público, los tratamientos de datos que figuran en fuentes no accesibles al público implican necesariamente que el responsable del tratamiento y, en su caso, el tercero o terceros a quienes se comuniquen los datos dispondrán en lo sucesivo de ciertas informaciones sobre la vida privada del interesado. Esta lesión, más grave, de los derechos del interesado consagrados en los artículos 7 y 8 de la Carta debe ser apreciada en su justo valor, contrapesándola con el interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos” (apartado 45).
Por tales razones, concluye sobre esta cuestión la referida sentencia del TJCE que: 
"Apartado 46: A este respecto, procede subrayar que nada se opone a que, en ejercicio del margen de apreciación que les confiere el artículo 5 de la Directiva 95/46, los Estados miembros establezcan los principios que deben regir dicha ponderación. 
Apartado 47: No obstante, si una normativa nacional excluye la posibilidad de tratar determinadas categorías de datos personales, estableciendo con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de tales categorías, sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto, no se trata ya de una precisión en el sentido del citado artículo 5.
Apartado 48: Por lo tanto, sin perjuicio del artículo 8 de la Directiva 95/46, relativo al tratamiento de determinadas categorías particulares de datos, disposición que no se discute en el litigio principal, el artículo 7, letra f), de dicha Directiva se opone a que un Estado miembro excluya de forma categórica y generalizada la posibilidad de someter a un tratamiento de datos determinadas categorías de datos personales, sin permitir ponderar los derechos e intereses en conflicto en cada caso concreto."
Así pues, de acuerdo con la sentencia del TJUE citada, no cabe añadir ningún otro requisito de carácter excluyente a los dos requisitos acumulativos contemplados en el artículo 7.f) de la Directiva 95/46/CE para la realización de un tratamiento de datos, si bien es admisible que, en la ponderación de los intereses en conflicto a que se refiere el segundo de los requisitos mencionados, se valore si los datos personales de que se trate figuran en fuentes accesibles al público.
Sin perjuicio de lo anterior, los razonamientos de la sentencia impugnada sobre las fuentes de procedencia de los datos objeto de tratamiento, han de entenderse en el contexto en que se producen, que era el de respuesta a la concreta alegación de la demanda, que propugnaba una interpretación en sentido amplio de la expresión “fuente accesible al público” del artículo 6.2 LOPD, equiparando las redes P2P a los medios de comunicación e incluyéndolas entre estos, sin que la sentencia recurrida aceptara esta interpretación amplia, por considerar que, tanto el artículo 3.1.j) LOPD como el artículo 7 de su Reglamento de desarrollo, contienen una lista exhaustiva o cerrada de lo que deben considerarse fuentes accesibles al público, en la que no se incluye internet. 
En todo caso, y como resulta de la sentencia del TJUE antes citada, el debate abierto por el escrito de demanda, sobre la inclusión o no de las redes P2P en el concepto de fuente accesible al público del artículo 6.2 LOPD, no resulta decisivo para resolver la pretensión de la parte recurrente, y debe relegarse, en caso de estimarse necesario, al momento del examen de la concurrencia del segundo requisito contemplado por los artículos 6.2 LOPD y 7.f) de la Directiva 95/46/CE, que exige ponderar la prevalencia entre el derecho fundamental a la protección de datos de los afectados y el legítimo interés del responsable del fichero en el tratamiento de los datos.
En relación con este segundo requisito, la parte recurrente mantiene que la Sala de instancia no se pronunció al respecto y que concurre el interés prevalente de PROMUSICAE sobre los derechos de los usuarios de redes P2P, si bien esta Sala no comparte ninguno de esos dos argumentos.
La sentencia recurrida si contiene un pronunciamiento sobre la prevalencia entre los derechos en conflicto, pues en el Fundamento de Derecho Quinto tiene en cuenta, para rechazar el tratamiento de las direcciones IP pretendido, que la recurrente “es una simple entidad privada y ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas” y en el Fundamento de Derecho Sexto añade que “todo ello no puede servir para justificar, como pretende la parte recurrente que se lleve a cabo una aplicación de la LOPD que sea claramente lesiva de los derechos en materia de protección de datos. La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala, pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos (entendida en un sentido mucho más amplio que el simple derecho a la intimidad).”
Las alegaciones del motivo sobre la prevalencia del interés legítimo de P en el presente caso tampoco pueden prosperar.
Como hemos visto con anterioridad, el artículo 7.f) de la Directiva 95/46 admite el tratamiento de datos personales cuando sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado, en este caso, su derecho a la intimidad, en lo que respecta al tratamiento de sus datos personales, protegido por el artículo 1.1 de la Directiva, y la aplicación de este precepto exige una ponderación de los derechos e intereses en conflicto, en atención a las circunstancias concurrentes en el caso particular.
Como primera cuestión, hemos de señalar que es jurisprudencia reiterada del TJUE, como resalta su sentencia de 8 de abril de 2014 (asuntos acumulados C-293/12 y C-594/12, apartado 52), que las excepciones a la protección de los datos personales y las restricciones a dicha protección han de establecerse sin sobrepasar los límites de lo estrictamente necesario, y en este caso la parte recurrente no ha acreditado la concurrencia de la necesidad de acudir al tratamiento de datos en cuestión, para la satisfacción de su interés legítimo de protección de los derechos de propiedad intelectual, pues si bien afirma en su recurso que, a fin de poder concretar las conductas ilícitas de los usuarios de las redes P2P que motivan el ejercicio de su derecho a la tutela judicial efectiva, “no tiene más remedio” que tratar las direcciones IP de los usuarios de dichas redes, sin embargo, en criterio de esta Sala, no justifica de forma suficiente esa necesidad, por inexistencia de medidas protectoras alternativas en el ordenamiento jurídico, bien en el orden civil, en particular en la Ley de Propiedad Intelectual, bien en el orden penal, más respetuosas del derecho a la protección de los datos personales.
Por otro lado, también tenemos en cuenta las características y extensión del tratamiento de datos a que se refiere este recurso, de acuerdo con el escrito de la parte recurrente, de solicitud a la AEPD de la exención del deber de informar a los titulares de los datos personales (folio 3 del  expediente administrativo), que seria realizado por la empresa danesa, DtecNet Software, domiciliada en Copenhague, con la que P ha contratado la prestación de este servicio, y se refiere a los datos siguientes: el nombre de usuario, la dirección IP, el día y la hora en que se realicen de forma masiva los actos de puesta a disposición de fonogramas o videos musicales, el número de archivos protegidos que ese usuario tenía a disposición del público en su carpeta compartida, los títulos de los fonogramas y videos musicales que ponía a disposición del público y el nombre del artista. 
También resulta de interés advertir que la parte recurrente en ningún momento ha ofrecido indicación alguna, siquiera aproximada, sobre el número de interesados cuyos datos personales pueden ser objeto del tratamiento exento de su autorización, como puso de relieve la sentencia impugnada.
En el otro lado de la balanza tenemos en cuenta que el derecho a la protección de datos personales es un derecho fundamental, cuyo contenido consiste, de acuerdo con la sentencia 292/2000, del Tribunal Constitucional en “un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permit e al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso”, de donde se sigue que el consentimiento del interesado sobre la recogida y uso de sus datos personales forma parte del contenido esencial de este derecho fundamental.
En la ponderación de derechos e intereses que efectuamos hemos de tener también presente el precedente, de especial interés en este recurso, constituido por la sentencia del TJUE de 29 de enero de 2008, anteriormente citada, recaída en un asunto en el que P intervenía en defensa de los mismos derechos de propiedad intelectual hace valer en el presente recurso, que señaló (apartado 57) que la protección efectiva que las Directivas 2000/31, 2001/29 y 2004/48 otorgan a la propiedad intelectual no puede ir en perjuicio de las exigencias relativas a la protección de los datos personales.
Por todo lo anterior, estimamos que en el presente caso, por sus particulares características de extensión y falta de acreditación de su estricta necesidad para la finalidad legítima perseguida, el tratamiento de datos que pretende la parte recurrente no justifica las limitaciones en el contenido esencial del derecho fundamental a la protección de datos de un número desconocido de personas, por lo que no concurre el segundo de los requisitos exigidos por los artículos 6.2 LOPD y 7.f) de la Directiva 95/46/CE.
De acuerdo con los anteriores razonamientos, se desestima el motivo sexto del recurso de casación.
NOVENO.- El séptimo motivo del recurso considera que la sentencia recurrida ha aplicado indebidamente el artículo 6 de la Ley 25/2007, porque no es cierto que la parte recurrente pretenda que los prestadores de servicios de Internet le cedan las direcciones IP de sus abonados, sino que lo que pretende es obtener dichas direcciones IP por si misma de las redes P2P, sin que el tratamiento de datos sobre el que versa el presente procedimiento requiera ninguna cesión de datos sometida a la Ley 25/2007.
La Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, establece la obligación de los operadores de telecomunicaciones de retener determinados datos generados o tratados por los mismos, con el fin de posibilitar que dispongan de ellos los agentes facultados, entendiendo por tales los miembros de los Cuerpos Policiales autorizados para ello en el marco de una investigación criminal por la comisión de un delito, el personal del Centro Nacional de Inteligencia para llevar a cabo una investigación de seguridad amparada en la Ley 11/2002 y L.O. 2/2002 y los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el artículo 283.1 de la Ley de Enjuiciamiento Criminal.
En este contexto, el artículo 6 de la citada Ley 25/2007 dispone que los datos conservados de conformidad con lo dispuesto en dicha Ley, sólo podrán ser cedidos de acuerdo con los fines que se determinan y previa autorización judicial. 
Para esta Sala es claro que la sentencia recurrida no incurre en la confusión que le atribuye la parte recurrente, de estimar que la pretensión de P es que los prestadores de servicios telefónicos le cedan las direcciones IP en el marco de la Ley 25/2007. Basta la lectura del Fundamento Jurídico Segundo de la sentencia recurrida, para apreciar que la misma es perfecta conocedora de que la pretensión de la parte recurrente, tal y como aparece articulada en la solicitud que inicia el expediente administrativo y en el escrito de demanda, es obtener la exención por la AEPD del deber de informar al interesado acerca del tratamiento de sus datos de carácter personal, prevista en el artículo 5.5 LOPD y en los artículos 153 y siguientes de su Reglamento de desarrollo.
La cita que efectúa la sentencia recurrida al artículo 6 de la Ley 25/20067 no tiene otro objeto que el de resaltar la relevancia del dato de dirección IP, que figura entre los datos objeto de conservación establecidos por el artículo 3 de la indicada Ley, cuya cesión por los operadores de telecomunicaciones a los agentes facultados está sujeta a condiciones restrictivas, entre ellas, a la previa autorización judicial. 
Esta regulación legal es tenida en cuenta por la sentencia recurrida, para efectuar la ponderación ordenada por el artículo 6.2 de la LOPD, de los intereses y derechos concurrentes en el presente caso, en cuanto pone de manifiesto la especial protección dispensada por el legislador a los datos vinculados a la comunicación a través de Internet, que la sentencia recurrida tiene en cuenta para afirmar (FJ Quinto), que no es posible entregar las direcciones IP a una entidad privada, como la recurrente, que “ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas”, lo que llevó a la sentencia recurrida a estimar reforzada su conclusión, razonada en los fundamentos precedentes, sobre la improcedencia de la pretensión de la parte recurrente.
Se desestima el séptimo motivo del recurso de casación por las razones expresadas."

GUIA SOBRE EL USO DE LAS COOKIES  25-11-2016
Como es sabido, una de las formas en que la publicidad en Internet se lleva a cabo es a través de las cookies. Las cookies son herramientas que tienen un papel esencial para la prestación de numerosos servicios de la sociedad de la
información que concentran la mayor inversión publicitaria, facilitan la navegación del usuario y ofrecen una publicidad basada en ocasiones en los hábitos de navegación.

¿HARTO DE LAS REDES SOCIALES? ASÍ PUEDES BORRAR TUS CUENTAS Y QUE NO QUEDE NI RASTRO  23-11-2016
Descubre cómo eliminar tu rastro en Facebook, Instagram, Twitter, Google, Snapchat, Linkedin y Vine.

MARCO JURIDICO DE LA PROTECCION DE DATOS  23-11-2016
El marco jurídico básico que configura la protección de datos de carácter personal en España, está formado por las siguientes normas:
1. Constitución. Artículo 18.4 de la Constitución Española de 1978.
2. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
3. Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal.
4. Reglamento. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
5. Instrucciones de la Agencia Española de Protección de Datos.

PROTEGE TUS DATOS EN INTERNET  22-11-2016
El proyecto de vídeos online "Protege tus datos en Internet" tiene como objetivo mostrar al ciudadano cómo puede gestionar su privacidad en la Red. Para ello, este canal incluye vídeos didácticos en formato de videotutoriales en los que se explica, paso a paso, cómo configurar las opciones de privacidad de los navegadores, redes sociales y sistemas operativos móviles más comunes.

COMPLIANCE, UNA HERRAMIENTA PARA RENOVAR LA CONFIANZA EN LA BANCA  22-11-2016
En el sector financiero, la confianza entre cliente y entidad resulta fundamental para garantizar el funcionamiento del sistema; sin embargo, los grandes esc?alos de corrupci?inculados a la banca han degenerado esta relaci?ist?a, especialmente tras el estallido de la crisis econ?a.
Para expertos como el socio director de Conesa Legal Josep Conesa, la soluci? este problema de reputaci?st?n los programas de vigilancia del cumplimiento normativo ("compliance"), una "excelente herramienta" capaz de generar prestigio, tanto interno como externo, sobre todo en ?itos como el bancario, que formaliza por escrito su ?ca empresarial.
En Europa, la lenta recuperaci?xperimentada por su econom?se ha traducido en un ligero aumento de la confianza en estas instituciones, si bien los datos contin?mostrando la reticencia del cliente hacia el mundo financiero.
Y es que aunque el "Trust Barometer" 2016 de la agencia Edelman muestra unos niveles de confianza en aumento durante el ?mo lustro, cuando ascendi? 51 %, ocho puntos m?que en 2012, evidencia adem?que el de las finanzas es el sector que mayor recelo genera en el consumidor por delante incluso del farmac?ico.
Desde asociaciones como Adicae vinculan esta circunstancia al fantasma de la insolvencia bancaria, el cual ha arrastrado a las peque?entidades a ser integradas en grupos tras el "expolio", explican, cometido por sus antiguos directivos, generalmente a trav?de la venta de productos t?os.
Pero tambi?por esc?alos como las prejubilaciones millonarias de la antigua c?a de Novacaixagalicia -ahora Abanca-, la ocultaci?e las p?idas sufridas por Caja Castilla-La Mancha -hoy Liberbank- en 2008 o el juicio por las pol?cas tarjetas opacas de Caja Madrid -integrada en Bankia- que sienta en el banquillo a sus expresidentes Miguel Blesa y Rodrigo Rato por presunta apropiaci?ndebida y administraci?esleal.
Unas conductas que podr? haberse prevenido de contar con el programa de "compliance" adecuado, un "traje a medida", dice Conesa, con el que cada compa?establece normas como el empleo de tarjetas de cr?to para gastos de representaci? el uso de herramientas inform?cas, no establecidas por convenio.
Al margen de eventuales condenas a los responsables del delito, la ley permite a la justicia investigar hasta qu?unto una compa?est?bligada a responder penalmente por tales conductas, un supuesto que ratifica la reciente jurisdicci?el Tribunal Supremo.
Seg?alora para Efe la responsable de "compliance" del despacho de abogados Ceca Mag? Silvia Quiles, este marco legal ha supuesto una "carrera contrarreloj" para las empresas, obligadas a implementar un programa eficaz que instaure las prevenciones necesarias para evitar la comisi?e delitos o da?reputacionales.
En este sentido, asegura que el cumplimiento normativo permitir? las entidades financieras avanzar "de manera significativa" en la tramitaci?e reclamaciones, las operaciones personales o la externalizaci? los conflictos de intereses, requisitos exigidos por la nueva disposici?uropea.
La entrada en vigor de la directiva MiFID II, prevista para enero de 2018, "supondr?ambiar el modelo de gesti?el riesgo", indica el socio director de Fortuny Legal Miquel Fortuny, quien cree que ?a obligar? prestar atenci? impactos como el originado por publicidad enga?, cuya pena para la persona jur?ca puede alcanzar el "qu?uple" del beneficio obtenido.
Una visi?ue comparte el socio de Ecix Group Carlos Alberto S?, para quien la nueva MiFID refuerza la tutela del inversor, ahora amparado por el Reglamento Europeo de Protecci?e Datos, y ampl?las posibles sanciones a las instituciones financieras, a las que la directiva invita a mejorar su nivel de transparencia y de confianza.
"Implementar un buen compliance acredita que la empresa cumple de forma ?ca y legal con sus obligaciones", resume Conesa, y concluye garantizando que la adopci?e estos protocolos repercutir?ositivamente incluso en inspecciones de trabajo, pues velar por la norma "siempre genera buena reputaci? no s?en los juzgados, sino tambi?de cara al resto de la sociedad.

LOS PROFESIONALES DE LA PRIVACIDAD EN EL CENTRO DE LA REFORMA DE PROTECCIÓN DE DATOS  21-11-2016
Con la aprobación  en el Parlamento Europeo del nuevo paquete jurídico de protección de datos tras cuatro años de negociaciones, y la propia publicación del Reglamento General de Protección de Datos , se inicia una revolución regulatoria en la Unión Europea en el que los profesionales de la privacidad jugarán un papel clave. No en vano, entre otras medidas, se introduce la figura legal del Delegado de Protección de Datos (DPO, por su siglas en inglés), que será obligatorio en determinados casos, como en las Administraciones Públicas o en las empresas que monitorizan de forma periódica y sistemática grandes cantidades de datos personales.
Desde la Asociación Profesional Española de Privacidad (APEP) se quiere destacar, por otro lado, como principal virtud de la iniciativa que el Reglamento va a garantizar la circulación de datos en el mercado interior y va a resolver los problemas de incompatibilidades entre las normativas existentes de los diferentes países. Pero, además, es pertinente resaltar que este Reglamento también se aplica en el caso de responsables no establecidos en la UE, cuando las actividades de tratamiento de datos personales estén relacionadas con la oferta de bienes o servicios a residentes en la UE o el control de su comportamiento (en la medida en que este control tenga lugar en la UE).
Por primera vez en la historia todos los países de la UE tendrán un único marco normativo, que además estará adaptado al nuevo entorno de internet. De este modo, se favorecerá el crecimiento de la economía digital y una adecuada tutela de este derecho fundamental de los ciudadanos. Según comunicó el Parlamento Europeo, el Reglamento General de Protección de Datos tiene como objetivo ?dar más control a los ciudadanos sobre su información privada?. Las nuevas reglas incluyen, entre otros requerimientos, la necesidad de un ?consentimiento claro y afirmativo? de la persona concernida al tratamiento de sus datos personales, la ?portabilidad? o el derecho a trasladar los datos a otro proveedor de servicios, el derecho a ser informado si los datos personales han sido pirateados, un lenguaje claro y comprensible sobre las cláusulas de privacidad, y la posibilidad de ejercer el llamado derecho al ?olvido?, mediante la rectificación o supresión de datos personales en internet. Es conveniente mencionar que el nuevo Reglamento aumenta las sanciones de forma muy notable, llegando a multas de hasta el 4% de la facturación global de las empresas.
El Reglamento entró en vigor el 25 de mayo, 20 días después de su publicación  en el Diario Oficial de la Unión Europea. Sus disposiciones serán de aplicación directa en todos los Estados miembros dos años después, el 25 de mayo de 2018.
+
El creciente protagonismo de los profesionales en privacidad
Para APEP el Reglamento supone un desarrollo destacado de la cultura de la privacidad en el ámbito económico y social, exigiendo nuevas obligaciones y responsabilidades a Administración y empresas. Los preceptos de protección de datos deberán integrarse desde el principio en cualquier proyecto, producto o servicio que requiera gestión de datos personales (privacidad por diseño), con la obligación añadida de que en su configuración automática por defecto sólo recopile y gestione aquellos datos que sean estrictamente necesarios (privacidad por defecto). Además, en determinados casos, los responsables deberán evaluar con carácter previo los procedimientos de tratamiento de datos personales para evitar posibles riesgos (Data Protection Impact Assessment, DPIA). Otro elemento muy destacable de la reforma es que introduce el concepto de accountability, que implica que no sólo existe responsabilidad por una infracción, sino que la no adopción de todas las medidas requeridas para el perfecto cumplimiento normativo, o falta de diligencia, supone también una responsabilidad punible.
APEP quiere destacar que los profesionales de la privacidad se encuentran en el centro de la reforma de la protección de datos, al asumir nuevas responsabilidades y exigírseles todavía más rigor en el desarrollo de metodologías de cumplimiento normativo. De este modo se les requerirán nuevas competencias, mayor formación y su acreditación de especialización a través de certificaciones confiables. De este modo, cabe reseñar que la norma introduce la figura del DPO, que será obligatorio para la Administración y para empresas que cumplan una serie de requisitos, fundamentalmente, que realicen una monitorización periódica y sistemática de datos a gran escala (estudios de solvencia, mercados, riesgos?) o gestionen datos de categorías especiales (datos considerados sensibles). APEP venía destacando desde hace años, tanto a nivel nacional como europeo (siendo miembro fundador de la Confederation of European Data Protection Organisations-CEDPO ) la utilidad de esta figura del DPO en aras de una mejor gestión de la protección de datos y la privacidad en las organizaciones y del respeto al derecho fundamental. Y también para promover la integración y toma en consideración de la privacidad como valor añadido de las empresas en un mercado global competitivo.
Pero, la Asociación reclama a las instituciones que definan de la forma más concreta posible la figura del DPO, garantizando que estos profesionales tengan una formación y conocimientos adecuados y puedan ser identificados fácilmente. Para este particular APEP ya trabaja para formar y acreditar a los profesionales expertos en privacidad en España, a través de su rigurosa y transparente Certificación APEP ACP  (APEP-CertifiedPrivacy) y sus cursos de formación especializada , que a su vez sirven para conseguir la Certificación APEP ACP. Parece oportuno destacar en este sentido que la Asociación considera esencial la figura del profesional experto en privacidad y protección de datos, también, para dar garantía, confianza y seguridad en el mercado.
?El DPO constituirá una figura esencial, un apoyo indispensable para el despliegue de una futura Norma particularmente complicada. Su deber consistirá sin duda en asegurar el cumplimiento normativo diligente, y por tanto accountable, de los responsables haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos del negocio, y la garantía del derecho fundamental a la protección de datos y la seguridad de la información.

LAS EMPRESAS, OBLIGADAS A REGISTRAR A DIARIO LA JORNADA DE CADA TRABAJADOR  17-11-2016
La Inspección de Trabajo intensifica el seguimiento de las horas extra en las pymes asturianas y verifica si disponen de un sistema de control.
Nuestra solución iPunch resuelve éste y otros muchos problemas comunes a las Empresas.

NUEVO REGLAMENTO EUROPEO EN PROTECCION DE DATOS  17-11-2016
La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?
No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

CAMPAÑA DE INSPECCION EN REGISTROS DE JORNADA LABORAL SECTOR TRANSPORTE  17-11-2016
La Dirección General de Inspección de Trabajo, dependiente del Ministerio de Empleo y Asuntos Sociales, ha dictado una instrucción a los inspectores de trabajo para que intensifiquen el control en las empresas de transporte, centrándose en el cumplimiento de las normas sobre tiempos de trabajo y, en concreto, sobre los registros de la jornada diaria de los empleados.
El artículo 35.5 del Estatuto de los Trabajadores dice que "la jornada de cada trabajador se registrará día a día y se totalizará en el periodo fijado para el abono de las retribuciones, entregando copia del resumen al trabajador en el recibo correspondiente". Esto quiere decir que el empresario deberá llevar un libro registro diario de las jornadas de trabajo que prestan sus trabajadores, con el objetivo de destacar las horas extraordinarias realizadas.
Así, la inspección de trabajo ha interpretado que el registro debe hacerse a todos los trabajadores, con independencia de que hagan o no horas extraordinarias, así como si prestan su jornada a tiempo parcial o completo. Esto ha motivado llevar la campaña de inspección, que se centrará en empresas de menos de 50 trabajadores, que son la gran mayoría en el sector del transporte por carretera.
La Administración quiere dejar claro que no existe un modelo concreto de registro obligatorio, por lo que se puede hacer en formato electrónico, con un sistema de fichajes, o de forma manual, en un documento con la firma del trabajador. El registro deberá ser diario e incluir el horario de entrada y salida, incluyendo las horas trabajadas. Los trabajadores deberán recibir una copia del documento y los representantes sindicales tendrán que ser informados una vez al mes.
La sanción para los que no cumplan esta norma laboral (que no exista registro o se detecten horas extraordinarias) llevará consigo multas. Para el caso de inexistencia de libro, se ha calculado una sanción de entre 625 y 6.250 euros. En el caso de hacer horas extraordinarias no declaradas, se abrirá acta por infracción grave y, en su caso, llevará aparejada una infracción adicional de impago de salarios, de tipo grave o muy grave, por lo que habrá que liquidar las horas que no han sido cotizadas.

LOS PROVEEDORES DE SERVICIOS DEBEN DE INFORMAR DE SUS FALLOS DE SEGURIDAD A LA AEPD  17-11-2016
Los proveedores de servicios de comunicaciones electrónicas deben informar a la Agencia Española de Protección de Datos si su sistema operativo falla o sufre el ataque de un ‘hacker’.
Los proveedores de servicios de comunicaciones electrónicas ya están trasladando a la AgenciaEspañola de Protección de Datos (AEPD)sus brechas de seguridad, es decir, los fallos de seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizado de datos personales de los ciudadanos, según trasladan fuentes de la Agencia y del sector. En la mayoría de los casos, se trata de intrusiones que provocan caídas del sistema operativo o acciones de hackers.
Las sanciones, según establece la Ley Orgánica de Protección de Datos (LOPD), son de las consideradas graves, con multa de 40.001 a 300.000 euros. La LOPD también contempla que la cuantía de las sanciones se graduará atendiendo a criterios. Fuentes de la AEPD explican que sólo sancionarán si finalmente se certifican deficiencias en la implantación de las preceptivas medidas de seguridad y, como consecuencia de ello, se ha producido la destrucción, pérdida, alteración, revelación o acceso no autorizado a los datos personales.
En cualquier caso, destacan, no todas las notificaciones de quiebras de seguridad tienen por qué finalizar con una sanción. Si finalmente correspondiese su imposición, la notificación de la quiebra se tendrá en cuenta para valorar la diligencia y graduar la sanción.
La Directiva 2002/58/CE establece que los proveedores de servicios de comunicaciones electrónicas disponibles para el público están obligados a notificar las quiebras de seguridad que puedan afectar a datos personales a las autoridades nacionales competentes y, en algunos casos, también a los abonados y particulares afectados.
El 25 de agosto de 2013 entró en vigor el reglamento europeo 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE.
El reglamento se aplica a los proveedores de servicios de comunicaciones electrónicas disponibles para el público, y en ciertos casos, a abonados y particulares afectados, y enEspaña lo ha incorporado la reforma de la Ley General de Telecomunicaciones (LGT), en vigor desde el 11 de mayo. En el caso español, la competencia para recibir estas comunicaciones por parte de los proveedores de servicios corresponde a la Agencia Española de Protección de Datos.
La AEPD ha puesto en marcha un nuevo sistema para que los proveedores de servicios de comunicaciones electrónicas notifiquen las eventuales quiebras de seguridad que se hayan producido en sus sistemas y que puedan afectar a los datos personales que tratan. El procedimiento está disponible a través del apartado Notificación preceptiva de quiebras de seguridad de la Sede Electrónica de la Agencia. El artículo 2.2 del reglamento especifica que, en la medida de lo posible, los proveedores deben comunicar las quiebras de seguridad a la autoridad competente dentro de las 24 horas siguientes a la detección del incidente. Antes de que existiera la herramienta, en 2013, se recibió la primera notificación, que la AEPD está investigando.
Según Javier F. Samaniego, socio director de Bird & Bird, «es todavía pronto para pronunciarse sobre la efectividad del nuevo sistema de notificación pero es de elogiar que el sistema tenga en cuenta y se haya coordinado con los trabajos de la Agencia Europea de Seguridad de las Redes y de la Información (Enisa), para la que parece que será una inminente obligación general de notificar las brechas en todos los sectores y no sólo en el de telecomunicaciones».
El socio director de Bird & Bird cree también «positivo que el Gobierno se haya comprometido a impulsar también un esquema de cooperación público-privada con el fin de identificar y mitigar los ataques e incidentes de seguridad».
Un plan de ciberseguridad, en seis meses El Gobierno pondrá en marcha, en el plazo de seis meses (vence el próximo 10 de noviembre), un programa para impulsar un esquema de cooperación público-privada con el fin de identificar y mitigar los ataques e incidentes de ciberseguridad que afecten a la red de Internet en España. Para ello, se elaborarán códigos de conducta en materia de ciberseguridad aplicables a los diferentes prestadores de servicios de la sociedad de la información, y a los registros de nombres de dominio y agentes registradores establecidos en España. Así lo establece la disposición adicional novena de la Ley General de Telecomunicaciones, que entró en vigor el 11 de mayo.
La herramienta de la Agencia de Protección de Datos - El protocolo de actuación puesto en marcha por la Agencia se establece como un canal rápido y seguro para que los proveedores de servicios de comunicaciones electrónicas notifiquen a la Agencia los casos previstos en la legislación.

- Siguiendo las especificaciones del reglamento, el formulario habilitado por la AEPD incluye, entre otros campos, la identificación del proveedor, los datos de contacto del responsable de protección de datos o de la persona que pueda aportar más información, las circunstancias en las que se ha producido la quiebra de seguridad, la naturaleza y el contenido de los datos, el número de afectados, o las medidas técnicas y organizativas adoptadas por el proveedor para paliar los posibles efectos negativos.

- El procedimiento electrónico implementa este requisito y constituye el canal ordinario para que exclusivamente los operadores/proveedores de servicios de comunicaciones electrónicas notifiquen a la Agencia los casos previstos en la citada normativa. No es un canal dirigido a los ciudadanos, que disponen del procedimiento de presentación de denuncias para poner en conocimiento de la Agencia posibles vulneraciones de la normativa de protección de datos, en particular, los posibles incumplimientos del artículo 9 de la LOPD.
- La Ley General de Telecomunicaciones está en vigor desde el pasado 11 de mayo y esta herramienta está colgada en la web de la AEPD desde finales de abril.

"LA UE HA CAMBIADO LA MANERA DE VER LA PRIVACIDAD"  17-11-2016
La directora de la Agencia Española de Protección de Datos, Mar España Martí, anima a las empresas a que hagan todos los esfuerzos posibles para adaptarse cuanto antes al reglamento de protección de datos de la Unión Europea.
La salvaguarda de la privacidad y la protección de los datos de los ciudadanos se han convertido en dos de los retos más importantes de este principio de siglo. La directora de la Agencia Española de Protección de Datos (AEPD), Mar España Martí (Madrid, 1964), es consciente de ello y desde su incorporación al puesto que ahora ocupa ha tratado de encontrar soluciones ágiles para solventar los posibles problemas a los que se enfrentan empresas y ciudadanos.
Ahora, tras la aprobación del Reglamento General de Protección de Datos (RGPD) en la Unión Europea, el desafío será aún mayor. "La llegada del RGPD es una muy buena noticia y un gran reto para todos. Aunque teníamos la suerte de ser el continente más garantista en cuanto a la privacidad y la protección de este derecho fundamental de los ciudadanos, el reglamento significa un paso adelante y ha transformado el enfoque. Con él, la Unión Europea ha cambiado radicalmente la manera ver y entender la privacidad. Con esta norma, el Viejo Continente pasará de ser reactivo a ser preventivo", explica.
España Martí destaca que este nuevo texto, que empezará a aplicarse el 25 de mayo de 2018, provocará que las empresas y la propia AEPD deban realizar importantes cambios en sus estructuras.
"La agencia deberá modificar su estatuto para acoplarse a lo que pide el RGPD, pero el verdadero reto lo tienen las compañías. Tienen dos años para adaptarse a sus nuevas obligaciones y deben empezar este trabajo desde ahora. Si siguen nuestras recomendaciones y hacen las evaluaciones de impacto necesarias, integran la nueva figura del encargado de protección de datos (DPO, por sus siglas en inglés), cambian las cláusulas informativas y suman las medidas de tipo técnico y organizativas necesarias, las empresas llegarán a tiempo. Si lo dejan todo para abril de 2018, lo más probable es que les pille el toro", añade.
Frente al reglamento europeo, también habrá que alterar el contenido de nuestra Ley Orgánica de Protección de Datos (LOPD) para adaptarla al nuevo texto. En este asunto, la AEPD también tendrá un rol esencial -como guía- para que cuando el reglamento sea directamente aplicable se cuente con toda la seguridad posible.
La directora del organismo entiende que, respecto a este cambio legislativo, todos los partidos deberían buscar el consenso y dejar de lado los colores, única manera de que el sector TIC español -que contribuye en un 7% al PIB nacional- cuente con toda la seguridad jurídica para así incentivar la competitividad empresarial.
"Éste es un asunto en el que nuestro país se juega mucho a nivel económico y por eso la AEPD está trabajando con todos los sectores para tratar de llevarlo a buen puerto. Ya hemos hablado de los plazos con el Ministerio de Justicia y el objetivo es que el primer texto de reforma de la LOPD esté listo en el primer trimestre de 2017 y así dejar suficiente margen para que sea aprobado antes de mayo de 2018", asegura.
Aunque la AEPD está especialmente centrada en el nuevo reglamento europeo, no pierde de vista las reclamaciones de los ciudadanos y mantiene sus esfuerzos para dar respuesta a cada una de ellas. En 2015, la autoridad de protección de datos recibió un total de 10.571 denuncias y reclamaciones, una cifra que supone una consolidación de los datos respecto a años anteriores, tras el repunte de 2014.
"Entre los asuntos más preocupantes están las suplantaciones de identidad y la inclusión irregular en ficheros de morosos. Por esa razón, la AEPD va a iniciar las inspecciones de oficio sobre las contrataciones irregulares. Además, ya estamos trabajando con las empresas de telecomunicaciones presentes en el país para que éstas refuercen los protocolos internos de actuación", comenta.
Mar España Martí es consciente de que la agencia de protección de datos no siempre es vista como un organismo de ayuda al ciudadano, pero una de sus obsesiones es que eso cambie. "La prevención es esencial y estamos elaborando diferentes guías en relación a las quejas que recibimos de los usuarios para ayudarles a no cometer errores y auxiliarles en caso de problema. Hay que tener en cuenta que el primer peligro para nuestra privacidad somos los propios usuarios y tenemos que aprender a aumentarla hasta el porcentaje más alto posible", concluye.