Protección de Datos – Cómo certificar un chat de WhatsApp para que funcione como prueba en un proceso judicial
Para garantizar la validez del mensaje de datos es necesario un análisis pericial, que certifique que no ha sido manipulado Una de las consecuencias de la aceleración digital que trajo la pandemia es que prácticamente todo está alojado en este ecosistema. Esto es válido, también, para las pruebas de los delitos, pues en la eventualidad de que se quieran denunciar situaciones como, por ejemplo, amenazas recibidas por correo electrónico, el material probatorio es virtual. Lo anterior ha hecho que cobre cada vez más importancia la certificación de evidencia digital y prueba de eso es el crecimiento de compañías dedicadas a ello como Adalid, Ratsel, FTI o Investigaciones Estratégicas. La evidencia digital, como está definida en la Ley 527 de 1.999, es toda la información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares. Es decir, entran en esta categoría los chats, correos electrónicos, mensajes de texto o notas de voz. Podría pensarse que hacer un pantallazo de Whatsapp o imprimir un correo electrónico es suficiente para probar ante un juez la existencia de la conducta delictiva denunciada. Sin embargo, explicó el penalista Alejandro Mejía, de Cáez Muñoz Mejía, que en Colombia se debe garantizar que las pruebas alojadas en el entorno digital sean auténticas e inalterables. “Hay muchos programas para editar y modificar todo, por eso, a diferencia de lo que sucede en países como Ecuador, la evidencia en Colombia solamente se admite como prueba directa confirmatoria si hay un análisis pericial que garantice que la huella digital del documento no ha sido alterada y se conserva su autenticidad”, explicó Mejía. Esto, en otras palabras, quiere decir que un pantallazo de Whatsapp puede dar al juez indicios de que se cometió la conducta, pero solo se admite como prueba si un perito certifica que no ha sido modificado. Para cumplir con los requisitos de validez jurídica, un mensaje de datos debe tener las siguientes condiciones: estar escrito, es decir, que se pueda acceder para su posterior consulta en su formato original; y estar firmado. “Todos tenemos identificadores en los sistemas de información, como son las contraseñas, huellas, o los correos electrónicos. Estos son nuestra firma digital, y para que los mensajes cumplan con este requisito de validez debe poder verificarse de quién viene la evidencia. Por ejemplo, para un chat sería nuestro número de celular”, explicó Axel Díaz, director del laboratorio de informática forense de Adalid Corp. Además, el mensaje de datos aportado como evidencia debe mantenerse original e íntegro, lo que quiere decir que debe estar completamente inalterada la información que contiene. Esto se hace a través de un hash, que es algoritmo que extrae del interior del mensaje un código alfanumérico que cumple las veces de huella y este permite demostrar si la evidencia fue modificada de alguna manera. Fuente: Cómo certificar un chat de whatsapp para que funcione como prueba en un proceso judicial (asuntoslegales.com.co)
Protección de Datos – Facebook denuncia a la página que copió 100.000 cuentas de Instagram
Facebook ha presentado una denuncia contra el propietario de una página web que copió los datos de 100.000 cuentas públicas de Instagram y que los utilizó para crear una red de sitios clones de la red social. El propietario de la página web, Ensar Sahinturk, utilizó un ‘software’ de automatización con el que obtuvo información pública de las cuentas, como sus imágenes, vídeos, publicaciones e información de la cuenta, si el permiso de los usuarios ni de Instagram, como ha asegurado Facebook en un comunicado. Con la información de estos 100.000 perfiles, Sahinturk elaboró una red de sitios web clones, en la que cualquier persona podía buscar los perfiles de Instagram por su nombre y acceder a sus datos. Las normas de la comunidad de Instagram prohíben la copia masiva de datos de los usuarios, aunque sean públicos, ya que esto “socava la privacidad de las personas y la capacidad de controlar su información”, como ha denunciado la empresa estadounidense. La compañía desactivó inicialmente las cuentas de Instagram y Facebook del acusado y le pidió que cesara su actividad, pero al no hacerlo ha presentado ahora una denuncia contra él en Estados Unidos. Fuente: Facebook denuncia a la página que copió 100.000 cuentas de Instagram | EL ESPECTADOR
Protección de Datos – Superindustria expide Guía para la Gestión de Incidentes de Seguridad en el Tratamiento de Datos Personales
Superindustria expide Guía para la Gestión de Incidentes de Seguridad en el Tratamiento de Datos Personales La Superintendencia de Industria y Comercio y su Delegatura para la Protección de Datos Personales lanzaron la “Guía para la Gestión de Incidentes de Seguridad en el Tratamiento de Datos Personales”, un documento con sugerencias para los responsables y encargados del tratamiento de datos, que presenta varias herramientas útiles a la hora de afrontar incidentes de seguridad que afecten los Datos Personales bajo su custodia. La Guía muestra adicionalmente, cómo gestionar estos incidentes y plantea la necesidad de tener presentes factores como el diseño de las actividades del tratamiento, el complemento de las políticas de seguridad de la información y protección de datos; y la ética corporativa de las empresas. El documento explica también cómo actuar ante los reportes de incidentes de seguridad cuando se acude a encargados del tratamiento, la conservación de registros internos, el protocolo de respuestas en el manejo de incidentes de seguridad y sus medidas preventivas dentro de una organización, y, enseña la importancia de contar con un equipo de respuesta ante estos eventos. El contenido plasmado en esta Guía está basado en el marco normativo de la Ley 158 de 2012, la cual establece que, la información sujeta a tratamiento por el responsable o encargado de este, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Así mismo, en su artículo 19 dicha ley resalta que: “La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley”. Por esta razón, el principio y el deber de seguridad como medida preventiva obliga a los responsables o encargados del tratamiento a adoptar las medidas necesarias para evitar posibles afectaciones a la seguridad de los datos. Sin embargo, en caso de que estas medias fallen las organizaciones deben estar preparadas para mitigar los riesgos y daños que se pueden causar a los derechos y libertades fundamentales de los Titulares y a las organizaciones mismas. Finalmente, la Superindustria aclaró que, si bien la Guía comprende los temas más relevantes en el tema de incidentes de seguridad para tratamiento de datos, es importante que los interesados consulten toda la normativa vigente sobre la materia para adoptar medidas específicas dependiendo las particularidades de cada organización. Ver Guía Fuente: Editar entrada ‹ Protecdata — WordPress (protecdatalatam.com)
Ciberseguridad – Jupyter, el peligroso virus de origen ruso que está robando información y dinero
En las últimas semanas ha comenzado a ver la luz el malware (o virus informático) Jupyter, que llevaba «hibernando» desde el verano, o incluso antes, en miles de dispositivos electrónicos de todo el mundo. Según informa la empresa de ciberseguridad española Panda Security, se trata de un nuevo troyano creado por cibercriminales de origen ruso (o que al menos se comunican en ese idioma) para robar toda la información almacenada en los «llaveros» de los ordenadores y móviles de sus víctimas. Una vez instalado en un ordenador o un móvil, este virus es capaz de acceder a todos los usuarios y contraseñas que hay almacenados en los navegadores Chrome y Firefox. Por tanto, los cibercriminales que lo han desarrollado pueden, potencialmente, hacerse con todos los perfiles de un usuario si los tiene almacenados en su equipo. De este modo, obtienen acceso a la cuenta corriente, a todas las tarjetas de crédito, a todas las tiendas online en la que haya hecho compras y, por supuesto, al correo electrónico y redes sociales de sus víctimas. Pero el mayor riesgo de esta nueva ciberamenaza es que además de recopilar datos, su código está diseñado para dejar puertas traseras abiertas en los sistemas que infecta, con lo que es más fácil que sean víctimas de algún otro ataque de robo de datos. A su vez, el malware se actualiza cada vez que los desarrolladores de antivirus avanzan en su detección. De este modo, cada vez que la industria legítima da pasos para detectar este malware, sus creadores lo actualizan para pasar desapercibidos. La amenaza de las puertas traseras que deja abiertas este virus se debe a que, además de robar las credenciales de acceso a las redes sociales, email o incluso tiendas online y banca digital, los cibercriminales pueden dejar el ordenador «esperándoles» para que puedan acabar el robo directamente desde el ordenador de sus víctimas. Es decir, los delincuentes pueden fácilmente acceder al ordenador de una víctima, «recolectar» toda la información que han robado y, de paso, instalar más malware con el que minar criptomonedas o infectar del mismo virus otros dispositivos. «La industria del malware es un negocio tan lucrativo que los grupos organizados de cibercriminales utilizan las mismas estrategias de mantenimiento que las grandes empresas de software. Al igual que todas las empresas legítimas van liberando actualizaciones de software para actualizar los sistemas operativos o las apps, los piratas informáticos que han desarrollado Jupyter también van liberando las suyas», señala Hervé Lambert, responsable de operaciones de Panda Security. Sin ir más lejos, los creadores de Jupyter lanzaron la última actualización de su software en la segunda semana de noviembre. No obstante, ha habido otros periodos del año con mucha más actividad de mantenimiento, como durante el mes de mayo, cuando los ciberdelincuentes liberaron hasta nueve «parches» de su código para evitar los sistemas de seguridad. Fuente: Jupyter, el peligroso virus de origen ruso que está robando información y dinero (abc.es)
Autenticación Digital – De las firmas escaneadas y otros demonios
Los primeros documentos firmados en la historia de la humanidad están en restos óseos. Así, el hueso de Ishango es el peroné de un babuino encontrado cerca de una de las fuentes del Nilo, en la República Democrática del Congo. Parece haber sido usado para contar, haciendo marcas, tiene 20.000 años, con el grabado de su autor y su firma. Ahora bien, los primeros contratos “escritos” de la humanidad se hicieron con tierra, una bulla era una especie de sobre de arcilla en el que se metían piezas también de arcilla. El conjunto era un contrato: lo que se escribía afuera y lo que se encontraba adentro confirmaban los términos, más el símbolo de las partes que constituía una firma. Eso fue hace más de 7.000 años. En la actualidad, en vista del panorama de salud, se están firmando, por regla general, todos los documentos de forma electrónica. Correos, links, chats, zooms, lives y redes son nuestro día a día. Es difícil pensar o imaginar cómo en 7, 70, 700 o 7.000 años lo verán los habitantes de este u otros planetas, para saber lo que acá ocurrió y, lo más inquietante, saber si en el corto plazo estos documentos tendrán alguna validez jurídica y probatoria. Vínculo jurídico Sin ir más allá en los preludios, recordemos que una firma es el vínculo jurídico que existe entre una persona y un documento, es un símbolo de aceptación del contenido de algo. Es tan importante que existe alrededor todo un sistema de garantías, que van desde la creación de un proceso notarial, hasta la obtención de complejos sistemas algorítmicos en las firmas digitales. Así las cosas, por medio de las firmas se crean, constituyen, traspasan, renuncian, sustituyen, obligan, delegan y derogan derechos y obligaciones. En fin, son de gran importancia y, por ello, en su creación se deben tener unos mínimos de fiabilidad y garantizar su autenticidad o, a falta de esta, prever métodos con los que se pueda corroborar, que, como veremos, están regulados hace bastante tiempo. En primer lugar, debemos tener en cuenta la normativa que existe en Colombia respecto a las firmas electrónicas. De esta forma, la Ley 527 de 1999, en su artículo 7º, las define, al tiempo que el Conpes 3620 del 2009 recomendó promover el uso de firma electrónica como medio alternativo a la firma digital. Por otro lado, el Decreto 019 del 2012 autorizó la creación de certificados de firma electrónica y firma digital para las entidades de certificación y el Decreto 2364 del 2012 dispuso como firma electrónica “métodos tales como códigos, contraseñas, datos biométricos o claves criptográficas privadas, que permiten identificar a una persona, en relación con un mensaje de datos …”. Con esto, estableció como requisito de confiablidad dos características que deberán ser concomitantes: “1. Los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante. 2. Es posible detectar cualquier alteración no autorizada del mensaje de datos, hecha después del momento de la firma”. Finalmente, el Decreto 620 del 2020 estableció los mecanismos de autenticación y firma de documentos electrónicos. Ahora bien, me sorprendió que el Decreto 806 del 2020 haya incluido una norma en la que valida el otorgamiento de poderes judiciales con tan solo la “antefirma” (el nombre de la persona). En mi opinión, este es un retroceso en los procesos de confianza en el sistema judicial y en los propios documentos, pues, además de desconocer toda la normativa en materia de firmas electrónicas que existe en Colombia, genera un grave riesgo desde el punto de vista documental, dejando casi desprovistos de armas a los jueces al identificar firmas y documentos idóneos, que seguro se prestarán para miles de problemas. Tipos de firmas electrónicas Por lo anterior, es importarte entender los tipos de firmas electrónicas, algunos ejemplos de las mismas y qué no es una firma electrónica. – Firma electrónica. Son métodos tales como códigos, contraseñas, datos biométricos o claves criptográficas privadas que permiten identificar a una persona en relación con un mensaje de datos, siempre y cuando este sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente. Hay tres tipos de firma electrónica: simple, biométrica y digital (D. 2364 de 2012) – Firma electrónica simple-compleja. Es una firma electrónica simple, a la que se le añade un medio adicional de verificación o firma, como un sistema de confrontación de información, una OTP (One Time Password), mensaje de texto de verificación, u otro similar, regulada por el Decreto 2364 del 2012. La firma electrónica simple-compleja puede ser activa o pasiva. La primera es cuando el firmante proporciona directamente el sistema de verificación adicional, mientras que la segunda es cuando es el sistema el que la valida. – Firma electrónica biométrica. Son firmas electrónicas en los que la identidad del firmante queda asociada a la captura o el cotejo de sus datos biométricos, que pueden ser de distintos tipos: iris, rostro, huella o voz, entre otras. Está regulada por el Decreto 2364 del 2012. – Firma digital. Es un valor numérico adherido a un mensaje de datos que permite determinar, de un lado, la identidad del creador del mensaje y, del otro, que dicho mensaje no ha sido modificado posteriormente. Se encuentra regulada por los ar-tículos 2º, 7º y 28 de la Ley 527 de 1999. Las firmas digitales son emitidas por una entidad de certificación avalada por el Organismo Nacional de Acreditación (Onac). Ejemplos de firmas electrónicas más comunes A continuación, daremos algunos ejemplos de las firmas electrónicas más comunes: (i) Identificación de registro. Los datos de registro utilizados por el sistema se podrán usar como firma, es decir aquella información capturada del usuario directamente o por intermedio del sistema, como sus datos personales, incluso biométricos, los logs o registros de conexión, la dirección IP y cualquier dato unido a esta información o el conjunto de la misma. (ii) Datos de navegación. Se podrán capturar como firma o parte de la misma los
Protección de Datos – Colombia es elegida presidenta de la red iberoamericana de protección de datos personales
Colombia a través de la Superintendencia de Industria y Comercio, en su rol de Autoridad Nacional de Protección de Datos Personales, fue elegida como Presidenta de la Red Iberoamericana de Protección de Datos Personales (RIPD) por las autoridades que integran dicha red. La RIPD fue creada en 2003 y actualmente está integrada por 34 organizaciones. 16 de ellas son las autoridades de protección de datos de México, Andorra, España, Argentina, Chile, Colombia, Costa Rica, Panamá, Perú, Uruguay y Portugal, y 18 son observadores dentro de los cuales se destacan la Organización de Estados Americanos (OEA), el Supervisor Europeo de Protección de Datos, el Comité Consultivo del Convenio 108 del Consejo de Europa, entre otros. Desde sus orígenes, la RIPD ha actuado como un foro integrador de los sectores público y privado que desarrollan iniciativas y proyectos relacionados con la protección de datos personales en Iberoamérica, buscando fomentar y mantener un permanente intercambio de información, experiencia y conocimiento etre la Red. Adicionalmente, la RIPD representa un equipo de cooperación entre autoridades de protección de datos para adelantar investigaciones de gran impacto sobre eventuales vulneraciones de los derechos de las personas respecto de la recolección, uso, circulación y tratamiento de sus datos personales. Durante los últimos 2 años la delegatura de datos personales de la Superintendentencia de Industria y Comercio ha impuesto más de 140 multas por un valor superior a los 14 mil millones de pesos. Fuente: Colombia es elegida presidenta de la red iberoamericana de protección de datos personales | Superintendencia de Industria y Comercio (sic.gov.co)
Protección de Datos – ¿Están seguras nuestras huellas?
El registro de las huellas de los colombianos, como corresponde, está en manos de la Registraduría. Con la irrupción de adelantos informáticos, se han convertido en el insumo esencial para que sea verificada la identidad de las personas en diversos trámites que adelantan diariamente. Empresas privadas o terceros autorizados por la ley, pagan altas sumas de dinero por consultar paquetes que pueden ir desde los 100.000 hasta los 12 millones de huellas. Todo al amparo de una norma que autoriza consultar la base de datos a determinados operadores biométricos (privados). Cuando un colombiano acude a un banco para adelantar algún trámite, generalmente se le solicita poner su huella. Esto mismo ocurre en notarías o en distintas entidades públicas y privadas, pero ¿cómo y por qué entidades o terceros pueden consultar la base datos de huellas de la Registraduría? ¿Cuál es el manejo que la Registraduría da a las huellas de los colombianos? Ese proceso de verificación de identidad y la forma en que se hace, ha generado algunas inquietudes. Una fuente experta, que prefirió no identificarse, considera que este servicio no sólo es, según la fuente, un negocio con las huellas de los colombianos, quienes a su juicio, no son informados o consultados sobre ese proceso, sino un riesgo el que cada vez sean más las empresas que consultan o tiene acceso a información sensible. Esta entidad presta el servicio de acceso a su base de datos, con base en el artículo 159 de la Ley 1753 de 2015, que creó la obligatoriedad de permitir el acceso a entidades públicas a la información, norma que menciona la figura de “aliado tecnológico”. “Para el desarrollo de los planes, programas y proyectos incluidos en el Plan Nacional de Desarrollo y en general para el ejercicio de las funciones públicas, las entidades públicas y los particulares que ejerzan funciones públicas, pondrán a disposición de las entidades públicas que así lo soliciten, la información que generen, obtengan, adquieran o controlen y administren, en cumplimiento y ejercicio de su objeto misional…”, dice esa ley. Esa misma norma señala que el suministro de la información será gratuito, debe ser solicitado y realizarse respaldado en estándares que faciliten el intercambio y no en tecnologías específicas. Y añade que: “no estará sujeto al pago de tributo, tarifa o precio alguno y las entidades públicas sólo podrán cobrar los costos asociados a su reproducción o los derivados de la aplicación de procesamientos o filtros especiales…” Las entidades que necesiten acceder a la base de datos biométrica de la Registraduría, además, pueden implementar infraestructura propia o mediante un “aliado tecnológico” certificado por el órgano electoral. En la resolución 5633 del 29 de junio del año 2016, se reglamentaron las condiciones y el procedimiento para el acceso a las bases de datos. En ese documento se hacen precisiones sobre cómo se podrá acceder a la consulta de las huellas, los requisitos que se deben cumplir y se menciona el manejo que se debe dar a la información. “…La Registraduría Nacional del Estado Civil autorizará y pondrá a disposición de las entidades interesadas, la consulta de las bases de datos que produce y administra para el cumplimiento de las obligaciones constitucionales y legales (entidades públicas y particulares con funciones públicas) o con el objeto social (particulares autorizados por la ley), según el caso…”, señala uno de los apartes del artículo 3. Para consultar la base de datos que contiene la información biográfica y biométrica, indica la resolución, se deberá presentar por escrito una solicitud indicando la información requerida, específicamente, si lo hará a través de operadores biométricos y argumentar las razones por las requiere consultarla. Algunos de los cuestionamientos que han surgido es que este proceso se haga mediante un convenio interadministrativo y no una licitación, también porque consideran existe un “negocio” en el que no sólo la Registraduría recibe unos ingresos por dicha consulta, sino también los llamados los operadores biométricos. La fuente experta, considera que se está dando una comercialización de las huellas, sin pedir ninguna autorización o consentimiento de los ciudadanos y exponiendo la información de los mismos. Actualmente existen 6 operadores biométricos y 14 entidades del Estado, según la Registraduría, que tienen acceso a la base datos. Es decir, consultan la base de datos para el proceso de autentificación biométrica, por ejemplo: la Fiscalía, Policía Nacional, Cancillería, Aeronáutica Civil, Colpensiones, entre otras. Pero las entidades públicas no son las únicas que lo hacen. Además, existen 19 firmas particulares autorizadas por la ley que también acceden al servicio y consultan la base de datos de huellas de los colombianos. La Asociación de Notarios, la Asociación Bancaria de Colombia, empresas del sector de las Telecomunicaciones y de Seguridad Social, son algunas de ellas. El acceso o consulta de la base de datos que contiene la información biográfica y biométrica tiene un costo. Este incluye la presentación de una prueba técnica para habilitarse como operador biométrico, que según la resolución 1204 del 05 de febrero de este año, asciende a 11 millones de pesos, y, adicionalmente, tarifas millonarias para consulta de las huellas que requiera la entidad pública o particulares autorizados por la ley. De ese cobro se exceptúa a la entidades públicas que cumplen funciones públicas administrativas, como la Policía y la Fiscalía. ¿Los colombianos deberían ser informados sobre el manejo que se le da a sus huellas o información personal? ¿Es necesario solicitar a los ciudadanos algún tipo de autorización para comercializar con su información? ¿Qué implicaciones puede tener permitir a terceros el acceso a información sensible, como son los datos personales de los ciudadanos y qué garantiza que no se utilice para fines distintos a los señalados?, son algunas de las preguntas que surgen. El director Nacional de Identificación de la Registraduría Nacional, Didier Chilito, manifestó que esa entidad exige “rigurosos” protocolos de seguridad para el proceso de autentificación biométrica, “que impiden que la información pueda ser utilizada para fines distintos al autorizado”. “La información de la huella se recibe, se compara contra nuestras bases de datos y simplemente se retorna un resultado indicando si la persona que está del otro lado de la
Protección de Datos – Superindustria sanciona nuevamente a Scotiabank Colpatria por incumplir ley de protección de datos
Bogotá D.C., 20 de abril de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, impuso una multa a SCOTIABANK COLPATRIA de SETENTA Y DOS MILLONES NOVECIENTOS VEINTITRES MIL CIENTO TREINTA Y SEIS PESOS ($72.923.136) al no atender la solicitud de un ciudadano de retirar sus datos personales de la base de datos del Banco. El caso, que se resolvió a a través de la Resolución 78221 de 2020, inició con ocasión de la queja de un ciudadano quien informó que había presentado al banco SCOTIABANK COLPATRIA varias peticiones para que eliminara sus datos personales para no recibir publicidad de la entidad bancaria. Sin embargo, y después de haber sido notificado de que sus datos ya se habían eliminado de la base de datos, la persona siguió recibiendo llamadas y ofertas desde el banco. En la investigación, la Superindustria concluyó que SCOTIABANK COLPATRIA hizo caso omiso a las solicitudes de supresión de datos realizadas en varias ocasiones por el titular de los mismos y no garantizó al titular su derecho fundamental de hábeas data. La decisión tiene recurso de reposición y apelación. Fuente: Superindustria sanciona nuevamente a Scotiabank Colpatria por incumplir ley de protección de datos | Superintendencia de Industria y Comercio (sic.gov.co)
Protección de Datos – ¿Es lícito el tratamiento de datos personales si la cláusula de consentimiento ya está marcada por la empresa?
En su sentencia de fecha 11 de noviembre, en el asunto C-61/19, el Tribunal de Justicia de la Unión Europea establece que no es válido el consentimiento otorgado por un cliente para la obtención y la conservación de sus datos personales cuando la casilla había sido marcada antes de la firma del contrato por el responsable del tratamiento de la compañía demandada. Además, el TJUE subraya que la posibilidad de celebrar el contrato en cuestión no se vería afectada en caso de que el cliente no aceptara la cláusula controvertida y recuerda que la compañía de prestación de servicios no puede obstaculizar la negativa al consentimiento de tratamiento de datos personales mediante la obligación de expresar tal negativa mediante un formulario adjunto al contrato. La cuestión prejudicial El origen de esta cuestión prejudicial tiene lugar el 28 de marzo de 2018, cuando la Autoridad Nacional de Supervisión del Tratamiento de Datos Personales (ANSPDCP) impuso una multa a Orange România, una compañía que presta servicios de telecomunicaciones móviles en el mercado rumano, por haber obtenido y conservado las copias de los documentos de identidad de sus clientes sin el consentimiento expreso de estos. Además, exigió a la compañía que destruyera dichas copas. Así las cosas, Orange interpuso recurso ante el Tribunal de Distrito de Bucarest (Rumanía) contra la resolución de 28 de marzo de 2018. Según las verificaciones efectuadas por el órgano jurisdiccional remitente, existen, por un lado, contratos en los que se ha insertado una cruz en la casilla correspondiente a la cláusula relativa a la conservación de copias de documentos que contienen datos personales con fines de identificación y, por otro, contratos en los no figura esa cruz. Dicho órgano jurisdiccional precisa que, pese a lo mencionado en sus condiciones generales de contratación, Orange no se oponía a celebrar contratos de abono con clientes que se negasen a prestar su consentimiento para la conservación de la copia de uno de sus documentos de identidad y concluye señalado que el “procedimiento interno” de comercialización de Orange disponía que esa negativa debía hacerse constar en un formulario específico que los clientes debían firmar antes de la celebración del contrato. En estas circunstancias, el Tribunal de Distrito de Bucarest solicitó al Tribunal de Justicia que precisara las condiciones en las que puede considerarse válido el consentimiento de los clientes para el tratamiento de datos personales. Las claves del consentimiento válido En primer lugar, la justicia europea recuerda que el Derecho de la Unión no admite como válido el consentimiento de tratamiento de datos personales en caso de silencio, de casillas ya marcadas o de inacción del interesado, sino que dicho consentimiento debe ser libre, específico, informado e inequívoco. En segundo lugar, el TJUE afirma que para garantizar al interesado una verdadera libertad de elección, las estipulaciones contractuales relativas al tratamiento de datos personales deben presentarse de forma inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo. Así, según el tribunal de justicia, en el caso controvertido corresponde al tribunal rumano comprobar si dichas estipulaciones contractuales podían inducir a error a los clientes interesados en cuanto a la posibilidad de celebrar el contrato pese a no consentir en el tratamiento de sus datos. Finalmente, el TJUE recuerda que la prestadora de servicios está obligada a demostrar que sus clientes manifestaron su consentimiento para el tratamiento de sus datos personales mediante un comportamiento activo, pero no puede exigirles que manifiesten su negativa de manera activa. Así, en lo relativo al formulario adicional que Orange hacía firmar a los clientes que se negaban al tratamiento de sus datos personales, señala el TJUE que este requisito adicional afecta indebidamente a la libre elección de oponerse a esa obtención y a esa conservación. Fuente: https://noticias.juridicas.com/actualidad/jurisprudencia/15731-iquest;es-licito-el-tratamiento-de-datos-personales-si-la-clausula-de-consentimiento-ya-esta-marcada-por-la-empresanbsp;/
