Noticias
El Ministerio de Justicia abre un periodo de consulta pública previa para adaptar la normativa española al RG de Protección de Datos
    Le informamos que El Ministerio de Justicia ha abierto un periodo de consulta pública previa …

Experto LOPD
Resumen de principales novedades y aspectos RG Protección de Datos
La Agencia Española de Protección de Datos (AEPD) ha publicado en su página web una serie de nuevos materiales y recursos con los que facilitar …

Home

Experto LOPD


Resumen de principales novedades y aspectos RG Protección de Datos

Noticias - Experto LOPD
La Agencia Española de Protección de Datos (AEPD) ha publicado en su página web una serie de nuevos materiales y recursos con los que facilitar a las pequeñas y medianas empresas su adaptación al Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2016 y comenzará a aplicarse el 25 de mayo de 2018.

Dichos materiales incluyen:
 
 Guía del Reglamento para responsables de tratamiento, descargar
 Directrices para elaborar contratos entre responsables y encargados, descargar
 Guía para el cumplimiento del deber de información, descargar
 
El objetivo final de esta iniciativa por parte de la Agencia es que las PYMES conozcan el impacto que va a tener el Reglamento en la forma en la que tratan datos para que puedan adaptar sus procesos a la nueva normativa, ya que esta supone un cambio en el modelo de cumplimiento y exige un compromiso más activo. El objetivo es ofrecer la mayor información posible a las pymes, que suponen el 99% del tejido empresarial español. Por supuesto, dichas herramientas podrían servir también a las Grandes Empresas, no obstante estas últimas deberían personalizar los
materiales facilitados a su propia estructura y complejidad.
 
DGE COMPLIANCE, como área de cumplimiento normativo de DGE Bruxelles Consulting Group, ayudará a todos sus clientes adoptar en modo gradual sus procesos de recogida y tratamiento de datos de carácter personal a las nuevas exigencias del reglamento UE basándonos principalmente a estas herramientas y materiales facilitadas por la propia Agencia, algo que nos aporta seguridad jurídica sobre la adecuación de los procesos, adaptando por supuesto cada vez dichos soportes y procedimientos a la propia realidad de cada cliente.

Dentro de este proceso, hemos elaborado un breve resumen de las principales novedades y aspectos que trae el nuevo Reglamento Europeo de Protección de Datos, puede acceder y descargarlo aqui.
 
 
 

Primer análisis y principales novedades del Reglamento Europeo de Protección de Datos

Noticias - Experto LOPD

Situación actual por la entrada en vigor del Reglamento

El Reglamento General de Protección de Datos ha entrado en vigor el 25 de mayo de 2016, pero no comenzará a aplicarse hasta dos años después de su entrada en vigor, el 25 de mayo de 2018. Hasta entonces, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos y su Reglamento de desarrollo siguen siendo plenamente válidos y aplicables.

Los motivos por los que se pospone dos años la aplicación del Reglamento son principalmente dos, por un lado para que las entidades, instituciones y organismos puedan ir preparándose y adaptándose a los nuevos requerimientos y por otro para que se en España se puedan elaborar las normas necesarias para desarrollar y permitir la aplicación del Reglamento.

Por esta razón en estos momentos todavía no podemos proponer un calendario de medidas concretas y específicas.

 Novedades que trae el Reglamento

Las novedades que debemos ir teniendo en cuenta son las siguientes:

  1. En cuanto a las empresas que deben cumplir el Reglamento, se amplía el ámbito de aplicación a aquellas empresas no establecidas en la Unión Europea que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea o como consecuencia de una monitorización y seguimiento de su comportamiento.
  2. Se refuerza la exigencia de consentimiento, mediante una declaración o una acción positiva no pudiendo deducirse del silencio o de la inacción, estableciendo la obligación de disponer de sistemas de registro del consentimiento. Además se introduce la exigencia del consentimiento para la oferta directa a niños de servicios de la sociedad de la información (internet), que será válido para mayores de 14 años, mientras que para menores de 14 años se necesitará el consentimiento del padre o tutor.
  3. A los ya considerados como datos especialmente protegidos (ideología, religión, afiliación sindical, creencias, salud, origen racial y vida sexual) se añaden los datos genéticos y biométricos dirigidos a identificar de manera inequívoca a una persona.
  4. Se refuerza el derecho de transparencia, obligando a suministrar más información con carácter previo a la recogida de sus datos y el derecho al olvido para pedir que los datos personales sean suprimidos en determinadas circunstancias.
  5. Se introducen nuevos supuestos para la cancelación (bloqueo) de los datos.
  6. Se introduce el derecho a la portabilidad de los datos para solicitar a un responsable que los esté tratando de modo automatizado bien la recuperación de esos datos en un formato que permita su traslado a otro responsable o bien la transferencia de los datos directamente al nuevo responsable cuando sea técnicamente posible.
  7. Se establece la protección de datos desde el diseño, mediante la aplicación de medidas apropiadas al determinar los medios de tratamiento y en el momento mismo del tratamiento y la protección por defecto para que los datos personales no sean accesibles sin la intervención de la persona a un número indeterminado de personas físicas.
  8. Se establece la obligación de mantener un registro de ficheros y tratamientos por encargo de terceros en empresas con más de 250 trabajadores, en tratamientos de datos que entrañen riesgo para derechos y libertades, en tratamiento de datos  especialmente protegido o en tratamientos de datos relativos a condenas e infracciones penales.
  9. Se introduce la obligación de notificación a la Agencia Española de Protección de Datos y al interesado aquellas brechas de seguridad que se produzcan y que supongan riesgo de daños y perjuicios físicos, materiales o inmateriales para las personas físicas.
  10. Se impone la obligación de realizar evaluaciones de impacto en protección de datos (EIPD), siempre que sea probable que las operaciones de tratamiento, especialmente cuando se utilicen nuevas tecnologías, entrañen un alto riesgo para los derechos y libertades de las personas físicas. La Agencia Española de Protección de Datos publicará listas de los tipos de operaciones de tratamiento que requieran una evaluación de impacto.También se impone la obligación de nombrar un delegado de protección de datos cuando  los tratamientos que lleven a cabo por autoridades y organismos públicos (excepto los  tribunales), cuando las actividades principales requieran observación habitual y sistemática de interesados a gran escala o cuando consistan en el tratamiento a gran escala de datos especialmente protegidos o relativos a condenas e infracciones penales.
  11. Se insta a asociaciones u otros organismos que representen a categorías de responsables o encargados en determinados sectores a que elaboren códigos de conducta para facilitar la aplicación del Reglamento a las microempresas y las pequeñas y medianas empresas. Se fomenta el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos que permitan evaluar el nivel de protección de datos de los productos y servicios y demostrar el cumplimiento del Reglamento.
  12. Se revisa el régimen de transferencias internacionales de datos que se estructura en transferencias basadas en decisión de adecuación por la Comisión Europea, en ofrecimiento de garantías adecuadas mediante instrumentos jurídicamente vinculantes o en la elaboración de normas corporativas vinculantes.
  13. Se establece un sistema de ventanilla única para que los responsables establecidos en varios Estados miembros de la Unión Europea o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la Unión Europea  tengan una única Autoridad de protección de datos como interlocutora. 
  14. Se crea el Comité Europeo de Protección de Datos que sustituye al Grupo de trabajo del artículo 29 de la Directiva 95/46/CE
  15. Se prevén poderes para sancionar con una advertencia, apercibimiento, solicitud de atención de ejercicio de derechos, limitaciones del tratamiento, y multas administrativas para las que se contempla un importante aumento de las cuantías que pueden llegar hasta los 20.000.000 o un 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Se prevé que para el 25 de mayo de 2018 los Estados miembros comuniquen a la Comisión otras sanciones efectivas, proporcionadas y disuasorias que decidan aplicar para las infracciones que no estén sancionadas con multas administrativas en el Reglamento.

 
Pasos a seguir para la adaptación al nuevo Reglamento

Como vemos son muchas y muy importantes las novedades que nos trae este Reglamento, por lo que no debemos esperar hasta el último momento y comenzar ya con su paulatina incorporación siempre y cuando no sean contradictorias con la normativa que sigue vigente hasta mayo de 2.018, pero actuando con prudencia mediante un seguimiento puntual de las leyes y normas que a nivel nacional se vayan publicando para desarrollar y permitir la aplicación del Reglamento.


Para más información puede consultar la nota informativa de la Agencia Española de Protección de Datos.

 

BIG DATA versus PRIVACIDAD

Noticias - Experto LOPD

En este mundo globalizado en el que vivimos, se está produciendo desde hace unos pocos años, un fenómeno tecnológico que se ha dado en llamar Big Data por sus propios analistas. Hoy vamos a acercarnos a este macro- fenómeno. Se trata de un inmenso “mercado persa” de información que se caracteriza por el infinito volumen de datos que contiene, por la variedad en su tipología, por la velocidad con la que se producen los cambios y por el valor económico que los datos poseen.

Las implicaciones jurídicas, sociales y económicas del Big Data son incuantificables, aunque subyace que -como en todo mercado- el valor económico es, con diferencia, el más importante y esto lo convierte en un apetecible caramelo para grandes organizaciones como Compañías Aseguradoras y Bancos, y también para las autoridades públicas. El tratamiento masivo de los datos está forzando al cambio de los modelos de negocio y, con ello también está cambiando la perspectiva que tienen los empresarios de los datos que poseen.

Jurídicamente no tenemos una legislación adecuada que vaya en paralelo al desarrollo técnico que el Big Data supone, así que nos vamos encontrando con una aplicación desigual del Derecho, cada cual aplica la normativa como mejor le conviene, y comprobando esta superación legislativa por la técnica, sólo nos queda la defensa de los principios fundamentales de la protección de datos personales. En este marco, fructifican las grandes inversiones en cumplimiento normativo de las empresas emblemáticas de nuestro país, como es el caso de las empresas que conforman el IBEX 35, que necesitan sujetar sus tratamientos masivos de datos lo más posible a la legislación vigente, utilizando instrumentos que evalúen el impacto en protección de datos de sus actividades y compatibilicen la transparencia en el uso que de los datos realizan, con el necesario otorgamiento a sus clientes de un control sobre los mismos.

Los peligros del Big Data, son todo un reto para la Agencia Española de Protección de Datos, que ha de cubrir las demandas de los ciudadanos que buscan salvaguardar su privacidad, pero ¿cómo se pueden establecer controles al Big Data? ¿cómo y quién pone puertas al campo?...

Es necesario tutelar los derechos personales para que sean compatibles con la libre circulación de datos a nivel económico y hay que despojar al consentimiento de su sentido de acto formal para convertirlo en un acto de responsabilidad individual fruto de la tecnificación. Asimismo, debe informarse sobre la utilización de los datos para una finalidad radicalmente distinta de aquella para la cual se recabaron, y además se debe informar a los ciudadanos sobre la entrada en juego de terceras empresas, distintas de las que recogieron los datos, que van a dedicarse a analizarlos y convertirlos en patrones, porque para ello van a tratar nuestros datos, basándose en la técnica de las predicciones, van a crear perfiles.

Como parece imposible saber a priori cuáles van a ser los tratamientos posteriores a que se van a someter nuestros datos (recogidos en un primer momento con nuestro consentimiento para finalidades determinadas), entonces es insoslayable anonimizarlos, porque el procedimiento disociatorio no necesita consentimiento ni tampoco finalidad, en este punto la privacidad desaparece. Desde algunas voces autorizadas, se defiende que aún estando los datos despersonalizados, el cliente debería poder sustraer sus propios datos a los procesos de anonimización y ello por una razón, ningún técnico/ingeniero informático puede garantizar que, después de producida la anonimización no se pueda volver a la asociación, es decir, hablamos de la re-identificación del cliente inicial como consecuencia de distintos procesos de combinación masiva de datos. Frente a esto, es indispensable establecer medidas organizativas y de seguridad aplicables a las empresas que desarrollan los patrones.

En fin, el Big Data ha llegado para quedarse, desarrollarse y cambiar nuestro modo de vida, y a la par, necesitamos una autoridad controladora que proteja nuestros derechos y los defienda, porque nuestros datos personales son el principal activo económico de este “mercado persa”.

Fuentes: APEP, AEPD.

 

Los riesgos de la contratación en la nube (cloud computing) ¿están nuestros datos seguros?

Noticias - Experto LOPD
 Atendiendo las premisas de la Agencia Española de Protección de Datos y de la Organización Internacional CSA (Cloud Security Alliance), el primer riesgo del cloud es la falta de transparencia sobre las condiciones en las que prestan el servicio los proveedores de cloud y el segundo riesgo, que nace como consecuencia del primero es, la falta de control del responsable (el cliente de cloud) sobre el uso y gestión de los datos personales por parte de los agentes implicados en el servicio,  porque al no saber donde están ubicados los datos, tendrá serias dificultades para poder disponer de ellos. 

Es el prestador de cloud el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la ausencia de una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, y de esta forma, no podremos en modo alguno evaluar los riesgos y establecer los controles adecuados. 

Por lo dicho, cuando queremos contratar un servicio de cloud computing, la única manera que tenemos de evitar esos riegos es la formalización de un contrato de prestación de servicios con TODAS las pautas que establece la Ley Orgánica de Protección de Datos (articulo 12 LOPD), aunque bien es cierto que, normalmente no se puede negociar con los proveedores de cloud las cláusulas del contrato, ya que estos nos ofrecen contratos de adhesión (contratos tipo) con clausulas contractuales cerradas y de esta forma desaparece la posibilidad de fijar las condiciones de contratación en función del tipo de datos que se van a procesar. 

Tampoco participaremos en el establecimiento de las medidas de seguridad exigibles, que  han de servir para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad. 

Siguiendo con el tenor legal del artículo 12 mencionado , se habría de poder definir el esquema de subcontratación, de modo que el prestador del servicio de cloud nos informara sobre la tipología de servicios que pueden subcontratarse con terceros, qué empresas intervienen y, por último, pudiéramos manifestar nuestra conformidad a su participación, pero, desgraciadamente, tampoco podemos participar en ello. 

También deberíamos estar bien informados sobre la concreta localización de los datos, porque las garantías exigibles para su protección son distintas según los países en que se encuentren, y nuestros datos pueden estar ubicados en cualquier punto del planeta, sin que nosotros lo sepamos, lo único que sabemos  a ciencia cierta es que los países del Espacio Económico Europeo ofrecen garantías suficientes y cuando nuestros datos viajan en este marco, no se considera legalmente que exista una transferencia internacional de datos (el Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega), y si los datos están localizados en países que no pertenecen al Espacio Económico Europeo entonces sí habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas. 

El proveedor debería obligarse, cuando termine la prestación del servicio o se resuelva el contrato por cualquier otra causa, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales, esto significa garantizar la  portabilidad de los datos. Esto es particularmente importante en los casos en que el proveedor de cloud modifique unilateralmente las condiciones de prestación del servicio dado su poder de negociación frente al cliente. 

 El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad. 

Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. 

El cliente de cloud computing, como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO a los ciudadanos. Para ello, el proveedor de cloud debe garantizar su cooperación y las herramientas adecuadas para facilitar la atención de dichos derechos. 

En conclusión, no deberíamos firmar ningún contrato de prestación de servicios de cloud computing al margen de las pautas de la LOPD, porque la ignorancia de las pautas de la ley, no exime de su cumplimiento, y habremos de tener muy en cuenta que  ninguna de las dos partes (el cliente de cloud y el proveedor de cloud), están exentas de las responsabilidades derivadas del incumplimiento de la LOPD. Si su proveedor de cloud no le permite hacer todo lo aquí descrito, es decir, cumplir con la ley, debería plantearse la posibilidad de ir buscándose otro. 

Fuentes: AEPD, CSA.
 

El tratamiento de los datos personales en las redes por el Community Manager

Noticias - Experto LOPD
 SI NO ESTÁS EN INTERNET, NO ESTÁS EN EL MUNDO….está es la máxima que siguen casi todas las empresas hoy en día y de la que se deduce la importancia que tiene estar presente en las redes sociales y de esta “necesidad”  nace la figura del Community Manager, considerado como el intermediario entre la empresa y el usuario, su labor es representar a la empresa en los entornos on line y trasladar los valores corporativos a los usuarios, así como también resolver quejas y ofrecer información que estos le soliciten. De esta forma se garantiza la presencia de una empresa/marca en Internet y, especialmente la labor de gestión e interactuación con los usuarios de la Red que realiza el Community Manager redundará en la buena imagen de la empresa a la que representa, siempre que realice bien su trabajo, lo cual a medio y largo plazo también puede arrojar como resultado la obtención de mayores ventas.

El Community Manager para desarrollar su trabajo ha de ceñirse a una serie de normas que afectan a su actividad y una de ellas es la normativa de protección de datos porque dentro de las comunidades en las que participe pueden convivir personas jurídicas o físicas, por lo que respecto a estas últimas se le aplicará la normativa específica de privacidad, a saber, la Ley Orgánica 15/1999, de 15 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de Desarrollo, Real Decreto 1720/2007. En este sentido, el Grupo de Trabajo del Artículo 29, considera que miembros de Redes Sociales como las asociaciones y las empresas, pueden ser responsables de tratamiento de datos con independencia de que lo sea también el proveedor de la Red Social en la que se desenvuelva por lo que se les aplicaría la citada normativa, dado que tratarían datos personales con una finalidad propia de índole comercial.

La relación jurídica que existe entre la empresa y el Community Manager se engloba dentro del supuesto del art. 12.1 LOPD, ya que se le contrata por una empresa a la que representa, con el fin de tratar y gestionar los contenidos y datos de los usuarios que forman parte de una comunidad virtual, tales como nombres y apellidos, fotos de perfil, correos electrónicos, teléfono), por tanto ha de firmarse un contrato en el que se establezcan todos los extremos contenidos en el art. 12 LOPD. Y, como encargado de tratamiento, le será de aplicación el régimen sancionador previsto en l LOPD establecido en el art. 12.4 en relación con el art. 43 y siguientes.

Pero ahí no acaba todo, a renglón seguido tenemos que considerar que a las Redes Sociales les es de aplicación, en su calidad de servicios de la sociedad de la información, la Ley 34/2002, de 11 de Julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, y esto significa que en las comunicaciones comerciales que realice el  Community Manager con los usuarios de la comunidad, es imperativo legal que haya obtenido el consentimiento para ello. No obstante, siguiendo lo establecido en el art. 12.1 la LOPD no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento, y el Community Manager ha de acceder a los datos de que dispone la empresa que le contrata para prestar sus servicios, así que –en base a esta interpretación- no habría que solicitar el consentimiento a los usuarios.

Como se puede comprobar, la cuestión no es pacífica, así que visto el panorama, quizá lo más adecuado y prudente es solicitar mediante las cláusulas y leyendas necesarias el consentimiento para tratar los datos de los usuarios de la comunidad y ello teniendo en cuenta que, en caso contrario, el Community Manager podría enfrentarse a la comisión de una infracción grave del art. 44, 4.b de la LOPD, sancionada con multa de 300.001 € a 600.000 €.

 
Más artículos...