Seminario "Novedades del Nuevo Reglamento Europeo de Protección de Datos"

AT Group presenta el Seminario "Novedades del Nuevo Reglamento Europeo de Protección de Datos" que forma parte de la presentación del "Curso Universitario de Acreditación como Data Protection Officer" y que tendrá lugar el jueves 9 de marzo a las 17:00 horas.

El seminario será gratuito y con plazas limitadas.

Para más información y/o confirmación de asistencia contacte con nosotros a "info@atgrup.com".

EL DOCUMENTO DE SEGURIDAD

Actualmente el uso y las transferencias de datos son un hecho cada vez más común y que se realiza de forma masiva por lo que la protección de los datos personales es un elemento esencial para la intimidad de las personas, derecho fundamental que recoge la Constitución. Por ello, es necesario que se tomen una serie de medidas que ofrezcan unas garantías suficientes para la seguridad de los datos.

Así pues, el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, establece que el responsable del fichero o el encargado deberá tomar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos. Además, el Real Decreto 1720/2007, de 21 de diciembre, que desarrolla la LOPD, en adelante RDLOPD, añade que entre éstas medidas se encuentra la elaboración de un documento que recoja el conjunto de medidas de seguridad, es decir, el llamado documento de seguridad.

Dicho esto, podemos afirmar que siempre que se traten datos se deberá tener un documento de seguridad, sean pocos o muchos, un fichero o más. Y, ¿cómo debe ser este documento? El mismo RDLOPD se encarga de desarrollarlo en su capítulo II y, además, permite distintas opciones en relación a dicho documento: que se tenga un documento común para todos los ficheros, uno para cada fichero o uno por grupo.

Dicho lo anterior, vamos a ver qué debe contener el documento de seguridad y por ello nos remitimos al artículo 88.3 RDLOPD que nos establece el contenido mínimo:

• Ámbito de aplicación del documento.
• Medidas, normas y procedimientos de actuación. Es la parte básica del documento, se fijan las bases y protocolos de actuación en el tratamiento de datos dentro de la organización determinando los procesos existentes y actualizando el documento cuando existan procesos nuevos o nuevas normas.
• Funciones y obligaciones del personal que trate datos. Es uno de los apartados más importantes ya que se va a definir quién tiene acceso a qué datos, en qué condiciones y qué responsabilidades se derivan de ello.
• Estructura de los ficheros y los sistemas de información. Se deberá hacer una descripción detallada de los ficheros así como los sistemas manteniendo actualizada la relación.
• Procedimiento de notificación, gestión y respuesta ante incidencias. Hace referencia a todo aquello relacionado con las incidencias de modo que cuándo se produzca una exista un protocolo de actuación en todos los sentidos: notificación, gestión y respuesta ante la misma.
• Procedimiento de copias de respaldo y recuperación de los datos. En este apartado se deberá hacer referencia a periodicidad de las copias, cómo se realizaran y quién será el encargado de realizarlas, etc.
•  Medidas necesarias para el transporte de soportes y documentos, destrucción y/o reutilización. El objetivo final es la destrucción de los datos de forma efectiva de modo que se establezca un proceso que no deje lugar a posibles fugas o pérdidas de información en el proceso de destrucción. Por ejemplo, si se contrata a un tercero para ello deberá constar en el documento identificando el tercero así como las condiciones.

Cabe añadir que en el caso de tratar datos de nivel medio o alto se deberá identificar al responsable/s de seguridad así como los controles periódicos que se deben realizar para verificar el cumplimiento del documento, artículo 88.4 RDLOPD.

Asimismo si hay tratamiento de datos por cuenta de terceros también se deberá reflejar en el documento con la identificación de ficheros y tratamientos así como el contrato y sus condiciones. También, si hay tratamiento de datos de forma exclusiva por parte del tercero se deberá reflejar en él.

Finalmente será imprescindible que se mantenga actualizado en todo momento y se adecue a las disposiciones vigentes en materia de protección de datos así como deberá contener todo lo relevante en relación a los tratamientos de datos que se produzcan en la organización intentando plasmar lo mejor posibles los protocolos y procesos que se ejecutan para minimizar los riesgos posibles.

Así pues, queda constancia de que se trata de un documento imprescindible que facilita la tarea ante cualquier incidencia así como nos garantiza el cumplimiento de la normativa de protección de datos de modo que toda empresa debe tenerlo sobre todo si trata datos de carácter medio o alto. Por otro lado, su actualización periódica o ante cualquier cambio relevante será esencial para que refleje la situación real de los procesos de tratamiento y la situación general de la empresa en términos de protección de datos.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN EL RGPD

Una de las novedades más relevantes con la entrada en vigor del nuevo Reglamento General de Protección de Datos es la figura del Delegado de Protección de Datos, en adelante DPO. Una figura inicialmente un poco confusa que se encuentra regulada en los artículos 37 a 39 RGPD y que se ha ido perfilando tras las últimas directrices publicadas por el Grupo de Trabajo del Articulo 29*. A continuación vamos a exponer algunos de los puntos básicos entorno al DPO.

En primer lugar vamos a hablar de cuándo va a ser obligatorio designarlo y el artículo 37 del RGPD nos establece tres supuestos:

•           Cuando el tratamiento sea llevado a cabo por parte de una entidad pública; dejando a cargo de la normativa nacional el concepto de entidad pública. Veremos si el anteproyecto de la nueva LOPD que se prevé para marzo regula este concepto así como si contiene disposiciones específicas para la figura del DPO.
•          Cuando la actividad principal de la entidad consista en operaciones que requieran monitorización regular y sistemática de datos a gran escala. Según la directriz se entiende como actividad principal aquella que se puede considerar una operación clave necesaria para alcanzar los objetivos de la entidad. Como ejemplo, nos expone que el tratamiento de datos en un hospital se puede considerar una actividad principal ya que es necesario para desarrollar su actividad y, por lo tanto, se deberá designar un DPO. En relación a gran escala, se deben considerar factores como el número de usuarios, volumen de datos, duración del tratamiento o la extensión geográfica.
•           Cuando se traten a gran escala datos de categorías especiales o datos relacionados con cargos criminales y delitos.

No obstante, en las demás organizaciones donde se traten datos y no se encuentren en ninguno de estos supuestos seguirá siendo recomendable la designación de un DPO o una persona encargado de la supervisión de los tratamientos y todo aquello vinculado a la protección de datos.

Además, la directriz remarca algunos requisitos básicos del DPO y su designación:

•           Facilidad de acceso, con lo cual se debe encontrar en una posición para una comunicación y trabajo eficiente aunque se encargue de más de una entidad, art. 37.2 RGDP. Aquí cabe mencionar que se podrá designar a un DPO para un grupo de empresas o entidades siempre y cuando se pueda garantizar dicha facilidad de acceso.
•           Conocimientos en protección de datos, desde nivel de experiencia o cualidades profesionales hasta las habilidades para desarrollar su tarea, art. 37.5 RGDP. 
•           La posibilidad de ser contratado a través de un contrato de servicios, art. 37.6 RGDP. Es decir, el DPO podrá ser un trabajador en plantilla o un tercero a través de un contrato de servicios.
•  Cuando se haya designado a un DPO se deberán publicar los datos de contacto del mismo y comunicar los detalles a la autoridad supervisora con el fin de facilitar un contacto directo y confidencial, art. 37.7 RGPD.

En relación a su actividad, el DPO deberá participar en todo aquello relativo a la protección de datos personales desde su fase inicial, se le deberá proporcionar los recursos necesarios para un buen desarrollo de su actividad (tiempo, formación, material, accesos,…), garantizar un grado suficiente de autonomía, no ser penalizado por el desarrollo de sus tareas y evitar que entre en un posible conflicto de intereses.

Y, ¿cuáles serán sus tareas? Principalmente, monitorizar el cumplimiento del RGDP recopilando información, analizando y comprobando los tratamientos proporcionando también asesoramiento a la organización y su personal. También  deberá asistir y dar consejo durante la evaluación de impacto en protección de datos (DPIA) o mantener registro de las actividades de tratamiento ejecutadas bajo su control entre otras funciones.

En resumen, con la regulación del RGPD y la clarificación de esta figura por parte del Grupo de Trabajo del artículo 29, se ha ido perfilando esta figura para que, con la plena entrada en vigor del nuevo Reglamento en mayo de 2018, esté ya consolidada y definida para garantizar el cumplimiento de la normativa dentro de las organizaciones en las que sea obligatorio y, de este modo, aumente previsiblemente los niveles de cumplimiento a nivel europeo.

* Nuevas Directrices del Grupo de Trabajo del Artículo 29 sobre la figura del DPO: 16/EN - WP243 del Grupo de Trabajo del Artículo 29



FORMACIÓN

Si quieres formarte como Delegado de Protección de Datos en AT Group iniciaremos en breve el Curso Universitario de Acreditación como Data Protection Officer junto a la Universidad Rey Juan Carlos. Si estás interesado contacta con nosotros o entra en el siguiente enlace para más información:

MATRÍCULA ABIERTA - Curso DPO

VIDEOVIGILANCIA Y DATOS

Actualmente es un hecho común la instalación de cámaras de videovigilancia en establecimientos, en la entrada de la oficina o incluso dentro de la misma. Fruto de ello es que se recaben datos personales de los usuarios que están siendo grabados y, consecuentemente, se deberá cumplir con distintas normas que regulan la videovigilancia y otros aspectos que de ella derivan.

Antes de nada, vamos a identificar en qué supuestos de videovigilancia será aplicable la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal (LOPD) así como la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos (AEPD), sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. Dichas normas serán aplicables en los supuestos en que se instalen cámara de videovigilancia para fines de seguridad. Por el contrario, no serán aplicables en los supuestos en que sea para uso doméstico o familiar. Visto cuándo será aplicable, vamos a ver qué aspectos se deben tener en cuenta cuando se apliquen las normas anteriores.

En primer lugar, se deberá crear un fichero donde se almacenarán las imágenes grabadas y se deberá notificar a la AEPD la creación del mismo. Este requisito no será necesario cuando el tratamiento de datos consista en la reproducción en tiempo real.

En segundo lugar, se deberá garantizar el derecho a la información de los usuarios que están siendo grabados de modo que se deberá informar de forma pertinente mediante cartel que informe, por lo menos, sobre la existencia del fichero, cómo y ante quién ejercitar los derechos ARCO y la identidad del responsable del tratamiento. Es importante colocar dicho cartel en un lugar donde el usuario sepa que va a ser grabado desde el momento en que entra en la zona videovigilada aunque no es necesario identificar dónde están colocadas las cámaras.

Hay que recordar que aunque la instalación o la contratación de un servicio de videovigilancia sea a cargo de un tercero, eso no exime de lo dicho anteriormente.

En este sentido, en el supuesto de la contratación de los servicios de videovigilancia a un tercero se deberá especificar en el contrato el papel de cada parte (responsable del tratamiento y responsable del fichero), qué datos se van a recabar, qué medidas de seguridad se aplicarán y demás condiciones que garanticen un tratamiento lícito.  

Dicho lo anterior, será obligación del responsable del tratamiento adoptar las medidas adecuadas para evitar la alteración, pérdida, tratamiento o acceso no autorizado a las imágenes y, ¿qué medidas son? Con carácter general, las medidas que se aplicarán a todo tratamiento serán las correspondientes al nivel básico como, por ejemplo, informar del deber de secreto a quienes tengan acceso o adoptar las medidas pertinentes para impedir el acceso no autorizado. Caso distinto será si se tratan datos de un nivel superior que se deberán aplicar otras medidas adicionales.

Finalmente es necesario saber que las imágenes sólo podrán ser conservadas durante el plazo máximo de un mes desde que fueron captadas salvo grabación de un delito o infracción administrativa que se conservarán por parte de la autoridad durante el tiempo necesario.

De esta forma, teniendo en cuenta los aspectos esenciales anteriores cumpliremos con la normativa vigente aunque deberá verse en cada caso qué medidas deberán tomarse y como deberán aplicarse.

Para profundizar en los aspectos comentados puede verse la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras que adjuntamos en los enlaces de interés.

Modelo de cartel informativo AEPD

Enlaces de interés: 

• Instrucción 1/2006, de 12 de diciembre, de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras

• Modelo de cartel informativo AEPD

LA TOMA DE FOTOS EN ACTOS ESCOLARES POR PARTE DE LOS PADRES

¿Pueden los padres tomar fotos de sus niños participando en actos escolares junto con otros niños?

El supuesto de la captación de fotografías de menores es un tema muy delicado y que no tendría espacio suficiente en el presente blog para desarrollar todos sus aspectos. Es por eso, que en el presente artículo nos vamos a centrar en un caso muy concreto, la toma de fotografías de los hijos durante un acto escolar.

A primera vista, podríamos pensar que la protección de datos puede impedir tal acción. No obstante, la Agencia Catalana de Protección de Datos, en adelante Apdcat, se pronuncia a favor de que no debe suponer ningún problema ya que dicha captación de imágenes se considera dentro de una actividad familiar y, por lo tanto, se debe considerar que tiene una finalidad familiar o doméstica excluida de la aplicación de la LOPD, tal y como establece el artículo 2.2 a) LOPD.

Por otro lado, se considera que la captación de imágenes de otros niños participantes en el acto escolar es accesoria y, al no tener otra finalidad que el mero uso doméstico de las fotos, no vulnera ningún derecho.

Un supuesto muy distinto sería el de promoción, venta o cualquier otra finalidad sujeta a la LOPD en cuyo caso debería tener el consentimiento de los tutores legales del menor, tanto para su captación como reproducción.

Dicho lo anterior, el supuesto de la captación de imágenes en los centros educativos debe ser abordado con cuidado y, por ello, es conveniente la formación del personal de los centros en materia de protección de datos para evitar situaciones que puedan suponer un riesgo o una vulneración de los derechos tanto de los alumnos, profesores o demás personas del centro escolar.

No menos importante, es la educación en lo relativo a la protección de datos para los más jóvenes y tanto desde la Apdcat como ATGroup animamos a los centros educativos a promover acciones en favor de la protección de datos. En el mismo sentido trabaja la AEPD, que se prevé que en 2017 presente una “Guía para centros docentes” y una “Guía sobre la videovigilancia en los centros escolares”.

Para cualquier duda en relación a la protección de datos en los centros escolares o a los menores no dude en contactar con nosotros.


A continuación adjuntamos el enlace de las webs de la AEPD y la APDCAT dedicadas a la educación en protección de datos para los más jóvenes:

• Tu decides en internet - AEPD
• Privacidad para jóvenes - APDCAT

EL CONSENTIMIENTO EN EL NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Cuando entró en vigor el Reglamento General de Protección de Datos, en adelante RGDP, el 25 de mayo de 2016, empezó la cuenta atrás para su plena aplicación 2 años después. Hoy, nos encontramos en un período de transición donde las empresas y organizaciones deben ir adaptando sus procesos de tratamiento de datos y uno de los elementos esenciales para que el tratamiento de datos sea lícito es el consentimiento.

En este punto, es donde realizaremos un pequeño análisis sobre qué procesos se utilizan actualmente para obtener el consentimiento del usuario y cómo se deberán adaptar para cumplir con el RGDP.

Hasta ahora la normativa española de protección de datos permitía recabar el consentimiento de forma tácita por lo cual se podía deducir que se obtenía el consentimiento a partir del comportamiento del usuario. Un buen ejemplo era el de la aceptación de la política de cookies, dónde una clausula muy común era “si usted sigue navegando en nuestro sitio se entiende que acepta nuestra política de cookies” o similares. A partir del comportamiento de "seguir navegando en el sitio" se deducía que aceptaba la política de cookies.

A partir de 2018, con el nuevo Reglamento, esta práctica ya no servirá para obtener el consentimiento de forma efectiva sino que deberá obtenerse el consentimiento del usuario mediante una manifestación inequívoca. Y, ¿qué se entiende por inequívoca? Pues, siguiendo el caso anterior, podríamos interpretar que hasta que el usuario no clicase un botón de aceptación de la política de cookies no se obtendría el consentimiento de forma efectiva y, por lo tanto, no se podrían instalar cookies para recabar datos. Dicho esto, queda claro que debe ser una acción clara e inequívoca de aceptación para que el consentimiento sea válido y, por tanto, el tratamiento lícito.

Queda claro pues que pasaremos de una práctica que daba mucha libertad para iniciar el tratamiento de datos al ser válido el consentimiento tácito, el cual en determinadas ocasiones podía ser confuso, a una nueva forma mucho más clara que protegerá al usuario ante posibles tratamientos no deseados.

¿Y que pasa si hasta ahora has utilizado el consentimiento tácito? En éste caso, se deberán revisar los consentimientos y adecuarlos a la normativa actual así como adaptar los procesos de obtención del consentimiento para que, en 2018, cumplan con la nueva normativa.

Con la llegada del nuevo Reglamento muchos aspectos de la protección de datos se han visto modificados y resultará interesante ver como se irán adaptando las prácticas actuales para adecuarse al nuevo Reglamento y cuáles serán los índices de cumplimiento en la entrada de plena aplicación en 2018.

Si tienes cualquier duda en relación al consentimiento o cualquier proceso de tratamiento de datos no dudes en contactar con nosotros.

EL DERECHO A INDEMNIZACIÓN EN LA PROTECCIÓN DE DATOS

Cuando hablamos de derechos del usuario en términos de protección de datos debemos remitirnos al Título III de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, LOPD en adelante, y los derechos por excelencia son los derechos ARCO, pero hay otro derecho que no debe pasar por desapercibido, hablamos del derecho a indemnización.

El derecho a indemnización se encuentra definido en el artículo 19 LOPD como el derecho que tienen los interesados a ser indemnizados cuando, por incumplimiento de lo que dispone la LOPD, sufran un daño o lesión en sus bienes o derechos. Pero, ¿cómo se debe ejercer éste derecho?

Primero hace falta diferenciar entre quién es el responsable del daño o lesión de los derechos del interesado. En el caso que sean ficheros de titularidad pública, deberemos exigirlo conforme a la legislación reguladora del régimen de responsabilidad de las Administraciones públicas, artículo 19.2 LOPD. Por el contrario, si son ficheros de titularidad privada, se deberá ejercitar la acción ante los órganos de la jurisdicción ordinaria, artículo 19.3 LOPD.

Así pues, la misma LOPD nos establece que no es la Agencia Española de Protección de Datos, AEPD en adelante, la autoridad competente para garantizar éste derecho, sino que se debe ejercer por otras vías.

En el supuesto de que los ficheros sean privados, deberemos iniciar una acción por la vía judicial ya que presentando una denuncia ante la AEPD, esta solo podrá aplicar una sanción si procede y nos remitirá a la jurisdicción que corresponda en función de la indemnización. Un ejemplo de ello es el Procedimiento nº PS/00645/2014 de la AEPD donde procedió la sanción de 6000€ por infracción de la normativa de protección de datos, pero no el derecho a la indemnización remitiendo a la jurisdicción que corresponda. Lo mismo sucedió más recientemente en el procedimiento nº A/00118/2016 de la AEPD.

En cambio, en la jurisdicción civil hay casos dónde se ha ejercitado dicho derecho, principalmente por supuestos de inclusión en registros de morosos. Un ejemplo sería la STS 492/2016 de 16 de febrero de 2016, donde se pedía una indemnización por la inclusión en un fichero de morosos siendo inexistente la deuda y, por lo tanto, causando un daño moral. El Tribunal Supremo en su fallo contempló el derecho a indemnización del artículo 19 LOPD, con una indemnización de 3000€ a cada uno de los demandantes por la indebida inclusión de sus datos personales en el registro de morosos.

En conclusión, vemos que el ejercicio de éste derecho del artículo 19 LOPD se debe hacer siguiendo el procedimiento adecuado en cada caso ya que, de no ser así, podríamos encontrarnos con que no se garantice y nos remitan a otra jurisdicción. Caso distinto sería si enfocamos la petición de una indemnización por una vulneración al derecho fundamental del honor, donde se aplicaría la LO 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen. Dicho esto, hasta ahora, el derecho a indemnización del artículo 19 LOPD sólo se ha considerado en casos de inclusión en registros de morosos pero veremos si en un futuro se contempla en otros supuestos.

LA ADAPTACIÓN AL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

Entramos en 2017 y durante el presente año las empresas y entidades que traten datos de carácter personal a nivel europeo deberán adaptarse a la nueva normativa ya vigente y que va a entrar en plena aplicación a partir de mayo de 2018, el Nuevo Reglamento Europeo de Protección de Datos (RGPD).

Decimos a nivel europeo pero su ámbito de aplicación no se limitará a las organizaciones establecidas en la Unión Europea, sino también a aquellas que traten datos de residentes europeos y estén establecidas fuera de la Unión. Es decir, se extiende considerablemente su ámbito de aplicación.

Es por ello que, como buena práctica, durante el presente año toda organización debería revisar sus procedimientos en el tratamiento de datos de carácter personal para no encontrarse con sorpresas cuando el Reglamento entre en plena aplicación.

Y, ¿cuáles son las medidas o novedades principales?

En primer lugar, los responsables y encargados de tratamientos sujetos a la normativa deberán registrar las actividades de tratamiento que inicien o lleven a cabo. Asimismo, deberán revisar todos los mecanismos para recabar el consentimiento de los usuarios ya que, por ejemplo, ya no será suficiente el consentimiento tácito. No solo esto, también tendrán que revisar las cláusulas informativas así como las cláusulas de los encargos de tratamiento.

Una de las novedades más importantes es la necesidad de realizar una evaluación de impacto relativa a la protección de datos cuando el tratamiento suponga un riesgo alto para los derechos y libertades de las personas físicas. En el caso que de dicha evaluación se concrete que el riesgo no se ha mitigado se deberá hacer una consulta a la Apdcat o AEPD.

En relación a esta evaluación de impacto y de forma previa al tratamiento de datos se deberá llevar a cabo una evaluación de riesgos para determinar las medidas de seguridad que se deberán implementar conforme a la nueva regulación y establecer un protocolo de actuación ante posibles incidencias.

Otra novedad significativa la encontramos en la transferencia de datos a países terceros donde se deberán revisar los mecanismos utilizados y si se adecuan o no a la nueva normativa.

Como nueva figura, que se ha ido perfilando durante los últimos meses y que será necesaria en organismos públicos y otros supuestos, aparece el delegado de protección de datos (DPO) y cada empresa deberá comprobar si tendrá que designar a uno o no según los requisitos de la nueva normativa.

Finalmente, un requisito indispensable será la formación del personal que trate con datos de carácter personal en las empresas. Un requisito que servirá como garantía para el cumplimiento de la normativa ya que los tratamientos se realizaran bajo una supervisión con conocimientos de la materia.

A modo adicional, hay otras novedades relevantes que se desprenden del Reglamento como es la privacidad desde el diseño o el derecho a la portabilidad de datos y algunas dudas como la convivencia del RGPD con la LOPD, pero podrán ser objeto de estudio en artículos futuros.

Dicho lo anterior, parece un proceso de adaptación algo complejo debido a las numerosas novedades aunque también dependerá de factores como la estructura de la organización, el volumen de datos tratados, los mecanismos de tratamiento u otros elementos que puedan hacer más o menos compleja dicha adaptación.

Por todo ello, será recomendable que para llevarla a cabo se consulte con entidades especializadas en protección de datos como es AT Group, cuya larga experiencia en este ámbito garantiza una buena adaptación buscando la opción que mejor se adapte a la organización.

Para más información no dude en contactar con nosotros.