Seminario "Novedades del Nuevo Reglamento Europeo de Protección de Datos"

AT Group presenta el Seminario "Novedades del Nuevo Reglamento Europeo de Protección de Datos" que forma parte de la presentación del "Curso Universitario de Acreditación como Data Protection Officer" y que tendrá lugar el jueves 9 de marzo a las 17:00 horas.

El seminario será gratuito y con plazas limitadas.

Para más información y/o confirmación de asistencia contacte con nosotros a "info@atgrup.com".

EL DOCUMENTO DE SEGURIDAD

Actualmente el uso y las transferencias de datos son un hecho cada vez más común y que se realiza de forma masiva por lo que la protección de los datos personales es un elemento esencial para la intimidad de las personas, derecho fundamental que recoge la Constitución. Por ello, es necesario que se tomen una serie de medidas que ofrezcan unas garantías suficientes para la seguridad de los datos.

Así pues, el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, establece que el responsable del fichero o el encargado deberá tomar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos. Además, el Real Decreto 1720/2007, de 21 de diciembre, que desarrolla la LOPD, en adelante RDLOPD, añade que entre éstas medidas se encuentra la elaboración de un documento que recoja el conjunto de medidas de seguridad, es decir, el llamado documento de seguridad.

Dicho esto, podemos afirmar que siempre que se traten datos se deberá tener un documento de seguridad, sean pocos o muchos, un fichero o más. Y, ¿cómo debe ser este documento? El mismo RDLOPD se encarga de desarrollarlo en su capítulo II y, además, permite distintas opciones en relación a dicho documento: que se tenga un documento común para todos los ficheros, uno para cada fichero o uno por grupo.

Dicho lo anterior, vamos a ver qué debe contener el documento de seguridad y por ello nos remitimos al artículo 88.3 RDLOPD que nos establece el contenido mínimo:

• Ámbito de aplicación del documento.
• Medidas, normas y procedimientos de actuación. Es la parte básica del documento, se fijan las bases y protocolos de actuación en el tratamiento de datos dentro de la organización determinando los procesos existentes y actualizando el documento cuando existan procesos nuevos o nuevas normas.
• Funciones y obligaciones del personal que trate datos. Es uno de los apartados más importantes ya que se va a definir quién tiene acceso a qué datos, en qué condiciones y qué responsabilidades se derivan de ello.
• Estructura de los ficheros y los sistemas de información. Se deberá hacer una descripción detallada de los ficheros así como los sistemas manteniendo actualizada la relación.
• Procedimiento de notificación, gestión y respuesta ante incidencias. Hace referencia a todo aquello relacionado con las incidencias de modo que cuándo se produzca una exista un protocolo de actuación en todos los sentidos: notificación, gestión y respuesta ante la misma.
• Procedimiento de copias de respaldo y recuperación de los datos. En este apartado se deberá hacer referencia a periodicidad de las copias, cómo se realizaran y quién será el encargado de realizarlas, etc.
•  Medidas necesarias para el transporte de soportes y documentos, destrucción y/o reutilización. El objetivo final es la destrucción de los datos de forma efectiva de modo que se establezca un proceso que no deje lugar a posibles fugas o pérdidas de información en el proceso de destrucción. Por ejemplo, si se contrata a un tercero para ello deberá constar en el documento identificando el tercero así como las condiciones.

Cabe añadir que en el caso de tratar datos de nivel medio o alto se deberá identificar al responsable/s de seguridad así como los controles periódicos que se deben realizar para verificar el cumplimiento del documento, artículo 88.4 RDLOPD.

Asimismo si hay tratamiento de datos por cuenta de terceros también se deberá reflejar en el documento con la identificación de ficheros y tratamientos así como el contrato y sus condiciones. También, si hay tratamiento de datos de forma exclusiva por parte del tercero se deberá reflejar en él.

Finalmente será imprescindible que se mantenga actualizado en todo momento y se adecue a las disposiciones vigentes en materia de protección de datos así como deberá contener todo lo relevante en relación a los tratamientos de datos que se produzcan en la organización intentando plasmar lo mejor posibles los protocolos y procesos que se ejecutan para minimizar los riesgos posibles.

Así pues, queda constancia de que se trata de un documento imprescindible que facilita la tarea ante cualquier incidencia así como nos garantiza el cumplimiento de la normativa de protección de datos de modo que toda empresa debe tenerlo sobre todo si trata datos de carácter medio o alto. Por otro lado, su actualización periódica o ante cualquier cambio relevante será esencial para que refleje la situación real de los procesos de tratamiento y la situación general de la empresa en términos de protección de datos.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN EL RGPD

Una de las novedades más relevantes con la entrada en vigor del nuevo Reglamento General de Protección de Datos es la figura del Delegado de Protección de Datos, en adelante DPO. Una figura inicialmente un poco confusa que se encuentra regulada en los artículos 37 a 39 RGPD y que se ha ido perfilando tras las últimas directrices publicadas por el Grupo de Trabajo del Articulo 29*. A continuación vamos a exponer algunos de los puntos básicos entorno al DPO.

En primer lugar vamos a hablar de cuándo va a ser obligatorio designarlo y el artículo 37 del RGPD nos establece tres supuestos:

•           Cuando el tratamiento sea llevado a cabo por parte de una entidad pública; dejando a cargo de la normativa nacional el concepto de entidad pública. Veremos si el anteproyecto de la nueva LOPD que se prevé para marzo regula este concepto así como si contiene disposiciones específicas para la figura del DPO.
•          Cuando la actividad principal de la entidad consista en operaciones que requieran monitorización regular y sistemática de datos a gran escala. Según la directriz se entiende como actividad principal aquella que se puede considerar una operación clave necesaria para alcanzar los objetivos de la entidad. Como ejemplo, nos expone que el tratamiento de datos en un hospital se puede considerar una actividad principal ya que es necesario para desarrollar su actividad y, por lo tanto, se deberá designar un DPO. En relación a gran escala, se deben considerar factores como el número de usuarios, volumen de datos, duración del tratamiento o la extensión geográfica.
•           Cuando se traten a gran escala datos de categorías especiales o datos relacionados con cargos criminales y delitos.

No obstante, en las demás organizaciones donde se traten datos y no se encuentren en ninguno de estos supuestos seguirá siendo recomendable la designación de un DPO o una persona encargado de la supervisión de los tratamientos y todo aquello vinculado a la protección de datos.

Además, la directriz remarca algunos requisitos básicos del DPO y su designación:

•           Facilidad de acceso, con lo cual se debe encontrar en una posición para una comunicación y trabajo eficiente aunque se encargue de más de una entidad, art. 37.2 RGDP. Aquí cabe mencionar que se podrá designar a un DPO para un grupo de empresas o entidades siempre y cuando se pueda garantizar dicha facilidad de acceso.
•           Conocimientos en protección de datos, desde nivel de experiencia o cualidades profesionales hasta las habilidades para desarrollar su tarea, art. 37.5 RGDP. 
•           La posibilidad de ser contratado a través de un contrato de servicios, art. 37.6 RGDP. Es decir, el DPO podrá ser un trabajador en plantilla o un tercero a través de un contrato de servicios.
•  Cuando se haya designado a un DPO se deberán publicar los datos de contacto del mismo y comunicar los detalles a la autoridad supervisora con el fin de facilitar un contacto directo y confidencial, art. 37.7 RGPD.

En relación a su actividad, el DPO deberá participar en todo aquello relativo a la protección de datos personales desde su fase inicial, se le deberá proporcionar los recursos necesarios para un buen desarrollo de su actividad (tiempo, formación, material, accesos,…), garantizar un grado suficiente de autonomía, no ser penalizado por el desarrollo de sus tareas y evitar que entre en un posible conflicto de intereses.

Y, ¿cuáles serán sus tareas? Principalmente, monitorizar el cumplimiento del RGDP recopilando información, analizando y comprobando los tratamientos proporcionando también asesoramiento a la organización y su personal. También  deberá asistir y dar consejo durante la evaluación de impacto en protección de datos (DPIA) o mantener registro de las actividades de tratamiento ejecutadas bajo su control entre otras funciones.

En resumen, con la regulación del RGPD y la clarificación de esta figura por parte del Grupo de Trabajo del artículo 29, se ha ido perfilando esta figura para que, con la plena entrada en vigor del nuevo Reglamento en mayo de 2018, esté ya consolidada y definida para garantizar el cumplimiento de la normativa dentro de las organizaciones en las que sea obligatorio y, de este modo, aumente previsiblemente los niveles de cumplimiento a nivel europeo.

* Nuevas Directrices del Grupo de Trabajo del Artículo 29 sobre la figura del DPO: 16/EN - WP243 del Grupo de Trabajo del Artículo 29



FORMACIÓN

Si quieres formarte como Delegado de Protección de Datos en AT Group iniciaremos en breve el Curso Universitario de Acreditación como Data Protection Officer junto a la Universidad Rey Juan Carlos. Si estás interesado contacta con nosotros o entra en el siguiente enlace para más información:

MATRÍCULA ABIERTA - Curso DPO

VIDEOVIGILANCIA Y DATOS

Actualmente es un hecho común la instalación de cámaras de videovigilancia en establecimientos, en la entrada de la oficina o incluso dentro de la misma. Fruto de ello es que se recaben datos personales de los usuarios que están siendo grabados y, consecuentemente, se deberá cumplir con distintas normas que regulan la videovigilancia y otros aspectos que de ella derivan.

Antes de nada, vamos a identificar en qué supuestos de videovigilancia será aplicable la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal (LOPD) así como la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos (AEPD), sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. Dichas normas serán aplicables en los supuestos en que se instalen cámara de videovigilancia para fines de seguridad. Por el contrario, no serán aplicables en los supuestos en que sea para uso doméstico o familiar. Visto cuándo será aplicable, vamos a ver qué aspectos se deben tener en cuenta cuando se apliquen las normas anteriores.

En primer lugar, se deberá crear un fichero donde se almacenarán las imágenes grabadas y se deberá notificar a la AEPD la creación del mismo. Este requisito no será necesario cuando el tratamiento de datos consista en la reproducción en tiempo real.

En segundo lugar, se deberá garantizar el derecho a la información de los usuarios que están siendo grabados de modo que se deberá informar de forma pertinente mediante cartel que informe, por lo menos, sobre la existencia del fichero, cómo y ante quién ejercitar los derechos ARCO y la identidad del responsable del tratamiento. Es importante colocar dicho cartel en un lugar donde el usuario sepa que va a ser grabado desde el momento en que entra en la zona videovigilada aunque no es necesario identificar dónde están colocadas las cámaras.

Hay que recordar que aunque la instalación o la contratación de un servicio de videovigilancia sea a cargo de un tercero, eso no exime de lo dicho anteriormente.

En este sentido, en el supuesto de la contratación de los servicios de videovigilancia a un tercero se deberá especificar en el contrato el papel de cada parte (responsable del tratamiento y responsable del fichero), qué datos se van a recabar, qué medidas de seguridad se aplicarán y demás condiciones que garanticen un tratamiento lícito.  

Dicho lo anterior, será obligación del responsable del tratamiento adoptar las medidas adecuadas para evitar la alteración, pérdida, tratamiento o acceso no autorizado a las imágenes y, ¿qué medidas son? Con carácter general, las medidas que se aplicarán a todo tratamiento serán las correspondientes al nivel básico como, por ejemplo, informar del deber de secreto a quienes tengan acceso o adoptar las medidas pertinentes para impedir el acceso no autorizado. Caso distinto será si se tratan datos de un nivel superior que se deberán aplicar otras medidas adicionales.

Finalmente es necesario saber que las imágenes sólo podrán ser conservadas durante el plazo máximo de un mes desde que fueron captadas salvo grabación de un delito o infracción administrativa que se conservarán por parte de la autoridad durante el tiempo necesario.

De esta forma, teniendo en cuenta los aspectos esenciales anteriores cumpliremos con la normativa vigente aunque deberá verse en cada caso qué medidas deberán tomarse y como deberán aplicarse.

Para profundizar en los aspectos comentados puede verse la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras que adjuntamos en los enlaces de interés.

Modelo de cartel informativo AEPD

Enlaces de interés: 

• Instrucción 1/2006, de 12 de diciembre, de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras

• Modelo de cartel informativo AEPD