Cumplimiento web. Tratamiento de fotos y comentarios en la web

, ,

¿Puedo publicar fotos de mis clientes en Internet y redes sociales y tener un cumplimiento web adecuado? Quizás es algo que te has preguntado más de una vez ya que su uso ayuda a posicionar y generar visitas a tu web. En este post te damos las claves para que puedas utilizar las redes como lanzadera al mundo, a la par que cumples con la normativa de protección de datos.

Comentarios en blog, opiniones y valoraciones. Cumplimiento web

Es probable que, para dar a conocer tu negocio e interactuar con los usuarios, cuentes con un blog o con un espacio en el que estos puedan hacer valoraciones sobre tus servicios o dejarte comentarios. Si son espacios de terceros, como son las RRSS será responsabilidad de dicha red social cumplir con el RGPD. Si, por el contrario es espacio propio -por ejemplo, un blog o un libro de visitas en tu web- eres tú el responsable. ¿Cómo puedes hacer que sea un entorno seguro y cumplidor? Aquí tienes algunos consejos:

  • Pide solo los datos estrictamente necesarios para la finalidad perseguida. Si, por ejemplo, tienes un blog en que los usuarios pueden publicar su comentario, probablemente baste con disponer del comentario en sí y de un nombre y no será necesario nada más.
  • Proporciona la información del tratamiento de sus datos a los usuarios. En cada formulario en el que recojas datos debe aparecer la información básica sobre protección, y luego debes redirijir a la información adicional. ¿Un ejemplo práctico de esto? Lo tienes en nuestro formulario de contacto.
  • Si vas a usar los datos recogidos para otros fines, además del principal, debes informarlo y solicitar el consentimiento previo -si es necesario-. El cumplimiento web de los derechos y libertades de tus interesados debe ser una prioridad.

Fotos, vídeos y otro contenido audiovisual

Si quieres utilizar tu web o redes sociales para publicar contenido audiovisual en el que aparezcan tus clientes -u otras personas- presta atención:

  • Lo primero que debes hacer es solicitar el consentimiento de las personas afectadas. Nunca debes publicar una foto, vídeo o contenido similar de alguien si no cuentas con autorización previa para ello.
  • Puedes hacer uso de tecnologías como el pixelado de imágenes para evitar que se reconozca a las personas en el contenido publicado. Si no son identificables, no es necesario su consentimiento, pero has de ser muy cuidadoso con esto.
  • Cuando pidas permiso a la persona para publicar su imagen, no olvides informarla de qué uso le vas a dar. El derecho de información del art. 13 RGPD es una de las claves de la normativa de protección de datos. También es conveniente que reflejes esto en tu política de privacidad, términos de uso o similares.
  • Ten cuidado cuando trates con personas especialmente vulnerables, como los menores de edad. En este caso, necesitarás el consentimiento de sus representantes legales.
  • Las personas tienen derechos y, en consecuencia, son dueños de sus datos. Si alguien te pide que elimines una foto en la que aparece, debes seguir sus indicaciones.

Cómo gestionar las imágenes de trabajadores

En el caso de empleados, personal en prácticas, becarios y demás, debes aplicar todo lo ya dicho. Pero también hay algunos consejos que quizás podrían ayudarte a reforzar tu cumplimiento

  • Lo primero que tienes que recordar es que serán tus empleados, pero siguen siendo dueños de sus datos. Algunos datos relativos a su posición en tu empresa y la finalidad de la publicación podría ser posible publicar algunos datos sin cosentimiento; ahora bien, los contenidos con objeto promocional y del día a día, pueden requereir el consentimiento previo.
  • Puedes aprovechar documentos que regulan vuestra relación profesional para informarles del tratamiento de datos para estos fines. En los casos que se requiera su consentimiento, puedes hacerlo en ese momento, y a la hora de seleccionar los contenidos.
  • ¿Y si un trabajador abandona la empresa? Puede darse el caso de que un empleado con el que mantenías una relación laboral apareciera, en su momento, en un vídeo o foto de empresa. El solo hecho de que ya no forme parte de la empresa no es motivo para que tengas que borrar su imagen, puede seguir ahí; eso sí, si te lo pide, deberás proceder a hacerlo. En cualquier caso, siempre es conveniente que revises tus redes periódicamente, y compruebes si tiene sentido que determinados contenidos sigan publicados

En conclusión…

Una página web o un perfil en redes pueden convertirse en grandes aliados a la hora de promocionar un negocio, actividad o proyecto, pero todo tratamiento de datos en su ámbito debe cumplir la normativa correspondiente.

Es fundamental que dispongas de las medidas y pautas necesarias para garantizar los derechos digitales de las personas, y para cumplir con la normativa de protección de datos. Con los consejos que hemos puesto a tu disposición en este artículo, ya tienes parte del trabajo de cumplimiento web hecho. Pero también dispones de otros recursos interesantes, como la Guía de la AEPD sobre privacidad y seguridad en Internet y, por supuesto, con nuestra ayuda como profesionales en la materia.

/0 Comentarios/por

Cookies, RGPD y guía AEPD

, , ,

“Aceptar todas las cookies. Seguro que es una frase que te suena, ¿verdad? Pasamos mucho de nuestro tiempo conectados a Internet, sea desde casa, el trabajo, el móvil, la tablet…. Por ello, este post lo vamos a dedicar a explorar aspectos básicos sobre un elemento fundamental en la red, del que todos hemos oído hablar pero que, en muchas ocasiones, no llegamos a entender: las cookies.

Pero, ¿qué son las cookies? No, no nos hemos convertido de pronto, en un blog sobre cocina, lo nuestro sigue siendo la protección de datos. Cuando nos referimos, dentro del vasto universo de Internet, a las cookies, estamos hablando de archivos que se utilizan en las páginas web, para asegurar que las mismas funcionan correctamente, para analizar y registrar cómo se comporta el usuario que accede a ellas y cuáles son sus preferencias, o para mostrarle publicidad.

La cuestión es que ojala el tema de las cookies fuera tan simple, pero lo cierto es que todo lo que está relacionado con el tema publicitario online es ampliamente opaco y convulso, lleno de múltiples partes que explotan los datos, que recogen información y la mueven de un lado a otro, de ahí que su uso sea regulado, y que se limite su aplicación para proteger nuestros derechos, muchas veces no del titular de la web, sino de terceros propietarios de esas cookies o colaboradores de los mismos.

¿Qué debemos cumplir en materia de cookies si tenemos una web?

Si tienes o gestionas una web, o simplemente te preocupa el cumplimiento normativo en lo que a cookies respecta, hay algunos aspectos fundamentales a tener en cuenta:

  • Siempre se debe informar del uso de cookies y tecnologías similares. En este sentido la guía de la AEPD nos ayuda a diferenciar laS tipología de cookies según criterios basados en, la propiedad de la cookie, su finalidad o la duración.  También nos ayuda a identificar cuándo se pueden o no instalar, y qué legitimaciones utilizar. Nos indica los mínimos a informar, cómo, cuándo y dónde, etc. Total, que hay que contar al usuario todo, todo, y no guardarnos nada. Se puede informar de golpe o en dos capas. Esto último es lo que usan la mayoría de webs, por eso mayoritariamente encontramos una primera y una segunda capa de información: éstas son, respectivamente, el Aviso de Cookies y la Política de Cookies.
  • Instalación y legitimación. Como dijimos antes, hay varios tipos de cookies, y algunas de ellas requieren que se pida consentimiento para su instalación, o bien que se defina claramente la legitimación para el tratamiento de los datos recogidos a través de ellas.
  • Ojo con el consentimiento. Si la legitimación que aplica a la instalación de una cookie es el consentimiento (cookies analíticas o publicitarias), estas nunca deben instalarse cookies sin consentimiento previo del usuario para ello. En otras palabras, el usuario tiene que aceptar esas cookies antes de que eso ocurra. Y, por supuesto, si no se pronuncia al respecto, o las rechaza, tampoco deben instalarse ya que la falta de acción no es en ningún caso un consentimiento.
  • Eliminación. Las cookies en si no son lo relevante, lo critico son los datos personales que recogen, y como todo lo relativo al RGPD y la normativa de protección de datos, los datos deben ser eliminado en cuanto dejen de ser necesarios para la finalidad que fueron recabados, sabiendo que debe cumplirse el principio de limitación del plazo de conservación.
  • Gestor de cumplimiento de cookies. La mayoría de webs que ofrecen un aviso de cookies y la posibilidad de gestionar la instalación de las mismas, usan gestores de cookies que categorizan las cookies por finalidad, e incluso en algunos casos enseñan los terceros a los que facilitan los datos, y luego amplían la información a través de la política de cookies, que muestra al usuario la información ampliada a íntegra. Estos gestores no son obligatorios pero son la mejor baza para cumplir y gestionar las legitimaciones.
  • Otras obligaciones o puntos relevantes a tener en cuenta: Lo dicho, el tema cookies no es tan sencillo como nos gustaría y aunque a veces parece que es solo poner la política de cookies un banner molesto a la entrada de la web, no es ni de lejos eso.  Cuando en una web se instalan cookies, además de los puntos anteriores, otros temas relevantes a tener en cuenta son, entre otros, las transferencias internacionales de datos, la definición de la posición del titular de la web y sus corresponsables y encargados, finalidades reales de los tratamientos de datos. Etc.

Solo por recordar, además del cumplimiento de cookies, las webs deben cumplir con otra serie de cosas. Os lo contabamos en este post, y en este.

Recursos de apoyo para cumplir con las obligaciones sobre cookies

Las distintas autoridades de protección de datos de la UE han publicado, casi cada una, directrices sobre el cumplimiento en esta matería. Desde nuestro punto de vista las más relevantes son las de la autoridad francesa de protección de datos, CNIL, la de la autoridad Inglesa (ups, ya no son UE, pero siguen siendo muy útiles) el ICO, y claro, nuestra propia AEPD. Justo al ser nuestra Autoridad, aprovecharemos para hablar de su guía, que bueno, ha tenido versiones menos pacíficas y más criticadas, pero la actual es muy correcta y clara.

Guía de la AEPD sobre cookies

Tal es la importancia de las cookies en el panorama actual que la AEPD cuenta con una guía, que se actualiza periódicamente, dedicada en exclusiva a éstas. La última modificación de este recurso tuvo lugar en julio de 2020 y dio lugar a una serie de novedades fundamentales:

  1. El consentimiento no vale si no es explícito e inequívoco

Hasta ahora, se admitía la posibilidad de que diversas opciones frecuentemente usadas en los sitios web pudieran considerarse manifestaciones del consentimiento. Por ejemplo, fórmulas del estilo “Seguir navegando”, “Continuar con la navegación” o incluso el hecho de que el usuario continuara su visita por el sitio, sin más acción, o cerrara el ya mencionado aviso de cookies. Ahora, este criterio ha cambiado, y para que el consentimiento del usuario sea válido, ha de ser claro, expreso e inequívoco, sin lugar a dudas sobre la postura del usuario.

  • Eres libre, y que nadie (ni siquiera las cookies) diga lo contrario

Vale, quizás el título es algo dramático, pero el caso es que, en muchas ocasiones, tenemos la mala suerte de toparnos con webs que no nos permiten acceder a ciertos contenidos o funcionalidades si no hemos aceptado previamente las cookies. Vamos, que casi podríamos hablar de un “Club VIP para quienes aceptan todas las cookies sin ton ni son”, y eso sí es dramático. Por ello, esta también es una barrera que desaparece: cualquier usuario, sin importar cómo configura las cookies, debe poder acceder a todo el contenido de la web.

  • Libertad, sí, pero con límites

Efectivamente, la AEPD reconoce la libertad del usuario a elegir. Pero, pese a la eliminación de esas barreras o muros de cookies, sí que admite que, en algunos casos, la no aceptación pueda derivar en que el usuario no pueda acceder a la web, total o parcialmente. No obstante, esto requiere de dos condiciones adicionales:

  • Que el usuario quede correctamente informado de esta circunstancia
  • Que se le proporcione una alternativa de acceso que no requiera tal aceptación

Si estas novedades entraron en vigor el 31 de octubre de 2020. Entonces, ¿Qué sentido tiene publicar este artículo ahora?

En primer lugar, porque desde Dataseg creemos que todos tenemos derecho a conocer cómo funciona Internet y en qué medida podemos ver nuestros derechos y libertades afectados. En segundo lugar, porque desde esa fecha, venimos apreciando un cambio notable en los criterios a seguir, las resoluciones y las sanciones a aplicar por parte de la AEPD (hasta el 31/10/2020 la AEPD no había sancionado económicamente a ningún responsable por el uso de cookies, pero pasada esa fecha tenemos unos buenos e interesantes golpes); y ya. Finalmente. porque la campaña de súper Schrems a través de Noyb para perseguir a todas las webs de la UE por el tema cookies hace que nuestro interés por analizar los procedimientos publicados por a AEPD creciera y en nuestro próximo post, os contemos más sobre ello.

Así que, si te has quedado con ganas de más, podrás descubrirlo en nuestro próximo post…

/0 Comentarios/por

COVID y protección de datos en la desescalada

, ,

Hablemos del COVID y la protección de datos en la desescalada, con motivo de las medidas, de reducción de riesgo de contagio, que las empresas, organizaciones y profesionales/autónomos tienen que aplicar en medio este escenario cambiante y de incertidumbre al que nos enfrentamos después de la aplicación del Estado de Alarma.

En particular, desde el pasado día 2 de mayo hemos comenzado a dar los primeros pasos de la desescalada hacia esa «nueva normalidad» en la que lo normal brillará por su ausencia, gracias a los termómetros al entrar en supermercados, los test de salud antes de ir al odontólogo, los comercios que te desinfectan hasta el alma antes de entrar, o la ausencia de rebajas en comercios físicos y multiplicación de tiendas online.

Nueva ¿Normalidad? ¡Ja!… en cualquier caso, los derechos de los interesados deben garantizarse, entre ellos el de protección de datos, así que aquí va este post que pretende ayudar a disipar algunas dudas, acabar con uno que otro bulo, y resumir las recomendaciones de la AEPD.

  • Contenido de este post:
  • (1) COVID y protección de datos ¿No es más importante la salud?
  • (2) Top 4 de consultas recibidas sobre COVID y RGPD – LOPD
    • Me están bombardeando a ofertas para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, y no sé qué más, para limitar el contagio por COVID, ¿Es obligatorio?
    • Vale, no es obligatorio -por ahora- PERO ¿Puedo tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?
    • ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?
    • ¿Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer?
  • (3) Conclusiones.
  • (4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID.

COVID y protección de datos ¿No es más importante la salud?

Sí, la vida es el bien jurídico protegido más valioso pero no debemos perder de vista los demás derechos y libertades, de modo que no sacrifiquemos todo lo conseguido hasta ahora, por miedo y falta de una adecuada gestión.

La protección de datos no debe ser un obstáculo para alcanzar fines de protección a la vida, o la seguridad del conjunto de los ciudadanos. El mismo Reglamento General de Protección de Datos, en su consideran do 4to. dice:

El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

RGPD UE 2016/679

Por tanto, debemos proteger la vida, garantizar la salud y bienestar común, a la vez que garantizamos el derecho a la protección de datos, recogido en el RGPD, así como en nuestra LOPD (nueva LOPDgdd), y la Carta de derechos fundamentales de la UE. Protección ante el riesgo el propagación del COVID y protección de datos no son incompatibles.

Top 4 de consultas recibidas, en Dataseg, sobre COVID y protección de datos.

1. Me están bombardeando a OFERTAS para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, etc., para limitar el contagio por COVID ¿Es obligatorio?

  • Ahora mismo, y hasta que Sanidad se pronuncie, NO es obligatorio implantar medidas de control de temperatura.
  • NO es obligatorio usar sistemas de reconocimiento facial para control de acceso o de la jornada laboral, PERO, el artículo 3.4. de la Orden SND/388/2020, de 3 de mayo, EXIGE que:

El fichaje con huella dactilar será sustituido por cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para protección de la salud y la seguridad de los trabajadores, o bien se deberá desinfectar el dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.

Orden SND/388/2020, de 3 de mayo

2. Vale, no es obligatorio -por ahora- PERO ¿PUEDO tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?

Es crucial responder primero a las siguientes preguntas ¿Qué medida exacta va a aplicar, a qué colectivo, con qué finalidad, qué tratamiento se hará, qué legitimación tiene, entre otras? En función de las respuestas, tendrá que aplicar las directrices y puntos claves dados por la AEPD para la toma de temperatura corporal. En nuestro post «Control de temperatura y protección de datos» analizamos a mayor profundidad este tema.

Pero así por facilitar un resumen, la Agencia Española de Protección de Datos a través del Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos que publicó el 30/04/2020, ha establecido las «líneas rojas» dejando claro que:

  1. La toma de temperatura corporal es un tratamiento de datos, y debe cumplirse la normativa a la que dicho tratamiento esté sujeto.
  2. Esta medida debería aplicarse según el criterio que Sanidad (Ministerio de Sanidad/ Autoridad competente en cada momento) defina. Total, que hoy no hay dicho que es obligatorio, ni cuándo, ni donde, pero si lo hace mañana, o más tarde, se debe hacer lo que digan -actualizaremos este post según sea el caso-
  3. Es necesario contar con una legitimación adecuada para realizar dicho tratamiento.
  4. Se debe informar a los interesados de la operación que se realizará, de las consecuencias, y los pormenores de conservación y limites del tratamiento. Y también de otras informaciones de utilidad en caso de tener una temperatura más alta de la definida como «normal».
  5. Debe ser tomada por personal cualificado para ello.
  6. En cuanto a las legitimaciones para el tratamiento:
    1. La legitimación no podrá ser por regla general el consentimiento (en la mayoría de los casos no es aplicable por estar supeditado a un resultado).
    2. No es aplicable el interés legítimo.
    3. En el ámbito laboral la legitimación podría ser el cumplimiento de obligaciones legales relacionadas con la prevención de riesgos laborales.
    4. En otros casos podría aplicarse el interés público.
  7. La aplicación de la medida en lugares públicos debe tener en cuenta las consecuencias negativas y de discriminación, de la denegación de acceso. Así como la posible comunicación a terceros no autorizados, de información que eventualmente suponga una comunicación de datos del afectado.

3. ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?

Los triages a clientes, visitantes y personal también están a la orden del día. No hace mucho leíamos con estupefacción el que recomendaba un consejo profesional nacional , y recomendaban hacer uno de 20 preguntas, a pie de calle para que no hubiera riesgo de contagio en las instalaciones, más toma de temperatura, sí, también a pie de calle. Pero bueno, cotilleos aparte, la respuesta esssss:

Sí, se pueden hacer preguntas de control. La AEPD en sus Preguntas frecuentes sobre COVID, ya decía que:

Los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales).

[Pero ojo]

La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

AEPD en sus Preguntas frecuentes sobre COVID

Y todavía más ojo, que en el informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19, publicado el 13/3/2020, dice la AEPD:

Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.

Luego, no hay que olvidar, qué según qué datos se recojan y cómo se recojan, ya sabiendo que no será necesario el consentimiento, en todo caso habrá que informar al interesado de dicha operación de tratamiento, y evaluar la aplicabilidad de los demás principios de la normativa de protección de datos, y cumplir con todo lo que de ello surja.

También recogen la recomendación de hacer triages algunas recomendaciones para atención primaria de pacientes difundo por Sanidad.

4. Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer.

Entre la cuarentena en la que si se permitía el comercio online, y ahora la prohibición de rebajas físicas, muchos son los autónomos, empresas, y demás negocios que han decidido mudarse a la nube y empezar a vender sus productos, o prestar sus servicios vía ecommerce. ¡Genial, mucha suerte! Ahora bien, es importantísimo que:

  1. Busquen proveedores profesionales y cumplidores.
  2. Usen plataformas seguras (a preferencia dentro de la UE o que estén en páises con Convenios con la UE, y/o adheridas a acuerdo de nivel adecuado de datos, tipo Privacy Shield).
  3. Que cumplan la normativa de protección de datos, comercio electrónico, consumidores y usuarios, condiciones de contratación, etc
  4. Informense de los costos de envío, y una cosa importantísima, los costos y trámites aduaneros.
  5. Sean sinceros, y no se olviden de poner ninguna condición de venta, ni de respetar los derechos de los consumidores. En este punto, todo juega en contra del propietario de la web.

En definitiva, que no se olviden que las webs son como los negocios físicos, deben cumplir con la normativa que les corresponde. Pueden encontrar más información en este artículo que escribimos sobre Adecuación legal web.

(3) Conclusiones.

Esta situación es compleja, las medidas a aplicar no están del todo claras, no conocemos al bicho y el temor a veces nos invade, es normal, PERO, no olvidemos que para conquistar los derechos de los que gozamos se ha tardado mucho tiempo, y se han luchado muchas batallas, no lo tiremos todo por la borda. Y a modo de recordatorio general, sí, hay pandemía, sí hay que proteger la salud y la vida, pero hay que seguir garantizando, adecuados al momento, todos los demás derechos y libertades.

Ya para terminar recordar que si van a aplicar alguna medida de las comentadas, se asesoren. No se lancen al vacío, analicen todo, y protejanse jurídicamente, y protejan a los usuarios también.

(4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID

  • 12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
  • 12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
  • 16.3.20 – Comunicado en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus. Enlace.
  • 26.3.20 – Comunicado sobre apps y webs de autoevaluación del Coronavirus. Enlace.
  • 30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
  • 7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.
  • 8/5/20 – Informe en el que analiza la utilización del reconocimiento facial para realizar exámenes. Enlace.
/0 Comentarios/por

Control de temperatura y protección de datos

, ,

Control de temperatura y protección de datos: El control de temperatura para frenar la expansión del COVID, es una de las medidas estrella de esta «nueva normalidad» en la que, vayamos a donde vayamos, estamos viendo como, o nos apuntan a la frente con un termómetro de infrarojos, o en nuestro caso, nos preguntan «¿Se puede instalar una cámara de videotermica? ¿Puedo obligar a mi personal a tomarse la temperatura al iniciar la joranda?» etc. Total, que el empresario o profesional/autónomo se termina preguntando si debe instalar un sistema de control de temperatura, o si puede, si le toca, lo que sea… Pues señores, como casi todo en derecho: DEPENDE.

Y diréis, ¿De qué depende? pues depende de qué es lo que vas a hacer, cómo lo vas a hacer, para qué lo vas a hacer, qué legitimación tienes para hacerlo, y por supuesto, de que todas las respuesta que salgan a estas preguntas, encajen dentro de los margenes y líneas rojas pintadas por la AEPD en la documentación, que sobre el COVID, control de temperatura y protección de datos ha publicado hasta el momento. «Fácil».

Contenido de este post:

  1. ¿Qué ha publicado la AEPD sobre COVID, control de temperatura y protección de datos?
  2. Resumen de los puntos comunes de los documentos publicados por la AEPD en relación a la toma de temperatura y protección de datos.
  3. Toma de temperatura en el ámbito laboral
  4. Toma de temperatura a clientes y visitantes
  5. Recomendaciones en caso de querer/»deber» aplicar esta medida.
  6. Conclusiones.

¿Qué ha publicado la AEPD sobre COVID, control de temperatura y protección de datos?

Pues bastante. Con sus admiradores y detractores, como siempre, pero desde nuestro punto de vista, con una premisa muy sólida y correcta:

La aplicación de la toma de temperatura como medida de control epidemiológica depende de la autoridad sanitaria competente, en este caso del Ministerio de Sanidad

Referencia: TODOS los documentos y comunicados publicados por la AEPD en relación a Covid19

En concreto ha publicado los siguientes materiales informativos en donde se menciona la toma de temperatura:

  • 12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
  • 12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
  • 30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
  • 7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.

Del conjunto de ellos se desprende claramente que la toma de temperatura como un medio de control epidemiológico, no de debe ser usado a la ligera, y siempre debe estar sujeto a un análisis profundo sobre la idoneidad, proporcionalidad, eficacia, y que no exista un medio menos intrusivo para conseguir el objetivo deseado.

Resumen de los puntos comunes de los documentos publicados por la AEPD en relación a la toma de temperatura y protección de datos.

  • «…este tipo de operación supone un tratamiento de datos personales…»
  • «…Este tratamiento … supone una injerencia particularmente intensa en los derechos de los afectados…»
  • «.en los controles … en espacios públicos, … una eventual denegación de acceso … estaría desvelando a terceros … que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus…»
  • «…dependiendo del contexto … las consecuencias de una posible denegación de acceso pueden tener un importante impacto para la persona afectada…»
  • «…La aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga… el Ministerio de Sanidad … hay personas asintomáticas…a fiebre no siempre es uno de los síntomas presentes… (se debe evaluar) hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas…»
  • «…Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD)…»
    • No puede ser por regla general el consentimiento.
    • Entorno laboral: «…la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo…»
    • «…La utilización del interés legítimo … como base legitimadora quedaríaexcluida…»
  • «…En todo caso, los afectados siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías que el Reglamento establece…»
    • Información a los trabajadores, clientes o usuarios …en particular si se va a producir una grabación y conservación de la información.
    • Conservación: «…En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos…»

En el estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad, la AEPD reiteró que :

… manifiesta su preocupación por el uso de estos dispositivos (cámaras térmicas) y la necesidad de contar con el criterio previo de las autoridades sanitarias antes de proceder a su instalación. Alerta de un posible riesgo de discriminación, de difusión pública de datos de salud y de crear una falsa sensación de seguridad que facilite el contacto con personas realmente infectadas.

Toma de temperatura en el ámbito laboral

La AEPD entiende que el empresario tiene una obligación de control y preservación de la salud dentro del ámbito de trabajo. Por tanto puede implementar medidas destinadas a medir la temperatura del personal, e incluso, en previsión de la seguridad de los empleados, de quienes accedan a las instalaciones de su empresa, negocio o despacho. Pero cuidadín, no hay cheque en blanco, todo debe analizarse.

Pero, ¿hasta qué punto es necesario o conveniente esto? Hay que tener en cuenta que hay personas que, pese a padecer COVID-19, son asintomáticas. Por tanto, la fiebre no es un factor indicativo, que nos pueda orientar plenamente. Además, la temperatura corporal puede estar elevada por muchas otras razones, distintas a estar infectado con COVID por lo que es posible elegir y optar por otras medidas más adecuadas y efectivas.
Hay que destacar que la AEPD indica que la toma de la temperatura en el ámbito laboral debe ser en coordinación con el equipo de prevención de riesgos, y debe ser realizado por personal cualificado.

Es importante, en todos los casos, cumplir con la normativa y garantizar los derechos y libertades de los interesados, así que en función de la actividad de tratamiento realizada es posible que sea preciso llevar a cabo una EIPD (Evaluación de Impacto en la Protección de Datos) previa, y en todos los casos, informar conforme el art. 13 RGPD, si corresponde, y cumplir con los principios de limitación del tratamiento, y plazos de conservación. De estos últimos habla la AEPD diciendo que no debería conservarse los datos, salvo que se pueda justificar plenamente el motivo de la conservación -dicho como lo han dicho, no guardéis los datos si aplicáis esta medida

Toma de temperatura a clientes y visitantes

Muchos son los colegios profesionales y consejos profesionales que recomiendan hacer triages y tomar la temperatura de los pacientes o clientes, o visitantes. Es importante tener claro que en tanto no sea una medida expedida por el Ministerio de Sanidad, NO es una obligación legal aplicar estas medidas.

En la Orden SND/388/2020, de 3 de mayo, por la que se establecen las condiciones para la apertura al público de determinados comercios y servicios, y la apertura de archivos, así como para la práctica del deporte profesional y federado. (ENLACE) se definen con claridad las obligaciones a aplicar durante el procesos de desescalada y apertura de comercios, despachos y otros de cara al público. Esto SI es obligatorio, y no incluye ni toma de temperatura, ni triages concretos.

Hay que tener especial atención en la toma de temperatura en lugares públicos para evitar discriminación, daños a los interesados, y exposición de datos a terceros no autorizados.

Si implanta esta medida, limite la exposición del cliente facilitando la toma de la temperatura en zonas privadas, o incluso, el auto test.

Recomendaciones en caso de plantearse la aplicación de esta medida

Dejando claro que cada situación debe analizarse caso por caso, que entendemos que hay medidas más idóneas, y por supuesto, que hay/habrá casos en que se considere que es la «única/mejor» opción, le dejamos unas recomendaciones, básicas, por si se plantea la aplicación de la toma de temperatura como medida de control contra el COVID:

  1. Evalue qué tratamiento realmente es el que va a realizar. Si es un tratamiento automatizado, o manual, si realmente recoge datos o no, si los conserva, o no (por ejemplo no es un tratamiento automatizado, pero hay cámaras de seguridad grabando… ), etc.
  2. Busque opciones menos invasivas en en ámbito privado y más eficaces contra el virus.
  3. Evalue el impacto en la protección de datos y derechos de los interesados. Que no necesariamente, es hacer una Evaluación de impacto (EIPD) formal y completa, en todos los casos. Evaluar caso a caso, recordad.
  4. Aplique los principios de proporcionalidad, limitación del tratamiento y la conservación, información y transparencia, legitimidad, seguridad y confidencialidad, y sobre todo, el sentido común.
  5. No se deje llevar por lo que hacen los demás. Cada caso es un mundo, cada uno ha analizado, o debería haber analizado el suyo… y claro que hay quien lo hace mal, no lo haga usted también.

En conclusión

La toma de temperatura no es la medida más eficaz, y hasta la fecha (ojo, que igual mañana nos toca editar y cambiar esto) no es obligatorio implantarla, es mejor aplicar otras opciones menos invasivas y seguramente más eficaces, distanciamiento social, medios de protección física, medidas de higiene, etc.

Ahora bien, si por lo que sea se decanta o debe implantar esta medida, recuerde consultar con su DPO, o su empresa o asesoría de protección de datos a modo de definir las medidas que corresponden aplicar, y así garantizar no solo el cumplimiento de la normativa, sino ayudar a proteger de manera adecuada los derechos y libertades de los interesados, y los suyos propios.

Más información sobre otras medidas relacionadas con COVID y protección de datos en nuestro post: COVID y protección de datos en la desescalada

/0 Comentarios/por

Ya está aquí la nueva LOPD, la LOPDgdd

,

La nueva LOPD, ha llegó a nuestras vidas, por fin.  El pasado 6 de diciembre de 2018 se publicó en el Boletín Oficial del Estado, la nueva LOPD, la Ley Orgánica, 3/2018 de 6 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

En este artículo que pretende ser muy práctico y corto – para la materia de la que hablamos- esperamos aclarar varias dudas e inquietudes generales y hacer un micro resumen de los puntos que podrían afectar un proyecto de cumplimiento de RGPD/LOPD.

El resumen más amplió podrá encontrarlo en este otro post «Nueva LOPD 3/2018. Principales cambios y novedades» que publicaremos más adelante.

¿Entonces qué hay que cumplir, el RGPD o la nueva LOPD?

Así en plan directo, de ahora en adelante hay que cumplir con el RGPD y la nueva LOPD.

El marco normativo de protección de datos seguirá encabezado por el Reglamento General de Protección de Datos, RGPD UE 679/2016, que entró en aplicación el pasado 25 de mayo de 2018, motivo por el que se ha tenido que cambiar nuestra archiconocida LOPD 15/1999 por esta nueva Ley nacional.

Con la publicación de la nueva LOPD se cierra el primer paso del proceso legislativo a nivel nacional, asociado al Reglamento General de Protección de Datos, RGPD UE 679/2016.

Es posible que a futuro haya más regulaciones nacionales en materia de protección de datos. La propia ley prevé un desarrollo reglamentario posterior.

Si ya teníamos desde mayo el RGPD ¿Por qué ahora nos cambian la LOPD?

El RGPD es el marco, la base, el límite, es el que pone las reglas. Fue aprobado por unanimidad de los Estados miembros de la UE, pero como esa unanimidad no fue absoluta, se dejaron algunos puntos para que cada Estado los regulase con ciertos límites.

Cada Estado de la Unión ha tenido que actualizar su normativa de protección de datos. En nuestro caso dejamos atrás nuestra LOPD 15/1999 por la nueva LOPD 3/2018, o LOPDgdd 3/2018 como se le quiera llamar (Lo de las garantías digitales está en minúscula, cosa que ayuda a seguir usando la nomenclatura ya conocida, LOPD)

Este tema lo explicamos mucho mejor en nuestro post relacionado con el primer borrador del anteproyecto de LOPD.

Micro resumen de novedades que le pueden afectar a su proyecto de protección de datos.

A modo de mención estas son algunas de las novedades más importantes, y que podrían generar modificaciones en un plan de cumplimiento de protección de datos. Ojo, todo está a modo de mención, tiene excepciones y habrá que ver caso a caso:

1. Acceso a datos de fallecidos – Art. 3.

Se amplía la lista de sujetos que pued

e acceder a los datos de los fallecidos. No obstante habrá que evaluar caso a caso.

2. Edad para el consentimiento de menores – Art 7.

Se establece la edad de 14 años, para que los menores puedan consentir el tratamiento de sus datos. Siendo menores, es un consentimiento con limitaciones. Por debajo de esa edad se debe contar con el consentimiento del titular de la patria potestad o tutela.

3. Reducción de información en la primera capa informativa – Art. 11.

El artículo 11 prevé una disminución de puntos obligatorios a facilitar en la primera capa informativa. Ahora en una primera capa informativa, de datos recogidos directamente del afectado solo hay que informar:

  1. Responsable.
  2. Finalidad.
  3. Derechos.
  4. Enlace a la segunda capa informativa (toda la info)
4. Tratamiento de datos de personas de contacto y empresarios individuales – Art. 19.

Salvo prueba en contrario, se entenderá que el tratamiento de estos datos se realiza con la base del interés legítimo. Siempre que los datos se utilicen para fines estrictamente relacionados con el puesto o actividad profesional.

5. Sistemas de información crediticia – Art. 20.

Aumentan las obligaciones en caso de querer incluir a un cliente en sistemas de información crediticia. Si su empresa o negocio vende deuda, o incluye a sus pagadores morosos en listas de solvencia patrimonial (Asnef, por ejemplo). Lea el art. correspondiente de forma atenta.

6. Videovigilancia – Art. 22.

Se establece que la videovigilancia con fines de preservar la seguridad de las personas y bienes, así como de las instalaciones, se realiza con la base jurídica del interés público. También se fija el plazo máximo de almacenamiento de los datos, que es de un mes, y la información mínima que debe contener los carteles informativos.

7. Exclusión publicitaria – Art. 23.

Será obligatorio consultar las listas de exclusión publicitaria antes de iniciar una campaña de marketing online, salvo que se cuente con el consentimiento del interesado.

Luego claro, también regula varios puntos que deben tener en cuenta los gestores de dichas bases.

8. Denuncias internas – Art. 24.

Se define la forma, plazo y garantías para el tratamiento de datos dentro de los sistemas de información de denuncias internas de una empresa. Más conocido como sistema de Whistleblowing.

9. Tratamiento de datos relativos a infracciones y sanciones – Art. 27.

Se aclara que los abogados y procuradores podrán tratar estos datos siempre que sea en el ejercicio de sus funciones.

10. Corresponsabilidad – Art. 29.

La determinación de responsabilidades se debe atender y definir en función de las actividades que efectivamente desarrolle cada uno de los corresponsables. Debe existir un acuerdo de corresponsabilidad, que no se olvide.

11. Registro de actividades de tratamiento – Art. 31.

Se debe comunicar al Delegado de Protección de Datos cualquier adición modificación o exclusión de los RATs. También se incluye obligación de publicación para la AAPP y otros entes y órganos de derecho público.

12. Bloqueo de los datos – Art. 32.

En algunos casos en los que subsista una obligación legal, en lugar se suprimir los datos, estos serán bloqueados durante el tiempo que el responsable o encargado este obligado a mantenerlos.

13. Encargo de tratamiento – Art. 33.

Se considerará responsable al encargado que use los datos para sus propios fines, con sus correspondientes consecuencias. Con excepciones.

Nunca se considerara responsable del tratamiento a un encargado de tratamiento, de datos de los que sea titular una administración publica.

14. Delegado de protección de datos- Art. 34

Se define la lista de sujetos obligados a nombrar un DPO. Entre ellos, a modo de muestra:

a. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

b. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Hay excepciones para los profesionales independientes que tratan datos en su consulta particular.

c. Las empresas de seguridad privada.

d. Las federaciones deportivas cuando traten datos de menores de edad.

e. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

15. Garantía de los derechos digitales – Título X.

Aunque son bastantes, debido a que nos centramos en contenidos que podrían afectar directamente el proyecto de cumplimiento de la normativa de protección de datos de una empresa, profesional o AAPP, hacemos referencia solo a los que afectan el ámbito Laboral:

a. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
b. Derecho a la dexconexión digital en el ámbito laboral.
c. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
d. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

Todos ellos tienen en común la limitación del uso/ abuso por parte de las empresas y empresarios de acciones de control laboral que vayan en contra de los derechos de los trabajadores. También requieren la definición de una política interna al respecto.

16. Medidas de seguridad en el sector público. Disposición adicional primera.

Las medidas de seguridad que deben aplicar las AAPP, sus órganos, y demás entes de derecho público o a los que le sea aplicable, deben estar alineadas con el cumplimiento del Esquema Nacional de Seguridad.

17. Transparencia y acceso a la información pública. Disposición adicional segunda.

Se definen los datos que se pueden usar/publicar para cumplir con el principio de publicidad y transparencia, sin faltar al derecho de la protección de datos.

18. Prácticas agresivas (comerciales) en materia de protección de datos. Disposición adicional decimosexta.

Se lista una serie de prácticas que se considerarán competencia desleal. Entre ellas la intimidación, usurpación de identidad de la AEPD, u oferta de servicios con cargo a los fondos de Fundae (antes Fundación tripartita).

Así que ojo antes de aceptar una oferta de esas de «coste 0», o «50 euros más formación por Fundae». Son un timo, una práctica desleal y pueden llevarle a cometer un fraude a la SS y a hacienda.

Conclusiones

El marco normativo de protección de datos ahora está compuesto por la nueva LOPD, la LOPDgdd 3/2018, y  el Reglamento Europeo de Proteción de Datos. Esta claro que habrá que tener en cuenta los cambios que la nueva LOPD ha introducido en distintas normas, y luego los futuros desarrollos legislativos que se prevén.

Es necesario revisar el cumplimiento actual de la normativa aplicable de su empresa, negocio, ong, federación, asociación, etc. Todo lo que se haya hecho para cumplir la LOPD 15/1999 ya no vale, y lo que se haya hecho para cumplir RGPD, puede que necesite algún ajuste conforme la nueva LOPD. Como dice el principio del RPGD, hay que tener responsabilidad proactiva.

/0 Comentarios/por

El contrato de protección de datos RGPD LOPD

, ,

El contrato de protección de datos es un acuerdo que deben formalizar las empresas o profesionales, con aquellos proveedores que les prestan servicios. Será obligatorio si la prestación de los servicios requiere acceso directo o indirecto a datos personales.

La obligación de este contrato está en el artículo 28 del Reglamento General de Protección de Datos -en adelante RGPD-, así como el artículo 33, de la nueva Ley de protección de datos, la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales – en adelante LOPD o LOPDGDD indistintamente-.

En este artículo le contaremos:

  1. Generalidades sobre  el contrato de protección de datos
    1. ¿Cuál es el nombre correcto, o cómo debemos llamarlo?
    2. ¿Qué es el contrato de protección de datos?
    3. 1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.
    4. ¿Qué características debe tener? Forma, medio y modo de formalización.
    5. ¿Quién debe facilitar el documento?
    6. ¿Qué persona debe firmar el documento?
  2. ¿Cuáles son las partes?
    1. ¿Quién es el responsable y quién el encargado de tratamiento?
    2. OJO: Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.
  3. ¿Qué contenido mínimo debe tener el contrato?
  4. Otros contenidos frecuentes, y algunos a los que hay que estar atento.
  5. Consecuencias de no formalizar el contrato de protección de datos.
  6. Beneficios. Además de cumplir con el RGPD y la LOPD.

1. Generalidades sobre el contrato de protección de datos

1.1. ¿Cuál es el nombre correcto o cómo debemos llamarlo? 

Es importante saber que no hay un nombre único, y siempre que cumplan con el RGPD y la nueva LOPD, todos los nombres son correctos.

El nombre ha variado tanto como ha evolucionado la normativa de protección de datos. También tanto como profesionales deciden poner nombres «personalizados». Algunas de las variantes más conocidas son:

  1. Contrato o acuerdo de encargo de tratamiento de datos.
  2. Contrato de tratamiento de datos por cuenta de terceros.
  3. Contrato de acceso a datos por cuenta de terceros.

1.2. ¿Qué es el contrato de protección de datos?

El RGPD lo define como un «contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable«.

Total, que como ya dijimos antes, es un documento a formalizar entre las partes de una prestación de servicios, en las que el proveedor trate datos personales de los que sea responsable el cliente.

1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.

Pues eso, que el artículo 12 de la LOPD 15/99 ya exigía su formalización. La cuestión es que no era tan exigente con los prestadores de servicio con lo es el artículo 28 RGPD. Luego, si además le sumamos los añadidos del artículo 33 de la nueva LOPD 3/2018, se puede decir que los encargados/proveedores tendrán mucho más que hacer, y por lo que responder.

1.4. Formato, medio y modo de formalización.

1.4.1 Es un acuerdo que debe constar por escrito. Artículo 28.9 RGPD.

Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. Y debe estar por escrito. En este caso no valen los acuerdos verbales.

1.4.2. Puede ser físico o electrónico. Artículo 28.9 RGPD.

Puede estar en soporte físico, es decir en papel. También puede estar en formato electrónico.

1.4.3. Puede ser aceptado o firmado por medios electrónicos.

Si el acuerdo escrito puede estar en soporte electrónico, queda claro que también puede ser aceptado por ese medio. La firma electrónica será sin duda la reina, pero no será la única forma de aceptación.

1.4.4. Se podrá aceptar mediante marcado de casillas.  Siempre que se guarden los logs necesarios para trazar la voluntad de las partes y los datos asociados al acto del acuerdo.

También podrán tenerse como válidas otras formas de aceptación, por ejemplo mediante un correo electrónico en el que se acepte el contenido. Entre otros.

1.5. ¿Quién debe facilitar el documento?

El documento es obligación de ambas partes, aunque quien tiene la obligación principal de escoger un prestador que cumpla la LOPD y el RGPD, y formalizar el acuerdo previamente a la prestación de los servicios es el responsable.

Aún así, cualquiera de las partes puede facilitarlo, siempre que queden plasmadas las instrucciones del responsable, es decir el cliente; también las particularidades de la prestación del servicio y las medidas de seguridad, o incluso medidas de apoyo al responsable que debe cumplir en encargado (el proveedor).

Total, que en primer lugar debería ser un documento facilitado por el responsable, pero si no, debería como mínimo ayudar a configurar el contenido y la forma. En definitiva, no debe ser un contenido impuesto por el proveedor, en propio beneficio.

1.6. ¿Qué persona debe firmar el documento?

El contrato debe ser firmado o aceptado por una persona con capacidad de vincular a la empresa o empresario individual, con su proveedor. Puede ser el propietario o titular, administrador, gerente, o cualquier otra persona con capacidad para realizar la vinculación, bien por motivos del cargo que ostenta o porque lo haga por encargo de un superior.

2. ¿Cuáles son las partes? ¿Quién es el responsable y quién el encargado del tratamiento?

2.1 Definiciones

El Reglamento General de Protección de Datos tiene las siguiente definiciones, que en sí son bastante claras:

Artículo 4 RGPD:

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;

8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

2.2. ¿Quién soy yo?

Depende de la posición que ostente en cada momento. Así en plan rápido:

  • El responsable suele ser el cliente de la prestación del servicio. 
  • El encargado suele ser el prestador/proveedor de servicios.
  • También existe el subencargado: el proveedor que presta servicios al encargado, y durante los cuales tiene o podría tener acceso a los datos de los que es responsable jurídicamente, el responsable.

2.3. Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.

OJO: El artículo 28.1. dice textualmente (y su inclumplimiento es una infracción grave de la LOPD 3/2018):

El responsable «…elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

3. ¿Qué contenido mínimo debe tener el contrato?

El contrato de protección de datos tiene un contenido mínimo definido por el artículo 28 RGPD, en particular su número 3. Si un contrato no lo tiene todo, podemos decir que o no es válido, o está incompleto.

Ahora bien, la nueva LOPD 3/2018, incluye algunas aclaraciones que deberán ser tenidas en cuenta durante el desarrollo y finalización del contrato.

3.1 El contrato debe contener conforme a lo que dispone el artículo 28 del RGPD lo siguiente:

  1. Objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga.
  2. Tipo de datos personales tratados
  3. Categorías de interesados de los que el encargado tratará datos directa o indirectamente.
  4. Obligaciones y derechos del responsable.
  5. Reglas para la subcontratación de servicios.
  6. Las obligaciones del encargado. Estas se listan de forma particular, y son:
    1. Tratar los datos solo siguiendo instrucciones del responsable
    2. Garantizar que el personal que tratará los datos está formada en protección de datos y respetará el deber de confidencialidad.
    3. Aplicará las medidas de seguridad técnicas y organizativas que resulten de la evaluación de riesgos que le corresponde.
    4. No acudirá a otro encargado sin informar y ser autorizado por el responsable.
    5. Asistir al responsable en el ejercicio de derechos (o no, según contrato).
    6. ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36.
    7. Suprimir o devolver los datos personales una vez finalice la prestación de los servicios. Con excepciones según obligaciones legales.
    8. Poner a disposición del responsable información para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 RGPD.

3.2. Otros contenidos frecuentes, y algunos a los que hay que estar atento.

La AEPD tiene una guía con directrices para elaborar contratos entre responsables y encargados, y contiene una plantilla que está siendo muy utilizada y que contiene contenidos adicionales tales como:

  1. La obligación de llevar el registro de actividades de tratamiento que se realizan como encargado.
  2. Una lista de medidas de seguridad conforme el art. 32 RGPD
  3. Toda la información sobre violaciones y brechas de seguridad
  4. Obligaciones del responsable: en las que incluye la realización de las Evaluaciones de impacto en la privacidad cuando sean necesarias, la supervisión del encargado, etc.
  5. Destino de los datos, en los que se incluye la opción de pasarlos a otros encargados.

5. ¿Qué consecuencias tiene no formalizar el contrato de protección de datos?

La no formalizacion del acuerdo de encargo de tratamiento de datos es infracción de la normativa de protección de datos. En España esta tipificada en la nueva LOPDgdd como:

Infracciones grave. Artículo 73:

«j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…»

«k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD»

«l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.» (Subcontratación)

m) La infracción por un encargado de lo dispuesto en el RGPD y en la LOPD, al determinar los fines y los medios del tratamiento…»

Infracción muy grave. Art. 74:

«j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…»

«k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo (varios)»

6. Beneficios. Además de cumplir con el RGPD y la LOPD.

El contrato de protección de datos no solo da cumplimiento a la normativa en cuestión, además es una forma de definir las responsabilidades entre las partes.

En muchas ocasiones, por desgracia, este el único documento que recoge de forma escrita y formal los servicios prestados, las obligaciones, y aunque parezca extraño, la responsabilidad y titularidad de los datos.

Para muchas pymes y profesionales cumplir con esta obligación es una salvaguarda ante sus prestadores de servicio que ahora ven como  el RGPD en su artículo 28 por fin exige a los encargados, más responsabilidad y definición de obligaciones.

Conclusiones

Formalizar el acuerdo de tratamiento de datos es una obligación legal de todos los responsables (empresas, ongs, asociaciones, comunidades de propietarios, profesionales, empresarios individuales, fundaciones, etc.) que subcontraten servicios durante los cuales el proveedor acceda a datos personales de su responsabilidad.

Por otro lado, su cumplimiento beneficia la formalización de acuerdos y responsabilidades de las partes, y es un punto de agarre y defensa entre las mismas.

En Dataseg te ofrecemos nuestro servicio de consultoría y asesoramiento en materia de protección de datos, estaremos encantados de echarle una mano con este y otros temas de su interés.

/0 Comentarios/por

Mitos, mentiras y exageraciones sobre el RGPD – GDPR

, ,

Los mitos sobre el RGPD (GDPR, si preferís sus siglas en inglés), rayos, truenos y centellas, no dejan de aparecer a medida que se acerca el 25 de mayo. Muchos de nuestros clientes nos llaman asustados por lo que un comercial, de dudosa ética le ha dicho para intentar venderle -bajo amenaza de multas millonarias- un producto/servicio que no necesita o que ya ha contratado.

También hay muchos bulos, noticias sueltas y no contrastadas, mesías de la LOPD que publican verdades a medias, medias mentiras, y otras veces exageraciones o vaguedades. Pese a que hay muy buenos artículos y muy buenos abogados, asesores, consultores, etc. que publican información clara, vemos necesario aclarar dudas, confusiones, y desechar mentiras.

Esperamos que este post ayude a que tengáis información más clara, así como fuentes a las que acudir en caso de duda.

Mito 1. El RGPD entró en vigor el 25 de mayo de 2018.

¡Falso! el Reglamento entró en vigor el 25 de mayo del año 2016, sí, como lo lee, del año 2016. Ahora bien, será exigible, y aplicable a partir del 25/05/2016 (Aquí mini resumen de los puntos clave del RGPD). Esto significa que ha estado en vigor todo este tiempo, aunque se aplazó la exigencia de su cumplimiento 2 años.

Entonces, ¿En qué nos afectará en realidad la llegada del 25/05/2018? Fácil, que a partir de ese día, todos los sujetos obligados al cumplimiento del RGPD, deben cumplirlo. No hay periodo de carencia, no hay unos meses después de esa fecha para adecuarse, el tiempo para adecuarse ha sido el transcurrido desde su aprobación hasta ahora.

Mentira 2. El GDPR obliga a todo el mundo a tener un Delegado de Protección de Datos

Otra vez, ¡Falso! El Reglamento no obliga que todos los Responsables o Encargados de tratamiento de los datos, nombren un Delegado de Protección de Datos – DPD (Más conocido como DPO por sus siglas en inglés).  Deben asignar un delegado de protección de datos, aquellos que cumplan, como mínimo, una de las siguientes opciones:

Artículo 37 RGPD:

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público…
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

Eso dice el Reglamento, aunque es cierto que el proyecto de Ley Orgánica de Protección de Datos 2018 (Aquí resumen de los puntos clave), trae supuestos más directos y desglozados. Ahora bien, hasta que no esté aprobado y publicado el texto íntegro de la Nueva Ley de Protección de Datos, los supuestos son los que dice el RGPD, ni más, ni menos.

En caso de duda se pueden consultar los artículos de la Agencia Española de Protección de Datos sobre el tema (aquí), o sus preguntas frecuentes (aquí) o las directrices del Grupo del Artículo 29 (aquí).

Pregunta del millón ¿Una farmacia necesita Delegado de Protección de Datos? ¡Pues depende! ¿De qué? Del volumen de datos, número de afectados o del alcance geográfico. Por ejemplo, no es lo mismo la única farmacia del pueblo, que una de 20 en un mismo pueblo.

Mentira 3. Todo el mundo debe llevar un “Registro de Actividades de Tratamiento”

¡Falso! Pues oiga, tampoco. Al igual que el punto anterior, y sin perjuicio de lo que exija la futura LOPD 2018, este registro solo deben realizarlo una serie de Responsables o Encargados.

No deberán llevar un Registro de actividades de tratamiento, aquellos a los que aplique la siguiente excepción establecida en el art. 30 del RGPD:

Artículo 30 RGPD

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

Exageración 4. El RGPD hace que todos los Estados miembros de la UE exijan lo mismo en protección de datos.

Lamentablemente, ¡Falso!. Ya nos gustaría que ese principio y objetivo de la UE se hubiera alcanzado. No hubo consenso en todo el contenido del RGPD, y se dejó margen a los Estados para que regulasen internamente algunos puntos conflictivos, o muy “de país”.

Según Alejandro Padin (Garrigues), durante su comparecencia en el Congreso -en relación con el proyecto de Ley de Protección de datos 2018-, El RGPD obliga a los Estados a regular a nivel nacional entre 15 y 20 puntos, pero “permite” que regulen, o que se aplique el derecho nacional -si existe- hasta en 36 puntos más. Osea que podrían haber hasta más o menos 56 puntos de diferencia en la normativa de protección de datos de los Estados miembros de la UE.  Por lo que se ve en las leyes ya aprobadas (Francia y Alemania) y los proyectos de Ley en proceso, definitivamente no habrá homogeneidad.

Un ejemplo claro es lo relativo a la edad del consentimiento de los menores en el ámbito de la sociedad de la información. El RGPD establece la edad necesaria para consentir, en ese ámbito, en los 16 años, pero permite a los Estados poner una distinta -mínimo 13 años-. En España actualmente la edad para que los menores presten consentimiento son los 14 años, pero el proyecto de Ley de la nueva LOPD 2018, rebaja esa edad a 13 años (a ver cómo queda). El resto de Estados:

  • 13 años: Chipre, Letonia, Dinamarca, Suecia, Irlanda, Polonia, Noruega y Reino Unido.
  • 14 años: Austría y Bulgaría.
  • 15 años: Croacia.
  • 16 años: Alemanía, Hungría, Francia, Lituania, Luxemburgo, Reino Unido, Estonia, Holanda.

Mito 5. El 25 de mayo de 2018, dejará de aplicarse la LOPD 15/1999.

Sí, y no. Todo aquello en lo que la LOPD 15/99, sea contraría al RGPD, dejará de ser exigible y aplicará el RGPD. Ahora bien, todo aquello que no contravenga al RGPD, será en relación al Reglamento, «derecho del Estado», y en tal caso aplicará de forma complementaría.

Retomando el ejemplo de la edad del consentimiento de los menores, en caso de que la nueva Ley de protección de datos, no esté en vigor el 25/05/2018, la edad del consentimiento de los menores, en el ámbito de la Sociedad de la información, en España será 14 años, conforme nuestra LOPD 15/1999, y no de 16 años como establece el RGPD. Esta aclaración la hizo Agustín Fuentes, de la Agencia Española de Protección de Datos, durante su comparecencia en el Congreso con motivo de la tramitación de la nueva LOPD. La AEPD interpreta en sentido amplio la remisión del RGPD a «LEYES nacionales», y aunque la edad de 14 años se estableció mediante un Real Decreto será la que se aplique. 

En fin, que salvo que haya una nueva Ley de Protección de Datos, la actual no morirá el próximo 25/05/2018. Seguirá estando vigente en todo cuanto no contravenga al Reglamento Europeo de Protección de Datos.

Muchos mitos, pocas nueces

Las información está clara como el agua en el contenido del RGPD. No hay que creer inventos de vende humos, en caso de duda, hay que acudir a la fuente.

Si quiere información clara, acuda página del Grupo del artículo 29 -futuro Consejo UE de Protección de Datos-; a la página de la Agencia Española de Protección de Datos. En ellas encontrará información clara, concisa y apropiada. También, existen grandes profesionales, y empresas especializadas, que le podrán ayudar con la tarea de enfrentarse al RGPD.

Para más información, visite nuestros post relacionados:

1. Claves del Anteproyecto de Ley Orgánica de Protección de Datos (futura LOPD 2018)

2. Reglamento General de Protección de Datos ¿Qué es?, puntos más importantes a tener en cuenta.

3. Resumen1. 9AEPD. Primera parte de la sesión anual de la AEPD, especial sobre el RGPD.

4. Resumen2. 9AEPD. Segunda parte de la sesión anual de la AEPD 2017, especialmente dedicado al RGPD.

/0 Comentarios/por

Reglamento General de Protección de Datos, ¿Que es?

, ,

La frase “El 25/05/2018, empieza a aplicarse el Reglamento General de Protección de Datos” últimamente se repite con cierto apuro. Quizá, nos falte explicar qué significa la frasesita, y porqué le debe importar a nuestros actuales y futuros clientes, y a todo aquel al que le afecte.

Empecemos por el principio. La normativa de protección de datos ha cambiado, así como suena. Ahora bien, ¡a Dios gracias’!, tenemos hasta el 25/05/2018, un plazo “prudente”, para cumplir con la novedad, el Reglamento General de Protección de Datos – 679/2016 UE, en adelante el RGPD.

Lo que conocemos hasta ahora, la Ley Orgánica, 15/1999, de protección de datos de carácter personal, y su reglamento de desarrollo el RD. 1720/2007, vienen de la una Directiva derogada por el RGPD, la 95/46/CE. Por tanto, el marco legal aplicable será el del RGPD. Todo de ahora en adelante, deberá modificarse para no contravenirlo. Es así como en este momento en España, estamos en medio del proceso de modificación de nuestra querida LOPD. En un post anterior, os comentamos las claves del anteproyecto de modificación.

Ok, todo cambia pero, ¿Qué es el Reglamento General de Protección de Datos?

El RGPD es una norma nacida en el seno de la Unión Europea, con el más alto rango normativo que puede tener una legislación comunitaria. El documento en que se publicó el contenido del RGPD se titula de la siguiente manera «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE» Ya con esto está todo dicho. O no.

El crear una nueva norma con forma de reglamento, no es casualidad. En primer lugar, se le quiso dotar de la superioridad normativa necesaria para ir por encima de las normas nacionales -que para aprobarlo todos estuvieron de acuerdo-. En segundo lugar, homogeneizar la normativa. Es decir todos los estados tenemos la misma legislación, o casi. En tercer y último lugar, se pretendía que la norma en su momento de en vigor, y en el inicio de su aplicación fuera directamente aplicable para todos, gobiernos y particulares.

El RGPD tiene como finalidad garantizar el derecho a la protección de datos de todos los ciudadanos.

¿A quién aplica el RGPD?

Como dijimos en el anterior párrafo, a todos. Ahora bien, a unos nos reconoce derechos, y a otros les impone obligaciones de hacer, o de no hacer. Por un lado, a los particulares, nos reconoce una serie de derechos, unos ya los teníamos, otros son casi nuevos. Por contra, a las empresas, profesionales y organismos públicos o privados, les impone una serie de obligaciones. Las obligaciones impuestas por el RGPD, pretenden proteger a las personas de las cuales las empresas tratan datos personales, garantizando sus derechos, y limitando sus usos y tratamientos.

Diferencias entre las obligaciones de la actual LOPD y el RGPD

Este post no pretende hacer un examen minuciosos de las reglas que cambian. Ya lo haremos luego, no os preocupéis. Así que a grandes rasgos, las diferencias entre lo que tenemos ahora, y lo que nos llega con el RGPD, son las siguientes:

Cumplimiento limitado a la Ley, vs. Cumplimiento activo.

Hasta ahora, para las empresas, cumplir la LOPD ha sido cosa de inscribir unos ficheros en el Registro General de Protección de Datos; poner las medidas de seguridad del RD 1720/2007 que nos apliquen; poner cláusulas, y firmar documentos. Y luego, que demuestren que he fallado.

Con el RGPD, se introduce el termino Acountability, o cumplimiento activo.  Se plantea el reto de la privacidad por defecto y por diseño. Son las empresas las que tienen que actuar proactivamente protegiendo los derechos de las personas de las cuales tratan, o podrían tratar datos personales. El cumplimiento del RGPD no se basa en una lista concreta de cosas para hacer, sino, de cosas para prever de forma activa. Ahora, se deberá demostrar el cumplimiento, si o si.

Medidas de Seguridad. Ahora, según evaluación de riesgos

Las medidas de seguridad que conocemos de nuestra LOPD y su reglamento de desarrollo, el RD 1720/2007, ya no estarán incluidas como tal en el RGPD. No habrá una lista concreta de medidas a aplicar, sino, que debemos llevar una gestión de riesgos de los datos personales que manejamos.  En este sentido se recomienda el uso, de los controles de seguridad de la familia ISO 27001.

Encargados de tratamiento. De menos a más responsabilidad.

Hasta ahora con la LOPD, se había establecido la obligación de firmar el contrato que exige el artículo 12, y alguna poca cosa más. Pero con el RGPD, las empresas deberán evaluar de forma activa el cumplimiento de sus proveedores. Deberán implementar un protocolo de contratación en el que el cumplimiento de la norma sea un requisito básico para contratarlos;  también el seguimiento de dicho cumplimiento, un requisito para el manteniendo del contrato. El contrato deberá ser más detallado a la relación concreta, los datos tratados, las finalidades y los tipos de tratamientos.  Por lo anterior, se trasladará una mayor parte de la carga del cumplimiento al prestador.

Registros de tratamiento en lugar de inscripción de ficheros. 

Ya no se notificarán ficheros a la AEPD. Ese tan conocido Registro General de Protección de Datos, al que las empresas notificaban los ficheros ; muchas veces era un mero tramite administrativo, vació de cumplimiento activo, ahora ya no existirá. La AEPD ha informado por activa y por pasiva, que pese a que tenemos que cumplir con esta obligación hasta el 24/05/2018, a partir de la entrada en vigor del Reglamento General de Protección de Datos, el 25/05/2018, ya no se deberá, ni se podrá seguir inscribiendo ficheros. 

Hay muchas más novedades, pero estas son las principales, y además, la idea era hacer corto este artículo. Así que seguimos

¿Cuando tenemos que empezar a cumplir?

Pues cuanto antes, en función de la actividad de la empresa, o de los datos que trate, o de las finalidades o cantidades de datos que tratemos. El caso es que el 25 de mayo de 2018, cuando el Reglamento General de Protección de Datos inicie su plena aplicación, todos los obligados deberán estár cumpliendo. En ese momento el RGPD será directamente aplicable y exigible a todos.

El día de inicio de aplicación del RGPD, o GDPR como son la siglas en inglés, todos los ciudadanos veremos alargada nuestra lista de derechos y herramientas para ejercitarlos, así que las empresas deberán estár listas para garantizar su respeto y ejercicio.

En resumen

El RGPD es el cambio más grande que hemos tenído en los últimos años, en matería de protección de datos. Estos dos daños que nos dierón desde su entrada en vigor, hasta el inicio de su aplicación ya se están agotando y hay que ponerse en marcha si ya no se ha hecho.

Esta norma se ha de afrontar en muchos casos como si de una norma ISO se tratara, o algo similar. Con mucho rigor, compromiso de la dirección y trazabilidad de todos los actos de cumplimiento. Ahora tenemos que demostrar que cumplimos; cumpliendo y registrando ese cumplimiento es como se consigue.

 

 

/0 Comentarios/por

Adecuación legal web (I). Introducción

, , ,

Los titulares de páginas web deben realizar una adecuación legal web. La finalidad es cumplir aquellas leyes que se han erigido como garantes de los derechos de las
personas en internet.

Con la expansión de internet, cada vez somos más propensos a realizar transacciones a través de la red. Necesitamos seguridad jurídica, y estas leyes bien aplicadas nos ayudan a conseguirla.

Hay que recordar que en su momento parecía que internet era el Salvaje Oeste. Nada más lejos de la realidad. Pero, para evitar confusiones, y aclarar algunas
líneas muy delgadas, se creó la regulación especifica de los servicios de la sociedad de la información.

Nota: artículo actualizado el 04/11/2018 para incluir lo relativo a la adecuación web al RGPD – Reglamento General de Protección de Datos UE 679/2016.

¿Qué leyes se tienen en cuenta en una adecuación legal web?

El ecosistema jurídico aplicable a los negocios en interner, es el mismo que es de aplicación en su parte física. Tenemos al Código Civil, Código de Comercio, Código Penal, entre otros. Luego, las leyes especiales que imponen obligaciones concretas a aquellas empresas y profesionales que gestionan y explotan una página web.

Específicas de negocios en internet
Relativas al producto/servicio y actividad económica

Las anteriores para empezar. A partir de ellas hay que sumar la legislación específica relativa a la actividad que se realice. Así como la de los productos o servicios ofrezca. Esto para transacciones B2C (negocio a persona física)

Para transacciones B2B (negocio con negocio)  pues oye, que venga el Código Civil y la legislación mercantil y repartan cuantas reglas hagan falta.

En nuestros post hablaremos del caso que más se presta para generalizar. El B2C, y las leyes básicas aplicables a casi toda la generalidad de páginas web de negocios o profesionales.

Pero, ¿cuáles son las leyes que debo cumplir en MI web?

Sabiendo de antemano que existe una regulación de los servicios prestados u ofrecidos a través de internet, así como que es de aplicación todo el ordenamiento jurídico básico de nuestro país, le dejamos una pequeña tabla que le permitirá identificar fácilmente las leyes que debe cumplir.

Lista indicativa, una opción no excluye la otra. Lo más probable es que salga, LSSI y el RGPD, casi siempre.

 

Y, ¿De esas Leyes qué tengo que hacer?

Bueno, nuestro propósito inicial fue escribir un solo artículo que resumiera todas las obligaciones. Como iba a quedar tipo testamento -de lo largo- haremos, otros 3 artículos que cumplimenten este. Serán sobre la LSSI-CE, el RGPD y la LGDCU.

Para resumir, os ponemos lo que a nuestro juicio son los dos pilares de estas tres leyes. El principio de información y transparencia, y el de consentimiento. Los demás son completamente transversales en asociación con estos.

Principio de información y transparencia.

En nuestras transacciones online, sean gratiutas u onerosas nos interesa tener seguridad jurídica. Saber que nuestros derechos serán respetados y que quien está del otro lado, va a cumplir su parte del trato.

  1. En la LSSI, artículo 10, encontramos la obligación publicar toda la información del titular de la web. Datos identificativos, fiscales, de contacto, de localización y registro. En caso de profesiones reguladas también se piden información específica. Si en la web se ofrecen productos o servicios deben aparecer claramente los precios, impuestos aplicables y gastos de envío. Entre otras.
  2. El RGPD por su parte dispone en el artículo 5.1 en su apartado a) el principio de transparencia en relación al tratamiento de datos del interesado, y en su artículo 13 relativo al derecho de información, establece que se facilitará toda la información siguiente al interesado: la identidad y los datos de contacto del responsable, los fines a los que se destinan los datos personales, los destinatarios o las categorías de destinatarios de los datos personales, el plazo durante el cual se conservarán los datos personales, así como la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento.
    NOTA: En este apartado el artículo original hacía mención a las obligaciones de información de la LO. 15/1999 de Protección de Datos de Carácter Personal.
    Hace dos semanas la AEPD publicó su informe sobre ‘Políticas de privacidad en Internet. Adaptación al RGPD’. No quedó títere con cabeza, y definitivamente
    ese informe hecho de oficio por la Agencia deja claro que no se van a andar con chiquitas a la hora de evaluar el cumplimiento de los responsables. Puede ver el informe aquí https://www.aepd.es/media/estudios/informe-politicas-de-privacidad-adaptacion-RGPD.pdf
  3. La LGDCU, va más allá que la LSSI en lo relativo a los derechos de los consumidores y usuarios. Exige que todo tipo de información relativa a la venta o contratación, sea fácilmente accesible siempre para los consumidores. Así mismo que estos siempre tengan claro: cuál es el proceso de compra, los precios de los productos, del envío, la posibilidad del ejercicio del derecho de desistimiento, cancelación de la transacción, entre otros.
Principio del consentimiento.

Os podéis imaginar que, si estas leyes pretenden garantizar los derechos de los usuarios, uno de los puntos clave es priorizar la necesidad del consentimiento bien para recabar datos, para el envío de publicidad, o para la formalización de una transacción o cualquier otra finalidad que así lo requiera, así como la normativa aplicable: casos y leyes:

  • El Reglamento General de Protección de datos dispone que el consentimiento ha de ser inequívoco, es decir, se ha de prestar mediante una manifestación o una clara acción afirmativa del interesado.
  • Por otro lado la LSSI, en sus artículos 20, 21 y 22 exigen, no solo información, sino, la autorización expresa. Ojo, expresa, para el envío de publicidad. Claro, también hay alguna excepción, la más importante, y asociada a la pronto inicio de aplicación del RGPD, será la del interés legítimo.
  • En la LGDCU -por recordar, Ley General Para la Defensa de Consumidores y Usuarios- solo se podrán entender como realizadas aquellas transacciones que sean realizadas con el consentimiento y aceptación plena e informada del consumidor. Aquellas se realicen de forma engañosa, no tendrán validez.

Conclusiones

Tener una página web requiere de una visión de amplio espectro. Que no solo se vea por la consecución del fin de su puesta en marcha, sino también, de la defensa y garantía de los derechos de nuestros destinatarios del servicio o consumidores.

El cumplimiento de estas normas, no solo protege los derechos de los usuarios o consumidores, sino también de los del titular de la web. Con el cumplimiento de las normas en muchos casos limita su responsabilidad, así como evita incidencias mayores al poner en claro las reglas del juego. Las leyes están para cumplirlas, pero si además las cumplimos como valor añadido podremos conseguir que nuestro sitio web sea reconocido por su fiabilidad y cumplimiento.

Si necesitáis ayuda con la adecuación legal de vuestra web, ecommerce, palataforma Saas, o cualquier otro servicio de la sociedad de la información, no dudéis en contactarnos. Nuestro nuestro servicio de adecuación legal web, software y app, ha sido diseñado para eso.

PS/ Pronto publicaremos el siguiente artículo. Adecuación Legal Web (II). La LSSI.

/0 Comentarios/por

Habemus Anteproyecto de Ley Orgánica de Protección de Datos

, ,

La reforma de la Ley Orgánica de Protección de Datos es ya un hecho. El pasado viernes 23 de junio, el ministro de Justicia, D. Rafael Catala Polo, presentó ante el Consejo de Ministros, un informe sobre el anteproyecto de  Ley Orgánica de Protección de Datos para adaptarla al reglamento UE 2016/679.

[Actualización 28/06/2017] Hoy se ha publicado el Trámite de Audiencia de información pública del Anteproyecto de modificación de la Ley Orgánica de Protección de Datos. El plazo para presentar observaciones, finaliza el 19/07/2016.  [Actualización 14/01/17] Finalmente el 24/11/2017 el Consejo de Ministros, elevó al Congreso la propuesta de Proyecto de Ley de Protección de Datos. Vamos a ver las enmiendas… Aquí el doc.

Razones por las que se modifica la LOPD

La modificación de la Ley Orgánica de Protección de Datos, obedece a los cambios legislativos introducidos por la Unión Europea, con la aprobación del Reglamento UE 2016/679 (RGPD EU) que entró en vigor el 25 de mayo del 2016, y será de aplicación a partir del próximo 25 de mayo de 2018.

Como es sabido los Reglamentos EU no requieren de una transposición al ordenamiento jurídico interno de los estados. Son de aplicación directa. Pero, como el RGPD en su contenido ha dispuesto que algunos puntos polémicos sean legislados por los estados, por eso se modifica la LOPD. Ahora, no hay carta blanca para nuestro legislador, todo lo que haga debe estar siempre dentro de los marcos establecidos por el Reglamento.

En el caso de España, se ha previsto modificar nuestra actual Ley Orgánica de Protección de Datos. No se creará una regulación nueva, sino que se adaptará  la actual para que no contravenga el RGPD, y a su vez legisle aquellos puntos que están al arbitrio de nuestro legislador.

¿Porqué una Ley Orgánica?

Teniendo en cuenta que hablamos del derecho fundamental a la protección de datos, que se encuentra amparado en el artículo 18.4 de la Constitución española, nuestro ordenamiento requiere que su regulación se haga a través de una Ley Orgánica. Esto presupone una garantía adicional durante el proceso legislativo, ya que requiere una mayoría absoluta para su aprobación, así como para cualquier tipo de reforma.

Novedades de la nueva Ley Orgánica de Protección de Datos

Si nos basamos en el contenido del informe presentado por el ministro de justicia, hablamos de

  • Tratamiento de datos de personas fallecidas por parte de sus herederos.

  • La edad para el consentimiento, se reduce desde los 14 a los 13 años.

  • Aparece el principio de transparencia.

  • Se regulan los sistemas de información crediticia, videovigilancia, exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado (whistleblowing).

  • Se incide también en los derechos de:

    • acceso
    • rectificación
    • supresión
    • limitación del tratamiento
    • portabilidad

  • Se introduce la obligación de bloqueo.

Ahora bien, no son los únicos cambios que introducirá, también hemos de recodar que el Reglamento Europeo de Protección de Datos, nuestro querído RGPD, incluye una nueva forma de hacer las cosas. Ya no es «demuestra que no lo has hecho mal» ahora debemos demostrar que lo hemos hecho bien. Es el accountability, o cumplimiento activo.

Ya no tendremos una lista de medidas de seguridad, ahora hemos de hacer una evaluación de riesgos. Y a partir del resultado, hemos de implantar cuantas medidas de seguridad necesitemos, independientemente de su naturaleza.

Y claro, no podemos olvidarnos, en este recuento -genérico- de novedades, de las Evaluaciones de Impacto en la Privacidad. Esas que traerán un tanto de cabeza a las organizaciones que deban realizarlas; y tampoco podemos terminar este apartado sin nombrar al Delegado de Protección de DatosDPO/DPD.

Vamos, que novedades hay muchas, y nuestro antiguo proyecto de adecuación LOPD va a tener que evolucionar a la fuerza. Tendremos que mejorar nuestro cumplimiento de la Ley Orgánica de Protección de Datos para cumplir con el RGPD y evitar las sanciones, que ¡oh sorpresa! también será modificado el régimen sancionador.

¿Y cuál es el siguiente  paso?

Se deberá presentar la propuesta de modificación al Congreso de los Diputados acompañada de una Exposición de Motivos y de los antecedentes necesarios para  que se pronuncien sobre ella. Luego vendrán las enmiendas, las votaciones, los acuerdos, etc. Uff, nos queda un largo tramo, y al ser una Ley Orgánica y con nuestro parlamento tan fraccionado tenemos que cruzar los dedos para que llegue a tiempo.

¿Cuándo entrará en vigor la nueva LOPD?

La respuesta es «depende». Depende de que se cumplan los plazos que conocemos a día de hoy. Son los siguientes:

  • La directora de la Agencia Española de Protección de Datos, Dª. Mar España, el pasado 28 de mayo dijo que esperaban tener la nueva LOPD aprobada y publicada poco antes de que iniciara la aplicación del RGPD.
  • OJO: Hoy, 26 de junio gracias a el DiarioLaLey de WK hemos tenido acceso al documento en pdf del anteproyecto  y dice que la nueva Ley Orgánica de Protección de Datos entrará en vigor el 28 de mayo del 2018, el mimo día que el RGPD.

Lo que nos queda es empezar a cumplir el RGPD

Definitivamente no podemos dormirnos en los laureles esperando la nueva LOPD. Hay que iniciar un proceso de evaluación de nuestros sistemas de tratamiento de datos, para ir aplicando el RGPD. Iniciar cuanto antes nuestro proceso de adecuación es el plan más idóneo.

Si queréis podéis echar un vistazo al contenido del anteproyecto, que es un buen primer paso. Pero recordad que todavía quedan las enmiendas y todo lo relacionado con el proceso legislativo;  a día de hoy LA FUENTE es el Reglamento Europeo de Protección de Datos.

Si necesitáis ayuda para la adecuación a la normativa de protección de datos, no dudéis en contactar con nosotros. Estaremos encanados de prestaros nuestros servicios.

 

/0 Comentarios/por