Con la llegada de la conocida como “Ley Whistleblowing”, el tema de los canales de denuncias está en boca de todos. De hecho, en nuestro blog hemos dedicado tres artículos a hablar sobre ello, uno de ellos centrado en cómo cumplir con la protección de datos en estos sistemas.

Ahora, es la Agencia Española de Protección de Datos (AEPD) la que, en un reciente informe, se ha pronunciado sobre los sistemas internos de denuncias. En concreto, sobre quién es responsable del tratamiento de los datos personales alojados dentro de los mismos.

Puedes leer el informe completo de la AEPD aquí, pero en este post resumimos sus antecedentes, puntos clave y las conclusiones de la Agencia.

¿Qué dice la Ley sobre responsabilidad en el canal de denuncias?

Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, también llamada “Ley Whistleblowing”, entró en vigor el pasado 16 de marzo.

Entre otras cuestiones, esta norma obliga a determinadas entidades a contar con un canal interno de denuncias y a adoptar medidas que permitan proteger los datos de denunciantes y denunciados. Esto es exigible desde mediados de junio y, para empresas de entre 50 y 249 trabajadores, lo será a partir del 1 de diciembre de 2023.

Pero, dentro de una empresa, ¿quién es responsable de este sistema? La norma es muy clara al respecto, pues en su artículo 5, señala que el órgano de administración o de gobierno es responsable de implantar el sistema. Pero, además, lo designa también como responsable del tratamiento de los datos personales que puedan almacenarse en el mismo.

La consulta planteada a la AEPD

Pese a la claridad de la norma, la cuestión sobre quién es realmente responsable de los canales de denuncias, si la empresa o su órgano de gobierno, ha generado muchas dudas y controversia. Y, con el ánimo de arrojar luz sobre el asunto, se ha planteado una reciente consulta a la AEPD, solicitando que se pronuncie al respecto.

La consulta se basa en dos argumentos principales

  • La consultante, por una parte, entiende que el Consejo de Administración de una empresa es responsable de asegurar que en ésta se implante un canal de denuncias, pero no por ello es responsable del tratamiento de los datos.
  • Siguiendo esa línea argumental, entiende la consultante que la responsable del tratamiento sería la empresa en sí.

Las conclusiones de la AEPD

Lo primero que hay que dejar claro es que no es la primera vez que la Agencia se pronuncia sobre este tema. Cuando la ley se encontraba en fase de anteproyecto, la AEPD ya emitió otro informe al respecto que, de alguna manera, parece ser el que ha dado lugar a parte de la controversia.

En cualquier caso, en esta nueva publicación, la AEPD es clara y concluye:

  • Que, en todo momento, su intención ha sido la de ayudar a identificar las responsabilidades intervinientes, no queriendo con ello atribuir al Consejo de Administración la condición de responsable del tratamiento
  • Que, por lo anterior, la responsable del tratamiento de los datos en el canal de denuncias es la entidad obligada a disponer del mismo.

En resumen: aunque el órgano de gobierno de una empresa debe asegurar que se implante un sistema interno de denuncias, no es responsable del tratamiento de los datos personales que haya en éste, esa responsabilidad es de la empresa. Y esta misma conclusión aplica al sector público.

Si te ha interesado este artículo y quieres saber más sobre el tema, en Dataseg quedamos a tu disposición a través de nuestros medios de contacto.

Welcome to Dataseg’s blog! If you speak English, this post is a great way to get to know us and find some information about our services.

Who are we?

Dataseg is a company from Canary Islands specialized in data protection, privacy, cybersecurity and IT Law. We provide training and consultancy and give companies legal advice in order to comply with GDPR and with Spanish data protection regulations.

Where are we and who do we work with?

We are located in Santa Cruz de Tenerife, Canary Islands, Spain. Many of our clients are also located in the Canary Islands, but we also have clients all around Spain and we work with companies which operate internationally. We are used to collaborate with large companies, but we also work with small professionals whose businesses are just launching. We adapt to what our clients need.

How can I know if I need your services and why counting on Dataseg?

No matter if you are located in the European Union or not: if you work with European clients or provide services anywhere in Europe, you must comply with the GDPR and with any other data regulations that apply in Europe. If you focus specifically in Spain, you must know that our country has its own Data Protection Act.

Maybe you are thinking about taking a big step and launch your own company or expand your business abroad. Or perhaps you simply are concerned about GDPR compliance in your company and you haven’t found professionals that can help you with it.

It doesn’t matter if you have previous experience or not, or what your situation is: it is always a must to get legal advice in order to help you reach your goals, obtain the best results and avoid risks related to lack of compliance.

What makes Dataseg different to other companies?

Our team counts with Law graduate consultants who are constantly learning about European and international regulations in order to improve their knowledge and provide a quality service.

We take part in national projects, as well as international ones, and we provide our services in Spanish and English, which means that communication will never be a problem when you work with us. We guarantee that your needs will be heard and understood.

Apart from that, we are very used to work in sectors where everything mentioned above is highly important: tourism, travel, new technologies, sales and commerce in general, on-line presence and many others. We take care of our clients and we analyse each project on a case-by-case basis, giving it the attention it requires.

How can I reach Dataseg?

If you wish to know more about us, our services or you need some more information, you can contact us with no commitment, through the following:

  • Phone: +34 922 215 406
  • E-mail: info@dataseg.es
  • Through our contact form.

You can also follow us on LinkedIn and Twitter or check other posts on our blog.

Don’t hesitate! Our team will be pleased to hear about you and your ideas.

Cualquiera que gestiona un negocio o una empresa recibe, de cuando en cuando, un currículum, ya sea porque has abierto un proceso de selección, o porque alguien te lo entrega esporádicamente. Son situaciones que forman parte del día a día.

Todos tenemos claro qué es un currículum o CV: el documento que recoge la formación, experiencia y aptitudes profesionales de una persona. Y, por supuesto, muchos datos personales de su titular: su nombre y apellidos, su información de contacto, el lugar dónde vive y demás.

¿Ves por dónde vamos? Exacto: la recogida de un currículum implica, se mire por donde se mire, un tratamiento de datos personales sujeto a la normativa reguladora. Y, como es súper habitual y no siempre se hace del todo bien, hoy te damos algunas pautas y también respondemos dudas (y, de paso, desmontamos mitos).

El deber de información en la recogida de currículum

El RGPD es muy, muy claro en este sentido: cualquier tratamiento de datos personales -y, como ya hemos explicado, la recogida de currículum lo es- tiene que cumplir con una serie de mínimos. Entre ellos, garantizar que la persona recibe la información sobre cómo se van a tratar esos datos. En concreto, y como mínimo:

  • Quién va a tratar sus datos personales como responsable
  • Con qué finalidad se tratarán
  • Sobre qué base jurídica se sustenta el tratamiento
  • Durante cuánto tiempo se conservarán, o qué criterios se siguen para ello
  • A quién se comunicarán
  • Si se prevén transferencias internacionales de sus datos
  • Qué derechos reconoce el RGPD sobre dicha información

Pero, ¿Cómo y de qué forma tenemos que dar toda esa información?

Por regla general, la información deben proporcionarse en el momento en que se recogen los datos personales. ¿Cómo podemos aplicar esto cuando recogemos un CV? Hay varias maneras de hacerlo:

  • Formularios tipo “Trabaja con nosotros”. Son muy habituales, por ejemplo, en páginas web de empresa. Una manera de cumplir con lo descrito es incorporar la información sobre protección de datos al pie del mismo.
  • Plataformas, portales o similares. Si abres un proceso selectivo en alguno de estos espacios -sea tuyo propio o de un tercero- puedes proceder de la misma forma. También es muy habitual ver ofertas, por ejemplo, en redes sociales especializadas como LinkedIn, sobre la que ya te hablamos en un post anterior.
  • Recogida en mano o por correo electrónico. Si éste es tu caso, es recomendable que tengas un formulario informativo que entregues a la persona o bien que se lo envíes como respuesta, incluso automática, cuando te haga llegar su CV.

Entonces, ¿eso significa que puedo recoger currículum en mano?

Como te decíamos al inicio, aquí venimos a desmontar mitos y, desde que llegó el RGPD hace algunos años, hay uno muy extendido: el de que, por protección de datos, no se puede recoger un currículum en papel. Bueno, éste y todas sus variantes.

Y eso no es cierto: perfectamente puedes recoger un currículum en mano. Y no, no necesariamente tiene que ir en un sobre cerrado ni muchas otras cosas que se oyen por ahí, lo que sí tienes que asegurar es que cumples con el deber de informar en el momento de recibirlo. Por tanto, si alguien te entrega su currículum de manera presencial y quieres recogerlo, puedes, pero en el acto debes darle la información que ya te hemos explicado.

Esto no quiere decir que estés obligado a recoger un CV si alguien te lo quiere entregar en mano: tú eres dueño de tu negocio y decides cómo gestionarlo, por lo que si prefieres recibirlo por otra vía -o no recibirlo- puedes hacerlo.

Alguien te envía su CV y no lo quieres o no te interesa

Si no tienes activo un proceso de selección o en un determinado momento no te interesa recoger un CV, entonces no estarás tratando datos personales, por lo que no tienes que aplicar las obligaciones que hemos señalado.

Lo mismo ocurre en aquellos casos en que te llega un currículum por correo y lo eliminas sobre la marcha: no tienes que informar ni responder.

Lo que es importante que recuerdes es que siempre que conserves esa información, incluso aunque la dejes olvidada en tu bandeja de entrada o en un cajón -¡que NO debería!- sí que debes cumplir con los términos descritos.

¿Cuánto tiempo debo conservar la información de los candidatos?

No existe un plazo concreto de conservación de los datos asociados a un CV, si bien el RGPD insiste en que la información debe guardarse mientras sea necesaria para los fines de recogida.

Si estás amontonando papel y documentos sin justificación alguna, lo ideal es revisar periódicamente qué necesitas y qué no y destruir de forma efectiva aquello que ya no te hace falta.

Por si te es de utilidad, en el ámbito de la selección de personal, un plazo orientativo y muy utilizado para guardar la información es el de dos años, a contar desque que el currículum fue recibido. Transcurrido éste, mejor borrar.

Terceros intervinientes en la recogida de currículum

Hay que ser muy cuidadoso siempre que en un proceso de selección de personal intervienen terceros, para uno u otro fin.

Por ejemplo, si contratas a una empresa de selección o recurres a plataformas de búsqueda de profesionales, como comentamos anteriormente, es importante que valores bien a estos proveedores, asegurándote de que cumplen con los mínimos legales y de que tú respetas las obligaciones que la normativa impone para estos casos.

Lo mismo, si tienes en mente comunicar los datos de los candidatos a otras empresas o profesionales -algo habitual, por ejemplo, en grupos empresariales-, algo que también debe examinarse y siguiendo las pautas que marca la norma.

Éste es un tema muy extenso, complejo y que daría para otro post (o varios), pero la AEPD cuenta con una guía sobre relaciones laborales que es sencilla, útil y aclara muchas dudas.

Y, por supuesto, cuentas también con nuestras vías de contacto si necesitas atención especializada.

Consecuencias de incumplir el RGPD en el tratamiento de currículum

Como se suele decir: nunca pasa nada… hasta que pasa. Nuestra labor, como profesionales protección de datos es la de analizar los tratamientos y prever los posibles riesgos y consecuencias para evitar que repercutan negativamente en los derechos de las personas.

Volviendo al tema: ¿Qué puede pasar si no respetas los pasos que te hemos indicado? En ese caso, estarías en una situación de incumplimiento normativo, lo cual supone una infracción y puede llevar aparejada una sanción.

Por poner un ejemplo, hace un tiempo la AEPD sancionó a una empresa por no haber notificado a un candidato que habían recibido su currículum correctamente, así como por no haberle proporcionado la información que antes mencionábamos. El procedimiento terminó con una multa por cuantía de 2.000 euros.

Uno de los derechos que existen en el ámbito de la protección de datos es el derecho de acceso. Si bien el RGPD lo define muy bien, a veces surgen dudas sobre hasta dónde llega exactamente. Por ejemplo: ¿podría un cliente saber qué decimos sobre él en nuestros correos u otras comunicaciones de trabajo?

Cada vez es más frecuente -más aún desde el boom del teletrabajo- que usemos nuevas tecnologías en nuestras profesiones, incluso para comunicarnos con nuestros compañeros. Y muchas veces le restamos importancia, pues confiamos en que estamos en un entorno seguro y privado.

Pero, ¿y si nuestros clientes pudieran tener acceso a esas comunicaciones? Precisamente sobre esto se pronunció el Tribunal Federal de Justicia de Alemania, en una de sus resoluciones. En este post, analizamos la misma y te damos algunas recomendaciones para evitar riesgos.

El derecho de acceso: artículo 15, RGPD.

Como te contábamos, uno de los derechos (arts. 15 a 21) que reconoce el RGPD es el derecho de acceso. Sobre él, nos dice que es aquel que permite a una persona:

“obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen […]
Y, además, específica qué es lo que tenemos derecho a saber (o acceder):

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales […]

d) de ser posible, el plazo previsto de conservación de los datos personales […]

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles […].

Además, el RGPD también reconoce el derecho a saber si tus datos son objeto de alguna transferencia internacional de datos y bajo qué garantías. E incluso a obtener una copia de la información personal que tenga relación contigo.

Ampliación del derecho de acceso del interesado

Como ya te adelantábamos, en julio de 2021, el Tribunal Federal de Justicia de Alemania emitió una resolución muy importante en este sentido. ¿Por qué? Porque su decisión podría entenderse como una ampliación del derecho de acceso, de forma que abarcaría mucho más que lo que hasta ahora ha venido entendiéndose.

Primero, lo primero: los hechos que dieron lugar a la sentencia

Una persona demandó a su compañía aseguradora, solicitándole información sobre todos los datos personales suyos que tuviera. Aunque inicialmente se desestimó la demanda, dado que la compañía ya le había proporcionado información, el Tribunal Federal acabó dándole la razón al demandado, entendiendo que la compañía no había respondido adecuadamente a la solicitud

Los argumentos del Tribunal en su sentencia

El Tribunal considera que el derecho de acceso debe ser entendido en un sentido amplio y que no solo incluiría la información expresamente regulada en el RGPD. Así, abarcaría también información que conste en notas internas o tomadas a raíz de conversaciones telefónicas mantenidas con una persona.

Así mismo, el Tribunal entiende que el interesado tiene derecho a -valga la redundancia- ejercitar este derecho repetidamente, incluso aunque ya tuviera conocimiento de previa información o correspondencia.

¿Qué implica esta decisión?

Aunque se trate de una decisión emitida en Alemania, y pese a que la AEPD aún no ha publicado ninguna en este sentido, lo cierto es que debe ser muy tenida en cuenta. Uno de los objetivos del RGPD, como ya te contamos en este post, es precisamente el de unificar el marco normativo y la toma de decisiones en materia de protección de datos. En otras palabras: cuando las barbas de tu vecino veas pelar, pon las tuyas a remojar.

Por ello, es necesario estar atentos a las decisiones que se dictan en otros Estados, porque probablemente anticipan lo que nuestras propias autoridades (la AEPD) acabarán decidiendo también.

¿Qué deberías tener en cuenta en tu empresa o trabajo?

Una decisión de este tipo, aplicada en el día a día de una empresa o profesional, podría implicar que, si una persona ejercita este derecho, podría llegar a acceder a toda la información que tengamos disponible sobre él: post-it, notas, correo electrónico y otras comunicaciones como aplicaciones de chat, siempre dentro de lo que es el ámbito de trabajo.

¿Lo mejor que podemos hacer? Ser respetuosos, profesionales y cuidadosos con la información personal que manejemos, en cualquier entorno. Es fácil que, especialmente si tenemos confianza con nuestros compañeros, se den situaciones en las que tendemos a relajarnos o adoptar un tono más informal, -todos lo hacemos- pero no debemos olvidarnos de que los datos que intercambiemos no solo son material de trabajo, sino lo que hagamos con ellos puede afectar a la persona que hay detrás.

Directrices del Comité Europeo de Protección de Datos

Además de todo lo que ya te hemos contado, el Comité Europeo de Protección de Datos también cuenta con unas directrices y pautas relativas al derecho de acceso. Aunque aún no está vigente el texto definitivo, hay puntos a destacar:

• El derecho de acceso es clave para proporcionar a la persona información suficiente, transparente y de fácil acceso sobre sus datos.

• Si bien facilita el ejercicio de los otros derechos de protección de datos, no es condición previa para poder ejercitarlos.

• Ante una solicitud de este tipo, es fundamental valorar: quién la hace, si va referida a datos personales, y si abarca todos o solo parte de los datos del interesado.

• Hay que garantizar que el acceso a los datos se hace de manera concisa, transparente e inteligible.

• Ningún derecho es absoluto, siempre hay limitaciones y restricciones. Tampoco puede servir para afectar a los derechos y libertades de otros.

• Por último, también recoge la posibilidad de que los responsables de tratamiento puedan rechazar o cobrar una tarifa razonable por solicitudes que consideren manifiestamente infundadas o excesivas. Eso sí, sin menoscabar los derechos gratuitos de los interesados.

Y, como somos buenos, cerramos con unos consejitos extra:

Si alguien ejercita sus derechos de protección de datos ante ti, es clave:

  1. Proporcionar una respuesta. Incluso aunque se deniegue el derecho, o no se reconozca ampliamente, sí o sí hay que responder.
  2. Responder en plazo. Un mes, desde que se ejercitó el derecho.
  3. No solo responder, sino hacerlo adecuadamente. Es decir, de forma íntegra, fundamentada y bien justificada

Si has llegado hasta este artículo, muy probablemente tienes relación con algún club o equipo de fútbol. Ya sea porque eres uno de los jugadores, su presidente o incluso la persona que se asegura de que se cumpla con la protección de datos dentro del mismo, este post te interesa.

La protección de datos es una materia que aplica prácticamente en todos los ámbitos de nuestra vida, y el deportivo no es una excepción. Es importante saber qué papel juega la normativa en este sector y, por ello, en este artículo repasamos algunas recomendaciones básicas al respecto.

La protección de datos personales en España

En nuestro país, contamos con dos normas de referencia en protección de datos personales:

Ambas normas están en vigor desde el año 2018, pero aún nos encontramos con que, en algunos clubs, hay mucha tarea pendiente. Es importante que el club revise periódicamente su documentación y los cambios hechos en ella, para asegurar que se está cumpliendo con la normativa vigente.

Una pista sobre esto: la antigua ley de protección de datos existente en España era la LOPD 15/99. Esta norma ya no aplica y, sin embargo, todavía sigue apareciendo en muchos sitios (y esto está mal). Si encuentras alguna mención a ella en tus documentos o formularios, es una señal de que hay que ponerse al día.

El derecho de información en equipos y clubs de fútbol

Uno de los principales derechos protección de datos es el de información, el de saber qué ocurre con nuestros datos personales. Y es, al mismo tiempo, un deber, pues el club o equipo asume la obligación de proporcionar esa información a aquellos con quienes se relaciona.

Son muchas las vías a través de las que puede cumplirse con esto:

  • Formularios, sean en papel o en formato digital
  • Documentos de inscripción, preinscripción o similares
  • Contratos
  • Acuerdos de confidencialidad
  • Políticas de privacidad publicadas en web o portales del club
  • Licencias deportivas o similares
  • Bases legales de cursos o eventos organizados por el club

Lo importante es recordar que siempre que se recojan datos personales, hay que proporcionar información sobre su uso.

¿Por qué aplica la protección de datos a clubs y equipos de fútbol?

Un dato personal es cualquier información que nos sirve para identificar a una persona y su tratamiento exige cumplir con la normativa de protección de datos. Por ejemplo, un club trata datos de:

  • Los propios jugadores
  • Los entrenadores u otros colaboradores similares
  • Voluntarios
  • El Presidente, Vicepresidente y otros miembros de órganos de gobierno
  • Trabajadores del club
  • Proveedores del club
  • Muchos otros: alumnos inscritos en cursos, participantes en eventos o sorteos organizados por el club, etc.

Es importante tener esto en cuenta porque dentro de cada uno de esos grupos hay personas que tienen derechos en materia de privacidad, y el club debe velar por que se cumpla con la normativa en la relación con cada uno de ellos.

¿Puede el club acceder a datos de salud de sus jugadores?

Es razonable que un club de fútbol necesite acceder a determinada información sobre la salud de sus jugadores (o de otras personas implicadas). Esto sirve para comprobar que se encuentran en condiciones óptimas de salud, evitar incidentes y también para prevenir situaciones prohibidas, como el dopaje.

Los datos de salud entran dentro de los que la normativa considera “sensibles” o de categoría especial. Si ya de por sí hay que ser respetuoso con cualquier información sobre una persona, con este tipo de datos aún más.

Si bien el club puede acceder a datos de salud, es indispensable:

  • Tratar solo aquellos datos de salud que sean estrictamente necesarios y no cualesquiera otros
  • Procurar que sean conocidos únicamente por quien esté autorizado para ello, evitando el acceso de terceros
  • Aplicar medidas de seguridad que aseguren su protección y eviten su filtración
  • Cuando dejen de ser necesarios, valorar cómo se prescinde de ellos

¿Puede el club publicar información en web, RRSS y otros medios?

El fútbol es uno de los deportes más populares del mundo y que más interés despierta entre sus seguidores, que quieren estar al día sobre todo lo relacionado con su equipo. En este sentido, es lógico que aparezca información sobre el club y sus jugadores en página web, redes sociales y en medios de comunicación.

Si tu club tiene página web, es otro de los puntos en que aplica la normativa de protección de datos, pues debe estar adecuada y contar con sus textos y demás requisitos legales.

Si se va a publicar información o imágenes de los jugadores en redes, hay que valorar siempre qué es necesario publicar y qué no, es decir, qué cosas tienen realmente interés informativo. Es razonable que se haga pública información de interés para el club y sus seguidores, pero si hablamos de otros temas que salen de este estricto ámbito -por ejemplo, la vida personal de cada uno- siempre es conveniente valorar si tiene sentido darle difusión o no. O si, en su caso, hay obligación de ello, pues sabemos que a veces los clubes tienen que informar de sanciones, expulsiones u otras medidas de disciplina aplicadas a los jugadores.

Lo que hay que recordar es que, detrás la información, hay personas con derechos y siempre se pueden aplicar medidas para procurar su protección. Por ejemplo: si es posible, usar iniciales en lugar de un nombre completo. La protección de datos no está reñida con el derecho que todos tenemos a estar informados y recibir noticias. Y, por ello, hay formas de que coexistan

Menores de edad en equipos de fútbol

Todas las recomendaciones que hemos venido nombrando en este post aplican especialmente a los menores de edad, pues son mucho más vulnerables.

Cuando el club trate datos de menores de edad, también tiene que cumplir con el RGPD y la LOPDgdd, con aún más cuidado. Y esto aplica especialmente a algo ya comentado: las publicaciones en redes u otros medios. Por ejemplo, en 2021 la AEPD multó con 10.000 euros a un club deportivo por publicar fotos de una menor sin contar con autorización de ambos progenitores.

En protección de datos, cuando un niño alcanza la edad de 14 años, ya tiene derecho a consentir (con carácter general) sobre el tratamiento de sus datos personales. Si el niño es menor de 14, el consentimiento o autorizaciones necesariamente tendrá que venir de quienes tengan su patria potestad o tutela.

Relación con otros clubs o federaciones

En fútbol, es constante la relación entre equipos o incluso con federaciones o asociaciones deportivas. Y, como parte de esto, también es constante el intercambio de datos entre unos y otros.

Estas comunicaciones, en muchos casos, no solo están justificadas, sino que son necesarias para el normal desarrollo del equipo. Pero ello no quiere decir que pueda hacerse de cualquier manera: hay que ver qué se comunica, a quién, si hay que informar de ello, si hay que obtener un consentimiento, cómo se va a hacer, etc.

En cuanto a las federaciones o similares, puede ocurrir te exijan determinados requisitos de cumplimiento normativo o que tu club tenga que utilizar cláusulas, formularios u otros contenidos de protección de datos facilitados por éstas.

En Dataseg, asesoramos a alguna federación de futbol y estamos muy familiarizados con su funcionamiento y con el día a día de los clubs. Y precisamente sabemos que un solo artículo de nuestro blog, si bien es útil, no basta para hablar de todo lo que hace falta.

Si te preocupa que tu club de fútbol cumpla con la protección de datos, puedes contactar con nosotros para recibir asesoramiento a medida.

P.D. En este artículo nos hemos centrado en el fútbol, pero lo que aplica para éste, también lo hace para los demás deportes. Si lo tuyo es el baloncesto, el hockey o el tenis, también estamos a tu plena disposición.

La recién llegada ley “whistleblowing” ha generado mucho revuelo en las empresas, pero no hay que olvidar que también afecta a la Administración Pública. Esta nueva norma está dando mucho que hablar, tanto que en Dataseg ya hemos publicado dos artículos al respecto: un resumen de puntos clave y un post con sus implicaciones en protección de datos.

En esta nueva entrega, analizamos la ley desde el punto de vista de su impacto en el sector público, centrándonos en algunos aspectos que nos parecen fundamentales.

Entidades del sector público obligadas a tener un sistema de denuncias

Como ya te hemos contado en anteriores artículos, esta ley nace con el objetivo de obligar a determinadas entidades a contar con un sistema interno de denuncias, así como con el fin de proteger a quienes hagan uso del mismo.

¿A quiénes aplica esta obligación dentro del sector público? La norma es muy clara en este sentido, pues en su art. 13 señala que afecta a “todas las entidades que integran el sector público”. Por si acaso, la ley especifica:

• Administración General del Estado
• Administración de las Comunidades Autónomas
• Ciudades con estatuto de autonomía
• Administración Local
• Organismos y entidades públicas vinculadas o dependientes de la Administración
• Asociaciones y corporaciones en las que participen Administraciones y organismos públicos
• Autoridades administrativas independientes
• El Banco de España
• Entidades gestoras y servicios comunes de la Seguridad Social
Universidades públicas
Corporaciones de Derecho público
Fundaciones del sector público
Sociedades mercantiles con participación de capital público superior al 50%
• Órganos constitucionales o de relevancia constitucional

Es importante tener en cuenta este listado, dado que, desde la llegada de la ley -te recordamos que está en vigor desde el pasado 13 de marzo– se ha extendido mucho la idea de que solo aplica a empresas con más de 50 trabajadores.

Pero su alcance no queda ahí, por lo que si tu entidad encaja en lo indicado, es importante que tengas en cuenta que debes disponer del canal de denuncias.

¿Hay particularidades para alguna entidad pública?

La ley prevé una serie de particularidades, por ejemplo, para los municipios con menos de 10.000 habitantes, que pueden compartir el sistema de denuncias con otros municipios o administraciones de la Comunidad Autónoma.

También pueden hacer lo propio las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales y que tengan menos de cincuenta empleados, que podrían compartir su sistema con la Administración de que dependen.

Lo anterior, en todo caso, debe hacerse asegurando la independencia entre sistemas y la facilidad y transparencia para el ciudadano.

El DPO en el sistema de denuncias

Si bien la obligación e nombramiento del delegado de protección de datos que aparecía en el borrador de Ley para que quienes debieran cumplir esta normativa tuvieran también deben nombrar un DPO se eliminó de la Ley, sigue en sus considerandos. Además de lo anterior, el DPO una de las figuras con capacidad de acceso a los datos personales recogidos en el canal de denuncias.

Te recordamos que el DPO es una figura que existe en el marco de la protección de datos, fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de:

• Información y asesoramiento
Supervisión de cumplimiento normativo
• Asignación de responsabilidades
• Formación del personal
• Realización de auditorías
Cooperación con la autoridad de control

Este es uno de los servicios que prestamos desde Dataseg, así que puedes contactar con nosotros en caso de necesitar más información.

Cumplir con el Esquema Nacional de Seguridad

Por último, no queremos perder la oportunidad de recordarte la importancia del Esquema Nacional de Seguridad (ENS) para las entidades de la Administración Pública.

El ENS es una normativa que establece la política de seguridad el uso de medios electrónicos relacionados con la Administración Pública, con el fin de que la información, las comunicaciones, los servicios y los sistemas estén correctamente protegidos. Así, el ENS busca crear unas condiciones de confianza entre Administración y ciudadano, mediante el establecimiento de medidas de seguridad adecuadas.

Y es fundamental tener cumplir con el ENS en cualquier actuación que lleve a cabo la Administración en el ámbito electrónico, y ello incluye la creación y posterior gestión de los canales de denuncias, que deberán ajustarse a los criterios y requisitos mínimos de esta normativa.

Como avanzábamos en nuestro último post sobre la nueva Guía para profesionales del sector sanitario. En este artículo, de carácter más práctico, resolvemos algunas de las dudas que pueden surgir a los profesionales sanitarios sobre el tratamiento de datos personales en su actividad.

¿Qué obligaciones hay en el ámbito sanitario en cuanto a la normativa de protección de datos?

1. Nombrar a un Delegado de Protección de Datos (DPO). La designación de un DPO es obligatoria cuando el tratamiento de datos sea por un organismo público y cuando se trate de centros obligados al mantenimiento de historias clínicas.

Aquellos que ejerzan su actividad de forma privada a título individual no están obligados. Pero, que no sea obligatorio no quiere decir que no pueda ser recomendable, en cualquier caso.

2. Evaluaciones de Impacto. Realizar una EIPD es obligatorio siempre que el tratamiento de datos personales suponga un alto riesgo para los derechos y libertades de los interesados. Si tienes dudas, la herramienta Evalúa Riesgo, puede ayudar a determinar si estás obligado a hacerla.

3. Registro de actividades del tratamiento. Cualquier tratamiento de datos hecho correctamente pasa por efectuar el correspondiente RAT.

Si el servicio sanitario lo presta una entidad pública, el inventario de los tratamientos de datos deberá hacerse público y accesible por medios electrónicos. Por ejemplo, a través de una página web.

4. Gestión de brechas de seguridad de los datos personales. El responsable, asesorado por su DPO, ha de saber qué brechas, vulneraciones o similares de datos personales tienen lugar y aplicar las medidas y garantías necesarias, minimizando el riesgo para los derechos y libertades de los interesados.

Para esto es siempre positivo disponer de un protocolo para la gestión de brechas, que permita anticiparse y prever cómo actuar antes el caso de que las mismas tengan lugar.

Historial clínico, ¿quién y cuándo se puede acceder a él?

El acceso a la historia clínica de los pacientes no puede hacerse de forma indiscriminada, sino que está limitado. Es decir, no cualquier profesional y ante cualquier circunstancia puede acceder, pues hay condiciones para ello.

Tanto los profesionales sanitarios, como los residentes o los centros sociosanitarios podrán acceder al historial siempre y cuando sea necesario para la atención sanitaria que se esté prestando y únicamente para el desempeño de sus funciones.

Hay ciertos supuestos en que este acceso debe hacerse de forma disociada, es decir, separando los datos identificativos de los datos clínicos, como ocurre en los estudios epidemiológicos, en investigaciones o con fines docentes.

Es fundamental que todo el personal de inspección, evaluación, sanitarios o autoridades, que accedan a historias clínicas guarde el deber de secreto. El solo hecho de ser un profesional sanitario no justifica que se pueda acceder a la información clínica de un paciente de forma indiscriminada; sólo en aquellos casos en que sea indispensable hacerlo

Responsabilidades por accesos indebidos a historias clínicas

Siguiendo con lo anterior, el acceso a historiales clínicos de forma injustificada puede acarrear responsabilidades penales, disciplinarias o administrativas, además de conllevar indemnizaciones. Recuerda: todo acceso a datos debe estar justificado.

Derechos de los pacientes, ¿pueden acceder a su historial clínico?

Los interesados tienen reconocidos en el ámbito sanitario sus derechos de protección de datos, aunque con algunas limitaciones concretas.

Por ejemplo, el derecho de supresión puede verse afectado porque la conservación de los datos es necesaria para la correcta atención sanitaria y por obligaciones legales y de interés público que hay que respetar.

Podrán suprimirse aquellos datos que carezcan de relevancia, pero no otros que sean fundamentales para el paciente y sus tratamientos, presentes o futuros.

En el caso de las historias clínicas, no está reconocido expresamente el acceso de los pacientes a estos documentos como tal, pero sí a recibir confirmación de si se están tratando o no sus datos personales y a determinada información asociada s su historia.

Ojo: este derecho no puede implicar acceso a datos de terceras personas o a anotaciones subjetivas de los sanitarios que pudieran constar en la historia.

Menores de edad, ¿quién ejercita sus derechos?

Los padres, madres, tutores o representantes tienen derecho a acceder a los datos relacionados con la historia clínica de los menores, en la medida en que son los responsables de su cuidado.

No obstante, a partir de los 14 años, se reconoce mayor autonomía a los menores. Si bien no desaparece ese derecho de los padres, nos encontramos con que el menor tiene derecho a ser informado de los asuntos que le conciernen en lo respectivo a su salud.

Esto posibilita que su opinión sea tenida en cuenta en todo a lo que respecta a diagnósticos, tratamientos y cualesquiera otros asuntos pudieran afectarle.

¿Cómo comunicarse adecuadamente con los pacientes?

Una de las dudas que pueden surgir a los profesionales sanitarios es la referida a cómo gestionar la comunicación con los pacientes, tanto cuando se encuentran físicamente en el centro, como cuando se realiza por teléfono, mensaje, correo electrónico u otros medios de forma que se respete su intimidad y la confidencialidad de sus datos.

Por ejemplo, a la hora de llamar a los pacientes a consulta es preferible evitar utilizar datos identificativos, como el nombre y apellidos, o el nombre completo de la persona, y optar en su lugar por métodos alternativos, como códigos numéricos o alfanuméricos que se reflejen en una pantalla, uso de iniciales del paciente o similares.

Si se va a llamar al paciente por su nombre, utilizaremos el nombre de pila y si es posible, en una sala donde los únicos que lo escuchen sean los pacientes de la misma consulta.

Evidentemente, son medidas que variarán mucho dependiendo de las posibilidades tecnológicas, de espacio y de recursos humanos de cada centro.

Por otra parte, cuando hablamos con un paciente por teléfono, por ejemplo para cancelar una cita, confirmarla o posponerla; son ellos los que preferentemente deben dar la información de la misma, y no a la inversa.

Es decir, que sea el propio paciente el que comunique los detalles; como son la fecha, hora y características de la cita, a fin de que el interlocutor los confirme, y no al revés.

Existen otros métodos de comunicación con los pacientes, como es el correo electrónico o los SMS. Son válidos, pero te recomendamos que priorices la atención presencial y telefónica en la medida de lo posible, y que reserves estos para aquellos casos en que sea indispensable, y siempre evaluando antes su uso y los riesgos asociados.

La comunicación a través de redes sociales y de aplicaciones de mensajería instantánea – WhatsApp, Telegram, etc. – Está altamente desaconsejada.

¿Podemos dar información a otra persona sobre el ingreso de un paciente?

Con carácter general, si no se ha obtenido consentimiento del paciente para facilitar esta información, no se debe proporcionar. En caso de que el paciente no esté capacitado para prestar este consentimiento, podrán hacerlo sus familiares. Como veremos a continuación, en el ámbito sanitario no siempre es sencillo que se pueda conceder un consentimiento.

En casos excepcionales, como urgencias, pacientes que se correspondan con personas desaparecidas o pacientes inconscientes, se podrá dar información a los familiares o allegados; tratando de verificar previamente que la persona es quien dice ser.

Se darán los detalles indispensables, y el número de habitación en su caso, sin indicar datos de salud mientras no sea necesario.

¿Se pueden colocar cámaras de videovigilancia en los centros sanitarios?

La colocación de cámaras en centros sanitarios está permitida, igual que lo está en otros espacios, tanto con fines de seguridad de las instalaciones como con otros; como puede ser el control laboral de los trabajadores.

No obstante, es cierto que hay que controlar el enfoque, ubicación y demás parámetros que afecten a las cámaras, a fin de evitar que capten zonas que, en el caso de los centros sanitarios, son especialmente sensibles, como consultas, quirófanos y demás. Con carácter general, deberán captar sólo zonas comunes.

Y, por supuesto, hay que tener en cuenta varios factores si existe videovigilancia, como la colocación de carteles que informen sobre su uso y, entre otros, la elaboración de los correspondientes registros de actividades.

Para terminar…

Y, hasta aquí, nuestros consejos y recomendaciones para el tratamiento de datos en el ámbito sanitario.

Esperamos que este artículo te haya ayudado a saber un poco más sobre el tema y que haya servido para contestar preguntas clave, si bien siempre puedes ponerte en contacto con nosotros para saber más. También te dejamos la Guía para profesionales sanitarios por si quieres ampliar la información.

Este mes de junio, la AEPD ha publicado la nueva Guía para profesionales del sector sanitario, en la que trata de responder algunas de las dudas más relevantes que les pueden surgir a estos profesionales en su actividad

Esta guía viene motivada porque en 2021 se registraron más de 600 reclamaciones por el mal uso de los datos personales relativos a la salud.

En este post te resumimos el contenido de la guía y algunos de los puntos más relevantes que se tratan en ella.

Introducción a la Guía

Los profesionales del sector sanitario, además de tratar datos identificativos, tienen acceso a datos de salud, necesarios para cumplir con la finalidad de prestación de asistencia sanitaria. Estos datos que se encuentran dentro de la categoría de datos especiales o datos sensibles, tienen una especial protección y sólo pueden ser tratados bajo ciertas condiciones y garantías necesarias para el correcto uso de ellos.

Puntos en los que se estructura la Guía

En este apartado, hacemos un resumen de la estructura y contenido que de la guía, ¡Recuerda! Esto es solo un resumen, por lo que no entramos a valorar todos los puntos de la guía en su conjunto

1. Conceptos básicos: los datos de salud son necesarios para cumplir con la finalidad de atención sanitaria y, como datos de categoría especial, requieren una protección.

Los encargados de proporcionar dicha protección son los responsables del tratamiento de los datos (entidad pública, privada o profesionales individuales) y para ello, dispondrán las medidas de seguridad y decidirán sobre los datos, su recogida y finalidad, además de seleccionar encargados –es decir, terceros que presten algún servicio al responsable- que ofrezcan las garantías de cumplimiento necesarias

2. Legitimación para el tratamiento: La guía hace una diferenciación entre dos conceptos que pueden confundiré: el consentimiento informado, una acción que se realiza muchas veces en el ámbito sanitario, en la relación con los pacientes; y el consentimiento como base legitimadora para el tratamiento de los datos.

Para el último caso, la guía recuerda que, en el ámbito sanitario, normalmente los datos podrán tratarse sin consentimiento del interesado, ya que se pueden aplicar otras bases jurídicas, como es el caso del interés vital. Esto no exime, sin embargo, de la obligación de informar al paciente de que sus datos están siendo tratados y con qué fin.

En el caso de los menores de edad. A partir de los 14 años, tienen derecho a consentir el tratamiento de sus datos y a ser informados sobre ello.

3. Historias clínicas: la guía facilita información sobre quiénes pueden acceder a las historias, entre ellos: profesionales sanitarios, residentes, estudiantes, centros sociosanitarios, centros privados, etc. Así como de en qué casos pueden tener acceso.

Lo más fundamental de este punto es recordar que la protección de datos no pretende obstaculizar la correcta atención sanitaria. Eso sí: todo acceso debe estar correctamente justificado y limitado a lo estrictamente necesario.

4. Responsabilidad del profesional sanitario: debemos tener claro que cualquier actuación no justificada por los sanitarios puede dar lugar a responsabilidades en el ámbito penal -llegando algunas actuaciones a ser constitutivas de delito-, sanciones disciplinarias y también de carácter administrativo. La guía recuerda la importancia de una buena gestión de las brechas de seguridad y recalca el crecimiento reciente de los ciberataques.

5. Obligaciones en el tratamiento de los datos: los profesionales deben asegurarse de que el tratamiento de los datos sea lícito, que se informe al paciente de los derechos que le corresponden, que se van a tratar sus datos, y se respete el deber de confidencialidad. Se debe garantizar el principio de responsabilidad proactiva: cumplir y ser capaz de demostrarlo.

6. Derechos de los pacientes: la guía nos recuerda que el RGPD regula los derechos que existen en materia de protección de datos, si bien en el ámbito sanitario hay ciertas limitaciones sobre esos derechos, por razones de interés público, cumplimiento de obligaciones o prestación de una correcta atención.

Como puntos clave:

  • Cuando se de información del paciente acerca de su historia clínica, no se debe incluir información de terceros.
  • Los menores de edad, mayores de 14 años, tienen derecho a ser informados del tratamiento de sus datos. (sin que ello implique que se deje de informar a sus padres o tutores).
  • Cualquier brecha de seguridad, como el borrado accidental de documentación, deberá ser comunicada a la AEPD, si existe un riesgo para los derechos del paciente.

7. Comunicaciones de datos a terceros: cómo llamar a los pacientes en las consultas, cómo gestionar la información para que no sea accesible para el resto de pacientes, cómo dar la información para cancelar o posponer una cita, la información que se puede dar sobre el ingreso de una persona o la gestión de los justificantes de asistencia de los acompañantes son algunos puntos que se intentan resolver en la guía. En el próximo artículo que publicaremos te daremos una serie de recomendaciones sobre estos aspectos tan cotidianos.

8. Seguridad en los centros: en cuanto a la videovigilancia, siempre que se informe de la existencia de cámaras, que se elaboren los correspondientes registros del tratamiento y que aquellas no estén orientadas hacia zonas donde se vea comprometida la intimidad de los pacientes, es lícito el uso de este sistema.

La instalación de cámaras con fines distintos a los de seguridad. (como el control laboral de los trabajadores) es otro tratamiento igualmente válido, si se siguen las mismas pautas descritas

9. Posición jurídica de los profesionales sanitarios: por último, se recalca la importancia de identificar quién es el responsable del tratamiento de los datos. En cada caso, dado que es quien asume la elaboración de los registros de actividades y evaluaciones de impacto, la implantación de medidas de seguridad, la guarda y conservación de historias clínicas o la salvaguarda de los derechos de los pacientes.

Esto es fundamental en el ámbito sanitario, ya que dependiendo de cómo ejerza su actividad el profesional -a título individual, como empleado, arrendando un espacio, etc.- ostentará responsabilidad o no. Puedes consultar la guía para ampliar este punto.

Continuará…

Hasta aquí nuestro resumen de la nueva guía de la AEPD. En los próximos días, seguiremos profundizando en este tema, con un post con recomendaciones de cumplimiento de esta Guía para profesionales sanitarios ¡Mantente atento!

¡Por cierto! No es la primera vez que resumimos alguno de los recursos de la AEPD. Sin ir más lejos, hace un tiempo dedicamos un artículo a su Guía sobre gestión de riesgos y EIPD, que te animamos a consultar.

“Aceptar todas las cookies. Seguro que es una frase que te suena, ¿verdad? Pasamos mucho de nuestro tiempo conectados a Internet, sea desde casa, el trabajo, el móvil, la tablet…. Por ello, este post lo vamos a dedicar a explorar aspectos básicos sobre un elemento fundamental en la red, del que todos hemos oído hablar pero que, en muchas ocasiones, no llegamos a entender: las cookies.

Pero, ¿qué son las cookies? No, no nos hemos convertido de pronto, en un blog sobre cocina, lo nuestro sigue siendo la protección de datos. Cuando nos referimos, dentro del vasto universo de Internet, a las cookies, estamos hablando de archivos que se utilizan en las páginas web, para asegurar que las mismas funcionan correctamente, para analizar y registrar cómo se comporta el usuario que accede a ellas y cuáles son sus preferencias, o para mostrarle publicidad.

La cuestión es que ojala el tema de las cookies fuera tan simple, pero lo cierto es que todo lo que está relacionado con el tema publicitario online es ampliamente opaco y convulso, lleno de múltiples partes que explotan los datos, que recogen información y la mueven de un lado a otro, de ahí que su uso sea regulado, y que se limite su aplicación para proteger nuestros derechos, muchas veces no del titular de la web, sino de terceros propietarios de esas cookies o colaboradores de los mismos.

¿Qué debemos cumplir en materia de cookies si tenemos una web?

Si tienes o gestionas una web, o simplemente te preocupa el cumplimiento normativo en lo que a cookies respecta, hay algunos aspectos fundamentales a tener en cuenta:

  • Siempre se debe informar del uso de cookies y tecnologías similares. En este sentido la guía de la AEPD nos ayuda a diferenciar laS tipología de cookies según criterios basados en, la propiedad de la cookie, su finalidad o la duración.  También nos ayuda a identificar cuándo se pueden o no instalar, y qué legitimaciones utilizar. Nos indica los mínimos a informar, cómo, cuándo y dónde, etc. Total, que hay que contar al usuario todo, todo, y no guardarnos nada. Se puede informar de golpe o en dos capas. Esto último es lo que usan la mayoría de webs, por eso mayoritariamente encontramos una primera y una segunda capa de información: éstas son, respectivamente, el Aviso de Cookies y la Política de Cookies.
  • Instalación y legitimación. Como dijimos antes, hay varios tipos de cookies, y algunas de ellas requieren que se pida consentimiento para su instalación, o bien que se defina claramente la legitimación para el tratamiento de los datos recogidos a través de ellas.
  • Ojo con el consentimiento. Si la legitimación que aplica a la instalación de una cookie es el consentimiento (cookies analíticas o publicitarias), estas nunca deben instalarse cookies sin consentimiento previo del usuario para ello. En otras palabras, el usuario tiene que aceptar esas cookies antes de que eso ocurra. Y, por supuesto, si no se pronuncia al respecto, o las rechaza, tampoco deben instalarse ya que la falta de acción no es en ningún caso un consentimiento.
  • Eliminación. Las cookies en si no son lo relevante, lo critico son los datos personales que recogen, y como todo lo relativo al RGPD y la normativa de protección de datos, los datos deben ser eliminado en cuanto dejen de ser necesarios para la finalidad que fueron recabados, sabiendo que debe cumplirse el principio de limitación del plazo de conservación.
  • Gestor de cumplimiento de cookies. La mayoría de webs que ofrecen un aviso de cookies y la posibilidad de gestionar la instalación de las mismas, usan gestores de cookies que categorizan las cookies por finalidad, e incluso en algunos casos enseñan los terceros a los que facilitan los datos, y luego amplían la información a través de la política de cookies, que muestra al usuario la información ampliada a íntegra. Estos gestores no son obligatorios pero son la mejor baza para cumplir y gestionar las legitimaciones.
  • Otras obligaciones o puntos relevantes a tener en cuenta: Lo dicho, el tema cookies no es tan sencillo como nos gustaría y aunque a veces parece que es solo poner la política de cookies un banner molesto a la entrada de la web, no es ni de lejos eso.  Cuando en una web se instalan cookies, además de los puntos anteriores, otros temas relevantes a tener en cuenta son, entre otros, las transferencias internacionales de datos, la definición de la posición del titular de la web y sus corresponsables y encargados, finalidades reales de los tratamientos de datos. Etc.

Solo por recordar, además del cumplimiento de cookies, las webs deben cumplir con otra serie de cosas. Os lo contabamos en este post, y en este.

Recursos de apoyo para cumplir con las obligaciones sobre cookies

Las distintas autoridades de protección de datos de la UE han publicado, casi cada una, directrices sobre el cumplimiento en esta matería. Desde nuestro punto de vista las más relevantes son las de la autoridad francesa de protección de datos, CNIL, la de la autoridad Inglesa (ups, ya no son UE, pero siguen siendo muy útiles) el ICO, y claro, nuestra propia AEPD. Justo al ser nuestra Autoridad, aprovecharemos para hablar de su guía, que bueno, ha tenido versiones menos pacíficas y más criticadas, pero la actual es muy correcta y clara.

Guía de la AEPD sobre cookies

Tal es la importancia de las cookies en el panorama actual que la AEPD cuenta con una guía, que se actualiza periódicamente, dedicada en exclusiva a éstas. La última modificación de este recurso tuvo lugar en julio de 2020 y dio lugar a una serie de novedades fundamentales:

  1. El consentimiento no vale si no es explícito e inequívoco

Hasta ahora, se admitía la posibilidad de que diversas opciones frecuentemente usadas en los sitios web pudieran considerarse manifestaciones del consentimiento. Por ejemplo, fórmulas del estilo “Seguir navegando”, “Continuar con la navegación” o incluso el hecho de que el usuario continuara su visita por el sitio, sin más acción, o cerrara el ya mencionado aviso de cookies. Ahora, este criterio ha cambiado, y para que el consentimiento del usuario sea válido, ha de ser claro, expreso e inequívoco, sin lugar a dudas sobre la postura del usuario.

  • Eres libre, y que nadie (ni siquiera las cookies) diga lo contrario

Vale, quizás el título es algo dramático, pero el caso es que, en muchas ocasiones, tenemos la mala suerte de toparnos con webs que no nos permiten acceder a ciertos contenidos o funcionalidades si no hemos aceptado previamente las cookies. Vamos, que casi podríamos hablar de un “Club VIP para quienes aceptan todas las cookies sin ton ni son”, y eso sí es dramático. Por ello, esta también es una barrera que desaparece: cualquier usuario, sin importar cómo configura las cookies, debe poder acceder a todo el contenido de la web.

  • Libertad, sí, pero con límites

Efectivamente, la AEPD reconoce la libertad del usuario a elegir. Pero, pese a la eliminación de esas barreras o muros de cookies, sí que admite que, en algunos casos, la no aceptación pueda derivar en que el usuario no pueda acceder a la web, total o parcialmente. No obstante, esto requiere de dos condiciones adicionales:

  • Que el usuario quede correctamente informado de esta circunstancia
  • Que se le proporcione una alternativa de acceso que no requiera tal aceptación

Si estas novedades entraron en vigor el 31 de octubre de 2020. Entonces, ¿Qué sentido tiene publicar este artículo ahora?

En primer lugar, porque desde Dataseg creemos que todos tenemos derecho a conocer cómo funciona Internet y en qué medida podemos ver nuestros derechos y libertades afectados. En segundo lugar, porque desde esa fecha, venimos apreciando un cambio notable en los criterios a seguir, las resoluciones y las sanciones a aplicar por parte de la AEPD (hasta el 31/10/2020 la AEPD no había sancionado económicamente a ningún responsable por el uso de cookies, pero pasada esa fecha tenemos unos buenos e interesantes golpes); y ya. Finalmente. porque la campaña de súper Schrems a través de Noyb para perseguir a todas las webs de la UE por el tema cookies hace que nuestro interés por analizar los procedimientos publicados por a AEPD creciera y en nuestro próximo post, os contemos más sobre ello.

Así que, si te has quedado con ganas de más, podrás descubrirlo en nuestro próximo post…

La Agencia Española de Protección de Datos (AEPD) acaba de hacer pública una nueva versión de la Guía sobre Gestión de Riesgos y Evaluación de Impacto de Protección de Datos (EIPD).

Como viene siendo costumbre desde que comenzara su labor, y en su afán por orientar a responsables y encargados para lograr el cumplimiento normativo, la AEPD publica guías, informes y respuestas a consultas sobre diversos temas: relaciones laborales, videovigilancia y cookies entre otros.  

En esta ocasión, y con el fin de explicar el contenido y las novedades de la Guía, la AEPD organizó una jornada dedicada a la misma. Así, con este post, nuestro objetivo es el de resumir los aspectos tratados en dicha presentación y, con ello, los fundamentos y novedades esenciales de la nueva guía.

Antecedentes de la nueva Guía

La primera Guía sobre Gestión de Riesgos y EIPD se publicó en 2015 y supuso un hito en el marco europeo de protección de datos. El documento seguía la política de la AEPD de garantizar los derechos y libertades de los interesados y de dar soporte en el cumplimiento a encargados y responsable, para que éste sea eficaz y eficiente.

Aunque el instrumento continúa siendo, a día de hoy, extremadamente útil, lo cierto es que ya han transcurrido más de seis años desde su entrada en vigor, tiempo en el que han tenido lugar numerosos cambios, que han llevado a la necesidad de desarrollar un sistema más moderno y eficiente. A pesar de que la AEPD, constantemente responde a numerosas consultas planteadas por encargados y responsables, desarrollar este instrumento supone una solución más práctica, común y unificada. He ahí la razón de ser de la nueva guía: un recurso adaptado a la realidad actual, que respeta las previsiones del RGPD y la LOPDGDD.

Introducción a la nueva Guía sobre EIPD

Cualquier actividad de tratamiento que se pretenda llevar a cabo requiere, necesariamente, de un previo ejercicio de reflexión, que permita anticipar problemas y tomar decisiones objetivas y razonables. En otras palabras: gestión de riesgos. El riesgo es, precisamente, uno de los conceptos al que hace repetida referencia el RGPD y el objetivo de una correcta gestión de los riesgos y de la elaboración de una EIPD no es otro que el de garantizar los derechos y libertades de los interesados y el de identificar, evaluar y mitigar los riesgos relativos a aquellos. 

A fin de conseguir lo anterior, es fundamental que las organizaciones establezcan medidas técnicas y organizativas, adecuadas al objeto, ámbito y fines del tratamiento; pero no basta con crearlas: las medidas han de ser sometidas a seguimiento y revisadas periódicamente.

Además, una correcta gestión de riesgos exige que los sujetos no solo cumplan con lo anteriormente dispuesto, sino que sean capaces de demostrar este cumplimiento. Así, toda gestión de riesgos debe cumplir dos características fundamentales:

  • Eficiencia: el coste y el impacto de la gestión de riesgos y la correspondiente EIPD debe ser mínimo para la organización, otro de los motivos que ha dado lugar a la necesidad de publicar la nueva Guía.
  • Eficacia: la gestión de riesgos debe entenderse como un proceso vivo y documentado, nunca como un documento formal, estático e invariable.

Estructura de la nueva guía

El documento publicado por la AEPD presenta una estructura detallada y organizada, dentro de la cual podemos diferenciar, claramente, tres partes o secciones:

1. Fundamentos para la gestión de riesgos. Sección destinada a proporcionar la orientación necesaria para la gestión de riesgos y realización de EIPD, en el marco de la protección de datos.

2. Desarrollo metodológico básico. Sección más práctica, con orientaciones sobre cómo poner en marcha dicha gestión en la organización. Un punto fundamental consiste en recordar que la AEPD solo marca unos mínimos a seguir, de forma que corresponde a la organización establecer y desarrollar sus propios procesos.

3. EIPD. Entendiendo a la Evaluación de Impacto como un proceso global, y no como un momento o contenido concreto, que forma parte intrínseca de la gestión de riesgos. De hecho, la nueva guía ha ahondado aún más que la anterior en este concepto, de las siguientes formas:

  • Facilitando a los responsables una check-list que permite que puedan determinar, desde un punto de vista formal, si las consultas remitidas a la AEPD son completas.
  • Ayudando a los responsables en la implementación de procesos de gestión de riesgos.
  • Proporcionando las herramientas para servir de base para el establecimiento de procesos propios de la organización.

Novedades y puntos fuertes de la Guía sobre gestión de riesgos y EIPD

En este apartado, presentaremos y analizaremos algunos de los aspectos clave y de las mejoras que introduce la nueva Guía.

1. Elaboración de un listado de factores de riesgo

La AEPD, como resultado de un profundo ejercicio de síntesis, ha creado una relación de factores de riesgo, a tener en cuenta por los responsables del tratamiento. Esta relación, en cualquier caso, no tiene carácter limitativo, sino que abre la puerta a que cada responsable, desde su responsabilidad proactiva, identifique los factores de riesgo específicos para cada tratamiento llevado a cabo y, a partir de ahí:

  • Implemente medidas de seguridad orientadas a proteger los derechos de los interesados
  • Realice un análisis para prever las consecuencias de posibles brechas de seguridad
  • Analice los fallos en los sistemas de tratamiento de información y estudie las repercusiones en los derechos de los individuos

2. Nuevas recomendaciones para mitigar los riesgos

Además de lo anterior, la AEPD ha llevado a cabo una tarea adicional, consistente en ofrecer una serie de recomendaciones para mitigar dichos riesgos, desde cuatro niveles:

  • Mediante la implementación de cambios en el diseño del tratamiento
  • Con la aplicación de medidas de gobernanza y políticas de protección de datos, a fin de garantizar y proteger los derechos y libertades.
  • A partir de la puesta en marcha de medidas de privacidad desde el diseño
  • Haciendo uso de medidas de seguridad, específicamente orientadas a la protección de los derechos y libertades de los interesados.

3. Introducción de la herramienta “EVALUA_RIESGO RGPD”

Además de la Guía en sí, la AEPD ha aprovechado la ocasión para presentar una herramienta que la guía contempla: Evalúa Riesgo. Es un recurso diseñado para dar soporte a los responsables a la hora de determinar el nivel de riesgo que pueden suponer sus tratamientos.

Su funcionamiento consiste en que la herramienta, como tal, no lleva a cabo la toma de ninguna decisión, sino que asiste al responsable -que es quien debe asumir ese cometido- en dicha tarea.

Para hacer posible lo anterior, la herramienta sintetiza los posibles factores de riesgo atendiendo a:

  1. Los fines del tratamiento
  2. Los tipos de datos tratados
  3. El ámbito y alcance del tratamiento
  4. La tipología de interesados
  5. Los factores técnicos y tecnologías empleados
  6. La existencia de bases de datos específicas
  7. Los efectos colaterales del tratamiento en los interesados
  8. La categoría o sector dónde trata los datos el responsable o encargado
  9. Las comunicaciones de datos llevadas a cabo
  10. El impacto de la potencial pérdida de confidencialidad y seguridad

Cuando el usuario accede a la herramienta, se le presenta un amplio abanico de campos que debe elegir si seleccionar. Por ejemplo: perfilado, geolocalización, control de acceso, sujetos involucrados, tratamiento a gran escala, duración del tratamiento, etc. Así, el usuario selecciona qué campos considera que aplican al tratamiento efectuado y cuáles no, y se le ofrece la opción de indicar, así mismo, si ha aplicado técnicas para mitigar los riesgos, y en qué medida.

Una vez hecho lo anterior, la plataforma desarrolla un informe, que no constituye una EIPD como tal, pero si una base o punto de partida, a partir del cual el responsable no solo podrá demostrar su cumplimiento –accountability– sino que podrá usar de referencia para elaborar la EIPD en sí.

Conclusiones

Hasta aquí, nuestro artículo dedicado a la gestión de riesgos, las EIPD, la guía que regula ambos conceptos y todas las novedades. Pero, ojo, solo por el momento: siguiendo ese criterio de que estos son procesos vivos y cambiantes, la AEPD ya ha adelantado que los instrumentos presentados hoy forman parte de las muchas actuaciones y trabajos futuros que se desarrollarán a partir de ahora.

Todo apunta a que, de aquí en adelante, nos encontraremos con un panorama cambiante, con actualización de los formatos conocidos, prestación de más ayudas a responsables y encargados, introducción de nuevas herramientas y demás. No en vano justo ayer, 30 de junio de 2021 la Autoridad Francesa de Protección de Datos publicó su herramienta de elaboración de EIPDs V.3. Un gran recurso que en conjunto con este presentado por la AEPD nos vendrán muy bien a todos los actores en el ecosistema de privacidad.

Es indispensable recordar que, por mucho que la AEPD facilite la gestión, son los responsables del tratamiento quienes tienen en sus manos la carga de realizarla correctamente, y de estar al tanto de cambios y novedades, a fin de garantizar los derechos y libertades de los interesados, que es lo primordial.

Desde Dataseg, continuamos al pie del cañón para estar al tanto de todas las actualizaciones, novedades y asuntos de interés, a fin de mantenerte informado. Y, si quieres saber más, siempre puedes ponerte en contacto con nosotros.