Entradas

La frase “El 25/05/2018, empieza a aplicarse el Reglamento General de Protección de Datos” últimamente se repite con cierto apuro. Quizá, nos falte explicar qué significa la frasesita, y porqué le debe importar a nuestros actuales y futuros clientes, y a todo aquel al que le afecte.

Empecemos por el principio. La normativa de protección de datos ha cambiado, así como suena. Ahora bien, ¡a Dios gracias’!, tenemos hasta el 25/05/2018, un plazo “prudente”, para cumplir con la novedad, el Reglamento General de Protección de Datos – 679/2016 UE, en adelante el RGPD.

Lo que conocemos hasta ahora, la Ley Orgánica, 15/1999, de protección de datos de carácter personal, y su reglamento de desarrollo el RD. 1720/2007, vienen de la una Directiva derogada por el RGPD, la 95/46/CE. Por tanto, el marco legal aplicable será el del RGPD. Todo de ahora en adelante, deberá modificarse para no contravenirlo. Es así como en este momento en España, estamos en medio del proceso de modificación de nuestra querida LOPD. En un post anterior, os comentamos las claves del anteproyecto de modificación.

Ok, todo cambia pero, ¿Qué es el Reglamento General de Protección de Datos?

El RGPD es una norma nacida en el seno de la Unión Europea, con el más alto rango normativo que puede tener una legislación comunitaria. El documento en que se publicó el contenido del RGPD se titula de la siguiente manera «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE» Ya con esto está todo dicho. O no.

El crear una nueva norma con forma de reglamento, no es casualidad. En primer lugar, se le quiso dotar de la superioridad normativa necesaria para ir por encima de las normas nacionales -que para aprobarlo todos estuvieron de acuerdo-. En segundo lugar, homogeneizar la normativa. Es decir todos los estados tenemos la misma legislación, o casi. En tercer y último lugar, se pretendía que la norma en su momento de en vigor, y en el inicio de su aplicación fuera directamente aplicable para todos, gobiernos y particulares.

El RGPD tiene como finalidad garantizar el derecho a la protección de datos de todos los ciudadanos.

¿A quién aplica el RGPD?

Como dijimos en el anterior párrafo, a todos. Ahora bien, a unos nos reconoce derechos, y a otros les impone obligaciones de hacer, o de no hacer. Por un lado, a los particulares, nos reconoce una serie de derechos, unos ya los teníamos, otros son casi nuevos. Por contra, a las empresas, profesionales y organismos públicos o privados, les impone una serie de obligaciones. Las obligaciones impuestas por el RGPD, pretenden proteger a las personas de las cuales las empresas tratan datos personales, garantizando sus derechos, y limitando sus usos y tratamientos.

Diferencias entre las obligaciones de la actual LOPD y el RGPD

Este post no pretende hacer un examen minuciosos de las reglas que cambian. Ya lo haremos luego, no os preocupéis. Así que a grandes rasgos, las diferencias entre lo que tenemos ahora, y lo que nos llega con el RGPD, son las siguientes:

Cumplimiento limitado a la Ley, vs. Cumplimiento activo.

Hasta ahora, para las empresas, cumplir la LOPD ha sido cosa de inscribir unos ficheros en el Registro General de Protección de Datos; poner las medidas de seguridad del RD 1720/2007 que nos apliquen; poner cláusulas, y firmar documentos. Y luego, que demuestren que he fallado.

Con el RGPD, se introduce el termino Acountability, o cumplimiento activo.  Se plantea el reto de la privacidad por defecto y por diseño. Son las empresas las que tienen que actuar proactivamente protegiendo los derechos de las personas de las cuales tratan, o podrían tratar datos personales. El cumplimiento del RGPD no se basa en una lista concreta de cosas para hacer, sino, de cosas para prever de forma activa. Ahora, se deberá demostrar el cumplimiento, si o si.

Medidas de Seguridad. Ahora, según evaluación de riesgos

Las medidas de seguridad que conocemos de nuestra LOPD y su reglamento de desarrollo, el RD 1720/2007, ya no estarán incluidas como tal en el RGPD. No habrá una lista concreta de medidas a aplicar, sino, que debemos llevar una gestión de riesgos de los datos personales que manejamos.  En este sentido se recomienda el uso, de los controles de seguridad de la familia ISO 27001.

Encargados de tratamiento. De menos a más responsabilidad.

Hasta ahora con la LOPD, se había establecido la obligación de firmar el contrato que exige el artículo 12, y alguna poca cosa más. Pero con el RGPD, las empresas deberán evaluar de forma activa el cumplimiento de sus proveedores. Deberán implementar un protocolo de contratación en el que el cumplimiento de la norma sea un requisito básico para contratarlos;  también el seguimiento de dicho cumplimiento, un requisito para el manteniendo del contrato. El contrato deberá ser más detallado a la relación concreta, los datos tratados, las finalidades y los tipos de tratamientos.  Por lo anterior, se trasladará una mayor parte de la carga del cumplimiento al prestador.

Registros de tratamiento en lugar de inscripción de ficheros. 

Ya no se notificarán ficheros a la AEPD. Ese tan conocido Registro General de Protección de Datos, al que las empresas notificaban los ficheros ; muchas veces era un mero tramite administrativo, vació de cumplimiento activo, ahora ya no existirá. La AEPD ha informado por activa y por pasiva, que pese a que tenemos que cumplir con esta obligación hasta el 24/05/2018, a partir de la entrada en vigor del Reglamento General de Protección de Datos, el 25/05/2018, ya no se deberá, ni se podrá seguir inscribiendo ficheros. 

Hay muchas más novedades, pero estas son las principales, y además, la idea era hacer corto este artículo. Así que seguimos

¿Cuando tenemos que empezar a cumplir?

Pues cuanto antes, en función de la actividad de la empresa, o de los datos que trate, o de las finalidades o cantidades de datos que tratemos. El caso es que el 25 de mayo de 2018, cuando el Reglamento General de Protección de Datos inicie su plena aplicación, todos los obligados deberán estár cumpliendo. En ese momento el RGPD será directamente aplicable y exigible a todos.

El día de inicio de aplicación del RGPD, o GDPR como son la siglas en inglés, todos los ciudadanos veremos alargada nuestra lista de derechos y herramientas para ejercitarlos, así que las empresas deberán estár listas para garantizar su respeto y ejercicio.

En resumen

El RGPD es el cambio más grande que hemos tenído en los últimos años, en matería de protección de datos. Estos dos daños que nos dierón desde su entrada en vigor, hasta el inicio de su aplicación ya se están agotando y hay que ponerse en marcha si ya no se ha hecho.

Esta norma se ha de afrontar en muchos casos como si de una norma ISO se tratara, o algo similar. Con mucho rigor, compromiso de la dirección y trazabilidad de todos los actos de cumplimiento. Ahora tenemos que demostrar que cumplimos; cumpliendo y registrando ese cumplimiento es como se consigue.

 

 

Los titulares de páginas web deben realizar una adecuación legal web. La finalidad es cumplir aquellas leyes que se han erigido como garantes de los derechos de las
personas en internet.

Con la expansión de internet, cada vez somos más propensos a realizar transacciones a través de la red. Necesitamos seguridad jurídica, y estas leyes bien aplicadas nos ayudan a conseguirla.

Hay que recordar que en su momento parecía que internet era el Salvaje Oeste. Nada más lejos de la realidad. Pero, para evitar confusiones, y aclarar algunas
líneas muy delgadas, se creó la regulación especifica de los servicios de la sociedad de la información.

Nota: artículo actualizado el 04/11/2018 para incluir lo relativo a la adecuación web al RGPD – Reglamento General de Protección de Datos UE 679/2016.

¿Qué leyes se tienen en cuenta en una adecuación legal web?

El ecosistema jurídico aplicable a los negocios en interner, es el mismo que es de aplicación en su parte física. Tenemos al Código Civil, Código de Comercio, Código Penal, entre otros. Luego, las leyes especiales que imponen obligaciones concretas a aquellas empresas y profesionales que gestionan y explotan una página web.

Específicas de negocios en internet
Relativas al producto/servicio y actividad económica

Las anteriores para empezar. A partir de ellas hay que sumar la legislación específica relativa a la actividad que se realice. Así como la de los productos o servicios ofrezca. Esto para transacciones B2C (negocio a persona física)

Para transacciones B2B (negocio con negocio)  pues oye, que venga el Código Civil y la legislación mercantil y repartan cuantas reglas hagan falta.

En nuestros post hablaremos del caso que más se presta para generalizar. El B2C, y las leyes básicas aplicables a casi toda la generalidad de páginas web de negocios o profesionales.

Pero, ¿cuáles son las leyes que debo cumplir en MI web?

Sabiendo de antemano que existe una regulación de los servicios prestados u ofrecidos a través de internet, así como que es de aplicación todo el ordenamiento jurídico básico de nuestro país, le dejamos una pequeña tabla que le permitirá identificar fácilmente las leyes que debe cumplir.

Lista indicativa, una opción no excluye la otra. Lo más probable es que salga, LSSI y el RGPD, casi siempre.

 

Y, ¿De esas Leyes qué tengo que hacer?

Bueno, nuestro propósito inicial fue escribir un solo artículo que resumiera todas las obligaciones. Como iba a quedar tipo testamento -de lo largo- haremos, otros 3 artículos que cumplimenten este. Serán sobre la LSSI-CE, el RGPD y la LGDCU.

Para resumir, os ponemos lo que a nuestro juicio son los dos pilares de estas tres leyes. El principio de información y transparencia, y el de consentimiento. Los demás son completamente transversales en asociación con estos.

Principio de información y transparencia.

En nuestras transacciones online, sean gratiutas u onerosas nos interesa tener seguridad jurídica. Saber que nuestros derechos serán respetados y que quien está del otro lado, va a cumplir su parte del trato.

  1. En la LSSI, artículo 10, encontramos la obligación publicar toda la información del titular de la web. Datos identificativos, fiscales, de contacto, de localización y registro. En caso de profesiones reguladas también se piden información específica. Si en la web se ofrecen productos o servicios deben aparecer claramente los precios, impuestos aplicables y gastos de envío. Entre otras.
  2. El RGPD por su parte dispone en el artículo 5.1 en su apartado a) el principio de transparencia en relación al tratamiento de datos del interesado, y en su artículo 13 relativo al derecho de información, establece que se facilitará toda la información siguiente al interesado: la identidad y los datos de contacto del responsable, los fines a los que se destinan los datos personales, los destinatarios o las categorías de destinatarios de los datos personales, el plazo durante el cual se conservarán los datos personales, así como la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento.
    NOTA: En este apartado el artículo original hacía mención a las obligaciones de información de la LO. 15/1999 de Protección de Datos de Carácter Personal.
    Hace dos semanas la AEPD publicó su informe sobre ‘Políticas de privacidad en Internet. Adaptación al RGPD’. No quedó títere con cabeza, y definitivamente
    ese informe hecho de oficio por la Agencia deja claro que no se van a andar con chiquitas a la hora de evaluar el cumplimiento de los responsables. Puede ver el informe aquí https://www.aepd.es/media/estudios/informe-politicas-de-privacidad-adaptacion-RGPD.pdf
  3. La LGDCU, va más allá que la LSSI en lo relativo a los derechos de los consumidores y usuarios. Exige que todo tipo de información relativa a la venta o contratación, sea fácilmente accesible siempre para los consumidores. Así mismo que estos siempre tengan claro: cuál es el proceso de compra, los precios de los productos, del envío, la posibilidad del ejercicio del derecho de desistimiento, cancelación de la transacción, entre otros.
Principio del consentimiento.

Os podéis imaginar que, si estas leyes pretenden garantizar los derechos de los usuarios, uno de los puntos clave es priorizar la necesidad del consentimiento bien para recabar datos, para el envío de publicidad, o para la formalización de una transacción o cualquier otra finalidad que así lo requiera, así como la normativa aplicable: casos y leyes:

  • El Reglamento General de Protección de datos dispone que el consentimiento ha de ser inequívoco, es decir, se ha de prestar mediante una manifestación o una clara acción afirmativa del interesado.
  • Por otro lado la LSSI, en sus artículos 20, 21 y 22 exigen, no solo información, sino, la autorización expresa. Ojo, expresa, para el envío de publicidad. Claro, también hay alguna excepción, la más importante, y asociada a la pronto inicio de aplicación del RGPD, será la del interés legítimo.
  • En la LGDCU -por recordar, Ley General Para la Defensa de Consumidores y Usuarios- solo se podrán entender como realizadas aquellas transacciones que sean realizadas con el consentimiento y aceptación plena e informada del consumidor. Aquellas se realicen de forma engañosa, no tendrán validez.

Conclusiones

Tener una página web requiere de una visión de amplio espectro. Que no solo se vea por la consecución del fin de su puesta en marcha, sino también, de la defensa y garantía de los derechos de nuestros destinatarios del servicio o consumidores.

El cumplimiento de estas normas, no solo protege los derechos de los usuarios o consumidores, sino también de los del titular de la web. Con el cumplimiento de las normas en muchos casos limita su responsabilidad, así como evita incidencias mayores al poner en claro las reglas del juego. Las leyes están para cumplirlas, pero si además las cumplimos como valor añadido podremos conseguir que nuestro sitio web sea reconocido por su fiabilidad y cumplimiento.

Si necesitáis ayuda con la adecuación legal de vuestra web, ecommerce, palataforma Saas, o cualquier otro servicio de la sociedad de la información, no dudéis en contactarnos. Nuestro nuestro servicio de adecuación legal web, software y app, ha sido diseñado para eso.

PS/ Pronto publicaremos el siguiente artículo. Adecuación Legal Web (II). La LSSI.

La reforma de la Ley Orgánica de Protección de Datos es ya un hecho. El pasado viernes 23 de junio, el ministro de Justicia, D. Rafael Catala Polo, presentó ante el Consejo de Ministros, un informe sobre el anteproyecto de  Ley Orgánica de Protección de Datos para adaptarla al reglamento UE 2016/679.

[Actualización 28/06/2017] Hoy se ha publicado el Trámite de Audiencia de información pública del Anteproyecto de modificación de la Ley Orgánica de Protección de Datos. El plazo para presentar observaciones, finaliza el 19/07/2016.  [Actualización 14/01/17] Finalmente el 24/11/2017 el Consejo de Ministros, elevó al Congreso la propuesta de Proyecto de Ley de Protección de Datos. Vamos a ver las enmiendas… Aquí el doc.

Razones por las que se modifica la LOPD

La modificación de la Ley Orgánica de Protección de Datos, obedece a los cambios legislativos introducidos por la Unión Europea, con la aprobación del Reglamento UE 2016/679 (RGPD EU) que entró en vigor el 25 de mayo del 2016, y será de aplicación a partir del próximo 25 de mayo de 2018.

Como es sabido los Reglamentos EU no requieren de una transposición al ordenamiento jurídico interno de los estados. Son de aplicación directa. Pero, como el RGPD en su contenido ha dispuesto que algunos puntos polémicos sean legislados por los estados, por eso se modifica la LOPD. Ahora, no hay carta blanca para nuestro legislador, todo lo que haga debe estar siempre dentro de los marcos establecidos por el Reglamento.

En el caso de España, se ha previsto modificar nuestra actual Ley Orgánica de Protección de Datos. No se creará una regulación nueva, sino que se adaptará  la actual para que no contravenga el RGPD, y a su vez legisle aquellos puntos que están al arbitrio de nuestro legislador.

¿Porqué una Ley Orgánica?

Teniendo en cuenta que hablamos del derecho fundamental a la protección de datos, que se encuentra amparado en el artículo 18.4 de la Constitución española, nuestro ordenamiento requiere que su regulación se haga a través de una Ley Orgánica. Esto presupone una garantía adicional durante el proceso legislativo, ya que requiere una mayoría absoluta para su aprobación, así como para cualquier tipo de reforma.

Novedades de la nueva Ley Orgánica de Protección de Datos

Si nos basamos en el contenido del informe presentado por el ministro de justicia, hablamos de

  • Tratamiento de datos de personas fallecidas por parte de sus herederos.

  • La edad para el consentimiento, se reduce desde los 14 a los 13 años.

  • Aparece el principio de transparencia.

  • Se regulan los sistemas de información crediticia, videovigilancia, exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado (whistleblowing).

  • Se incide también en los derechos de:

    • acceso
    • rectificación
    • supresión
    • limitación del tratamiento
    • portabilidad
  • Se introduce la obligación de bloqueo.

Ahora bien, no son los únicos cambios que introducirá, también hemos de recodar que el Reglamento Europeo de Protección de Datos, nuestro querído RGPD, incluye una nueva forma de hacer las cosas. Ya no es «demuestra que no lo has hecho mal» ahora debemos demostrar que lo hemos hecho bien. Es el accountability, o cumplimiento activo.

Ya no tendremos una lista de medidas de seguridad, ahora hemos de hacer una evaluación de riesgos. Y a partir del resultado, hemos de implantar cuantas medidas de seguridad necesitemos, independientemente de su naturaleza.

Y claro, no podemos olvidarnos, en este recuento -genérico- de novedades, de las Evaluaciones de Impacto en la Privacidad. Esas que traerán un tanto de cabeza a las organizaciones que deban realizarlas; y tampoco podemos terminar este apartado sin nombrar al Delegado de Protección de DatosDPO/DPD.

Vamos, que novedades hay muchas, y nuestro antiguo proyecto de adecuación LOPD va a tener que evolucionar a la fuerza. Tendremos que mejorar nuestro cumplimiento de la Ley Orgánica de Protección de Datos para cumplir con el RGPD y evitar las sanciones, que ¡oh sorpresa! también será modificado el régimen sancionador.

¿Y cuál es el siguiente  paso?

Se deberá presentar la propuesta de modificación al Congreso de los Diputados acompañada de una Exposición de Motivos y de los antecedentes necesarios para  que se pronuncien sobre ella. Luego vendrán las enmiendas, las votaciones, los acuerdos, etc. Uff, nos queda un largo tramo, y al ser una Ley Orgánica y con nuestro parlamento tan fraccionado tenemos que cruzar los dedos para que llegue a tiempo.

¿Cuándo entrará en vigor la nueva LOPD?

La respuesta es «depende». Depende de que se cumplan los plazos que conocemos a día de hoy. Son los siguientes:

  • La directora de la Agencia Española de Protección de Datos, Dª. Mar España, el pasado 28 de mayo dijo que esperaban tener la nueva LOPD aprobada y publicada poco antes de que iniciara la aplicación del RGPD.
  • OJO: Hoy, 26 de junio gracias a el DiarioLaLey de WK hemos tenido acceso al documento en pdf del anteproyecto  y dice que la nueva Ley Orgánica de Protección de Datos entrará en vigor el 28 de mayo del 2018, el mimo día que el RGPD.

Lo que nos queda es empezar a cumplir el RGPD

Definitivamente no podemos dormirnos en los laureles esperando la nueva LOPD. Hay que iniciar un proceso de evaluación de nuestros sistemas de tratamiento de datos, para ir aplicando el RGPD. Iniciar cuanto antes nuestro proceso de adecuación es el plan más idóneo.

Si queréis podéis echar un vistazo al contenido del anteproyecto, que es un buen primer paso. Pero recordad que todavía quedan las enmiendas y todo lo relacionado con el proceso legislativo;  a día de hoy LA FUENTE es el Reglamento Europeo de Protección de Datos.

Si necesitáis ayuda para la adecuación a la normativa de protección de datos, no dudéis en contactar con nosotros. Estaremos encanados de prestaros nuestros servicios.

 

Ayer, tuvo lugar la 9ª Sesión Anual Abierta AEPD, de la Agencia Española de Protección de Datos. Sobre las 10 de la mañana hicimos un breve resumen de la primera parte de la jornada. Hoy pretendemos hacer un resumen de la segunda parte de la jornada, que no será más corto, pero si más sustancial.

Hemos de decir que mucha parte de la jornada transcurrió en la reivindicación de lo que ha hecho la agencia hasta ahora respecto a su plan estratégico. En este artículo nos centramos solo en los datos de la jornada que consideramos relevantes, o nuevos, que no se encontrarán en guías o documentos ya publicados. Esperamos que os sea de utilidad.

La jornada de la AEPD. Expectativas

Las expectativas eran muy altas, todos esperábamos, el que más o el que menos:

    1. El borrador de la propuesta de modificación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, pero no llegó.
    2. RGPD: Nueva información sobre los criterios de la AEPD, aclaración de términos indeterminados o ambiguos, etc. y claro, documentación.

Por los comentarios de twitter, y corrillos que se formaron en el evento, podemos decir que la jornada se inició con grandes expectativas, que a medida de su desarrollo, no se vieron del todo alcanzadas. Quizás es que la agencia tampoco tiene claro muchas de las cosas que esperamos conocer. Podéis ver los vídeos de la jornada, aquí.

Sobre la modificación de la LOPD

Como antes dijimos, casi todos esperábamos el borrador de la propuesta de modificación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal. Nos hubiéramos conformado con una fecha de publicación del mismo. Pero no, nada de nada, excepto una calendario previsible.

La única información facilitada a este respecto, es la que dio la directora de la AEPD, Dª. Mar España, en su intervención.

El pasado viernes 19/05/17 se aprobó en la Comisión General de Codificación, el texto presentado por la ponencia de Agencia Española de Protección de Datos, ahora es el momento, del impulso legislativo por parte del ministerio. Comenzara a circular próximamente a través de la Comisión de Secretarias y subsecretarias de estado, y antes de verano previsiblemente será publico el trámite de información pública, donde todos ustedes podrán hacer propuestas. Ha sido una ley compleja …. Me van a perdonar, que por el principio de confidencialidad no pueda dar más detalles.

Confiemos que pueda estar aprobada, dependiendo de la tramitación, para mayo del 2018

 

Re-resumen de la primera parte 

  • La AEPD está trabando con ENAC sobre el certificado del  Delegado de Protección de Datos DPO – DPD, en España. Están preparando directrices sobre requisitos técnicos y de evaluación.
  • La AEPD está trabajando con CCNCERT para adaptar la herramienta PILAR al RGPD, para que sea a utilizada por los Responsables de Tratamiento Públicos y así facilitar su cumplimiento.
  • Anuncia la colaboración con los distintos ministerios para la difusión y formación en materia de Reglamento Europeo de Protección de Datos para todas las Administraciones Públicas AAPP.
  • Para después del verano según les concedan medios, la AEPD tiene previsto la puesta en marcha Unidad de atención a los responsables y profesionales de privacidad. Solo habrán dos personas, así que la agencia sugiere sistematizar y canalizar las consultas de los profesionales a través de las asociaciones profesionales. No coment.
  • El grupo del artículo 29, está trabajando en varios documentos de directrices sobre, Consentimiento, Perfilado, Certificaciones, Transparencia,  Notificaciones de violación de seguridad y Herramientas de transferencias internacionales. La adopción de estos documentos está prevista para el año 2018, pero algunas serán aprobados y publicados para recoger las opiniones  de los interesados, en el próximo plenario del grupo, a principios de junio.
  • El consentimiento tácito que se darán indicaciones y sugerencias, algunos ejemplos en los cuales la AEPD, entiende que podrá encontrarse en algunas causas de legitimación en casos concretos.
  • Presentación de la Herramienta NanoPymes
Herramienta NanoPymes.

Se trata de una herramienta diseñada por la AEPD para facilitar el cumplimiento de micro pymes, que traten datos con nivel de riesgo para la privacidad, muy bajo (prácticamente inexistente). La herramienta es una herramienta web, gratuita y que facilita parte del cumplimiento por parte de los sujetos antes mencionados.

Resaltamos la aclaración del D. Andrés Calvo, coordinador de Evaluación y Estudios tecnológicos de la AEPD:

La cumplimentación de los formularios de la herramienta, no significa que se haya cumplido con la herramienta. El asesoramiento por parte de la Agencia o un tercero va a seguir siendo necesaria.

En ningún caso se va a reducir el cumplimiento a pulsar un botón o rellenar un formulario.

 

Ahora sí, la segunda parte de la jornada

Quien escribe este post, cree que la segunda parte fue muy atropellada, mucha información a la vez que los ponentes batían récords de palabras por minuto. Por este motivo, hablaremos de forma global de las ponencias de esta parte:

Ponencia Exposición nuevas directrices para aplicación del RGPD

El ponente, D. Rafael García Gonzalo. Jefe del Departamento Internacional de la AEPD. Habló de las 4 guías hasta ahora presentadas, por el Grupo del Artículo 29. El ponente procuró comentar el contenido de las guías, y a su manera, aclarar en parte su contenido. Aclaraciones importantes:

    1. Aceptación significativa o sustancial en Tratamientos Transfonterizos: no hay definición pero facilitan elementos para determinar si existe tal afectación. Y así se mantiene. Ver el RGPD.
    2. El Delegado de Protección de Datos:
      1. Que sea externo deberá cumplir con los mismos requisitos técnicos y profesionales exigibles a los delegados internos.
      2. Para evitar conflictos de intereses, se debe hacer una lista de actividades compatibles e incompatibles, en las que podrá o no participar el delegado.
    3. Sobre el derecho a la portabilidad, no supone que los Responsables del tratamiento, tengan que adoptar sistemas compatibles sino interoperables. Importante, ¡eh
    4. Sobre los criterios para evaluar si es necesario hacer una Evaluación de Impacto en la Privacidad. Si de la lista facilitada por el Grupo del Artículo 29. Regla básica, si aparecen 2 o más de los criterio se debería hacer la EIPD.
    5. La Consulta  a la Autoridad de Protección de Datos, es exclusiva para aquellas situaciones en las que una vez realizada la EIPD, y puestas las medidas correctivas, persiste un alto nivel riesgo que no puede ser corregido.
Ponencia. Nuevas funciones de las autoridades de control y evaluaciones de impacto.

Ponente, D. Pedro Colmenares, Subdirector General de Inspección de la AEPD. Os diremos que fue una de las ponencias más entretenidas. La ponencia versó sobre los retos de cambio que deben afrontar las Autoridades de Control, deberán cambiar a la realidad del RGPD. Sobre los cambios generales que introducirá la aplicación del reglamento en la memoria anual de la AEPD.  

El segundo tema de esta ponencias fue las EIPD, y nos gustaría destacar una aclaración hecha por el ponente.

Teniendo capacidad de hacer la EIPD,  aunque  no se vean obligados a hacerla,  pues seguramente, será muy oportuno que en su caso, ante la duda, las realicen

Ponencia.  Informes y sentencias Relevantes

Ponencia de D. Agustín Puente. Como siempre, en este punto los temas tratados son completamente variopintos, y útiles. Algunas de las sentencias mencionadas que recomendamos ver, tienen que ver con pseudoanonimización; condiseración de la IP dinámica como dato personal; acceso y utilización de datos de los clientes del franquiciado por la franquicia; recogida de datos de internet con software; publicación en youtube de ceremonia religiosa; uso de datos de personas de contacto; culpa in vigilando de Responsable respecto al cumplimiento del Encargado. Entre muchos otros.

Ponencia. Actualización de criterios

Ponente, D. Jesús Rubí. Esta ponencia fue muy práctica, D. Jesús, sentencias en mano, se dedicó a recordar los criterios clásicos de la AEPD, aplicadas en las instrucciones y expedientes sancionadores.

      • Cruce de de bases de datos publicitarios con la Lista Robinson, siempre, salvo que se tenga autorización expresa. pantallazo
      • Acceso indebido a historias clínicas, por parte de profesionales. La AEPD sanciona al Responsable, pero le solicita que depure responsabilidades del profesional. 

Consultas planteadas por los asistentes durante la inscripción.

La mayoría de presuntas tuvo que ver con el Reglamento Europeo de Protección de Datos. No cabe duda que es un tema que preocupa e interesa a la par. Datos que podríamos considerar aclaratorios y se pueden considerar interesantes.

        • El Delegado de Protección de Datos:
          • Puede ser externo o interno, pero en cualquier caso deberán cumplir con todos los requisitos exigidos. Por ser externo no se rebajan.
          • Debe ser una persona concreta, con independencia de si le apoya un grupo o un departamento completo. Consulta contestada por D. Agustín Puente.
          • Lista orientativa de la AEPD, sobre  Responsables que seguramente necesitarán un DPO.
        • Certificación de profesionales.
          • No es requisito indispensable para acceder al puesto de DPO.
          • Habrán otras maneras de acreditar los conocimientos y cualidades profesionales que el reglamento requiere.
            • Cualidades profesionales. Especialización y práctica.
            • Capacidad para desempeñar las funciones.
          • Será un instrumento para garantizar transparencia y garantía.
        • Desaparece la exención del artículo 2.2 RDLOPD sobre tratamiento de datos de contacto. Son datos personales en todo caso, aunque a veces exista legitimación para tratarlos. Pantallazo
        • Consentimiento.
          • En el RGPD es una clara acción informativa.
          • Se podrán agrupar las finalidades en lugar de tener mil casillas.
          • Si en el aviso legal está claro todo, con la aceptación del mismo el usuario está aceptando.
          • Mencionan la opción de consentimientos en sentido negativo. Siempre que el usuario manifieste su aceptación.
          • El consentimiento tácito en la publicidad se considera nulo y genera un efecto en cascada respecto a todos las partes inmersas en el tratamiento de los datos.
          • El marketing como interés legítimo.
          • Con el RGPD decimos adiós al concepto de datos accesibles al público.
          • Las opciones puestas en la presentación son múltiples, miradlas.
        • No se puede considerar el Título VIII del RDLOPD como metodología de Análisis de riesgos.

Conclusiones

Como antes mencionamos, esperábamos que la jornada diera mucho más de sí. Más información sobre el Reglamento, sobre los criterios que aplicará la agencia, materiales, en fin, mucho más. Ahora bien, tal como salió, también fue de gran utilidad, y estamos seguros que lo dicho, ya ha abierto caminos y opciones.

Esperemos que en breve tengamos noticias de la modificación de la LOPD, más guías de la agencia y del grupo del artículo 29. Esa es la única manera de que podamos llegar al 25 de mayo del 2018, cuando inicia la aplicación total del Reglamento Europeo de Protección de Datos, y que estemos cumpliendo al máximo.

Hoy 25 de mayo, está teniendo lugar la 9ª Sesión Anual Abierta 9AEPD, de la Agencia Española de Protección de Datos. Pretendemos hacer un resumen de la jornada. [Act 29/05/17]El primero, este resumen que va desde el inicio de la jornada. La segunda parte y resumen general (muy concentrado) podéis leerla aquí.

En este momento 9:36 (península), durante el receso, queremos hacer un breve resumen de lo comentado:

Datos destacados de la intervención de la directora de la AEPD, Mar España

  1. La directora recalca que el plan estrategico de la AEPD se está desarrollando de forma controlada pero efectiva.
  2. Menciona todas las guías que han publicado en el último año sobre el Reglamento Europeo de Protección de Datos RGPD.
  3. Anuncia la publicación de guías para colegios  y padres, con el fin de ayudar en la formación en materia de seguridad en internet, a los menores, y para que aprendan sobre el uso de las aplicaciones de mensajería y canales de comunicación con la AEPD.
  4. Anunció la publicación, hoy de la guía Protección de Datos: Guía para el Ciudadano
  5. También anuncia la publicación de guías e instrucciones por parte del Grupo de Artículo 29, para ayudar a los responsables de cumplimiento del Reglamento Europeo de Protección de Datos RGPD. Menciona que tratarán los siguientes temas, muy esperados por los profesionales de la protección de datos:
    1. Anonimización de datos
    2. Privacidad por Defecto
    3. Privacidad por Diseño
    4. Evaluaciones de Impacto en la Privacidad
    5. Evaluaciones de Riegos.
  6. Da algunas cifras que aparecerán en la memoria anual del 2016, de la AEPD, y que todavía no ha sido publicada.
    1. El 73% de la sanciones impuestas por la #AEPD fue para telecos y empresas de energía.
    2. Entre denuncias y tutela de derechos, recibieron sobre 12.000 solicitudes.
    3. Han estado aplicando reducciones del 20% a las sanciones impuestas, en casos de:
      1. Reconocimiento de la infracción
      2. Pago espontaneo
  7. La AEPD está trabando con ENAC sobre el certificado del  Delegado de Protección de Datos DPO – DPD, en España. En este sentido, la directora destaco la importancia de la certificación como garantía de profesionalidad.
  8. La AEPD está trabajando con CCNCERT para adaptar la herramienta PILAR al RGPD y que sea utilizada por los Responsables de Tratamiento en la realización de Evaluaciones de Impacto en la Privacidad EIPD, y los análisis de riesgos.
  9. Anuncia la colaboración con los distintos ministerios para la difusión y formación en matería de Reglamento Europeo de Protección de Datos para todas las Administraciones Públicas AAPP.

Siguiente intervención. 9AEPD

En la siguiente intervención se comentaron las distintas guías y herramientas publicadas a día de hoy, por la AEPD.

  1. En este sentido, anunciaron la futura puesta a disposición de las micro pymes, de la herramienta NanoPymes, que como su nombre indica, está dirigido a pequeñas empresas para facilitar su cumplimiento del RGPD. Ahora bien, hay que recordar que esta herramienta está dirigida a pymes que hacen tratamientos de datos básicos y con un nivel de riesgo para la privacidad de los usuarios, mínimo.

El representante de la AEPD, recuerda que usar la herramienta no es sinónimo de cumplimiento. Ademas de poner todos los datos en NanoPymes, hay que implantar las medidas de seguridad que se recomiendan, y llevar los documentos que corresponden.

También aquí anunciaron la futura apertura de un canal de atención al responsable del tratamiento y profesionales de  la privacidad.

Entrega de los premios AEPD.

Desde aquí felicitamos a los premiados, todos con una clara intención de divulgación y ayuda a los ciudadanos, de todas las edades, con respecto al uso adecuado de sus datos, y la defensa de su derecho a la protección de datos.

Por ahora, eso es todo, volvemos a seguir la jornada.  Saludos y enhorabuena a los premiados

El pasado 5 de Abril, empezó la campaña de la renta. Los ciberdelincuentes no se han hecho esperar  y por eso ya tenemos noticias de campañas masivas de phishing y ramsomware; algo nuevo y algo viejo, lo prestado será el dinero de los pobres incautos que piquen.  Está claro que los ciberdelincuentes, son muy madrugadores,  y  que aprovechan cualquier oportunidad, para embaucar a sus victimas.

¿Qué engaños han soltado este año los ciberdelincuentes?

Como mencionamos antes, vuelven con un viejo conocido, el phishing. El nieto del timo de la estampita, que ahora se hace por internet. En esta ocasión, se trata de una modalidad en la que los ciberdelincuentes, remiten de forma masiva, correos electrónicos a victimas potenciales, y luego, como buenos pescadores, se sientan a esperar a que un buen número de ellos pique.

Ojo con el phishing de este año

Este año la división de delitos telemáticos de la Guardía civil, y la Policía, han informado de una campaña, en el que los ciberdelincuentes se remiten un correo en el que se hacen pasar por la AEAT. Notifican al usuario de una supuesta devolución de dinero, referente a una campaña de la renta anterior, y le facilitan un enlace en la que piden que se confirmen los datos que necesitan para hacer la devolución del dinero.

Así es como se ve el correo. Por favor, si os llega, eliminadlo de inmediato. Y si picaste, cambia las contraseñas del banco de inmediato, y llegado el caso, denuncia a la policía.

   

Ransomware en esta campaña

Este es el nuevo, que ya a estas alturas, no es tan nuevo. Se trata de un virus que se remite también a través de correo electrónico. Claro, no es fácil, por así decirlo, detectarlo ya que suele venir escondido en un algo que aparenta ser un documento, como una factura, o un borrador de la renta, o un excel. Cualquier forma de documento vale. Lo malo es que no son documentos sino programas maliciosos que al darles click para abrirlos, instalan el virus.

El ransomware, es el famoso virus secuestra ordenadores. En cuanto se ejecuta, toma el control del ordenador y cifra todos los archivos que contiene. A partir de ahí, los ciberdelincuentes te piden que pagues una cantidad de dinero, a  cambio de descifrar la información. La cantidad solicitada varía entre los 150 euros, y los 1000 euros, o más, si es un ataque dirigido a empresas.

 

¿Qué hacer si he sido victima de ransomware?

En este caso, y como mencionamos en el programa de radio, los expertos en seguridad, la polícia y la GC, recomiendan no pagar. No se paga para no financiar ciberdelincuentes, y porque no hay certeza de que realmente nos devuelvan la información.

En estos casos, lo mejor es apagar, formatear el ordenador y reinstalar todo. Que lo haga un experto informático mejor, que suena fácil pero no lo es tanto. Pero claro, es necesario tener una copia de seguridad. Si no tiene ninguna, hágala, que la información es muy valiosa.

Los usuarios pueden solicitar la ayuda del INCIBE, que cuenta con oficina de atención al usuario, y también para empresas. Según sea el caso, se debe denunciar a la Policía o a la Guardia Civil.

Y si el incidente lo sufre una empresa, no se olviden de registrar la incidencia, que esa es grande, y los ojos la Ley de Protección de Datos – LOPD 15/1999, no es poca cosa. Y menos lo será cuando entre en vigor el Reglamento Europeo de Protección de Datos, RGPD.

Recomendaciones a modo de conclusión

Hay que ver lo eficientes que son los ciberdelincuentes, así que por favor, evitad abrir correos que no esperáis, de desconocidos, con archivos raros, etc.

Una forma de identificar los correos maliciosos son las faltas de ortografía, y no por un  Zapato escrito con S, que debería ser delito, sí, sino por aquellas que nos dejan ese saborcillo a… mmm esto ha sido traducido por un traductor automático….

Las formas típicas de documento que usan para distribuir ransomware son, certificados de correos, borradores de la renta, facturas, así como confirmaciones de pago o transferencia. Curiosamente, casi todos aparentan ser un PDF, aunque también hay excel y word. Pero bueno, tened esta información en cuenta, será útil.

____________________________________________________________________

Este tema lo tratamos, el pasado 10/04/2017, en nuestra colaboración semanal con Radio Club Tenerife  de la Cadena SER. Podéis escuchar nuestra participación a partir del minuto 01:44:16.

Os invitamos a escuchar nuestra participación en la radio, todos los lunes a las 10:40 am, hora en Canarias. En el espacio Internet en Familia, del Hoy por Hoy Tenerife de Radio Club SER Tenerife. Solemos hablar de Internet, apps, seguridad, privacidad, tecnología, derecho tecnológico, protección de datos, y muchos más temas de interés para el público en general.

El avance tecnológico influye cada vez más en nuestra privacidad, y la ropa inteligente no se queda atrás. El internet de las cosas empieza a estar presente en nuestra vida cotidiana. La ropa, siendo una de nuestras necesidades básicas, no podía faltar y cada día vemos una nueva mejora.

¿Qué es la ropa inteligente?

Son aquellas prendas de vestir que han sido mejoradas, incorporando en ellas electrónica y conexiones a internet u otros dispositivos. Suelen incluir sensores, chips, luces led, bluetood, conexión a internet, usb, etc.  Son muchos los objetos que incluyen, siempre en función de la finalidad para la que se usará la prenda.

¿Para qué se usa la ropa inteligente?

La ropa inteligente se usa para cualquier cosa que podamos imaginar. Sus usos y beneficios crecen con la capacidad de hacer las ideas realidad. A día de hoy, las prendas existentes, cubren las siguientes necesidades:

  • Seguimiento y control del rendimiento deportivo. Registro de trabajo muscular, ritmo cardiaco, capacidad de resistencia, oxigenación muscular; Cuenta los pasos caminados, la velocidad de marcha; calcula la longitud de la calzada, rotación de la cadera; incluso los hay que en función de la meta trazada, animan a seguir con el entrenamiento.
  • Seguimiento y control médico. Registran la temperatura corporal, el ritmo cardíaco y demás signos vitales; calculan la exposición solar y realizan advertencias en caso de peligros; Registran signos vitales de neonatos y avisan en caso de posibles incidencias.
  • Mejora de acciones cotidianas.  Mejorar vestidos con luces led, o hacer que se vean tweets en la falda del vestido; chaquetas de montaña que incluyen GPS; chaquetas de traje que permiten pagar con la maga; Bolsos que se conectan a las redes sociales o te leen la agenda. De todo, aquí la imaginación va al poder.

Funcionamiento de la tecnología que incorpora

De la anterior lista, en los dos primeros casos, funcionan con sensores que recogen información, y la almacenan o la comunican a otro dispositivo. La comunicación a dispositivos externos se hacen vía  vía bluetooth o internet.

Los del tercer punto se basan en la conexión directa a internet. Esta conexión es básica para poder cumplir su fin, mostrar un tweet, publicar en las redes sociales, realizar un pago, etc.

En los tres casos, suele ser necesario que el usuario instale una aplicación móvil con la cual gestionar los datos del usuario y la ropa.

Incidencia en la privacidad

Esta ropa inteligente, lo que hace es recoger información, y  claro, información personal. Todo aquello que es concerniente a nosotros son datos personales, que deben ser recogidos y tratados de forma adecuada.

Los creadores de las aplicaciones a las que estas prendas comunican los datos, suelen almacenarlos en sus servidores. Deben poner las medidas de seguridad que sean necesarias para evitar su alteración, perdida o acceso no autorizado.

Es muy importante conocer las garantías que ofrece el proveedor de aplicación que recogerá y almacenará nuestros datos. Debemos informarnos de su política de privacidad; en ella debe plasmar: quién es, en dónde está ubicado, para qué usa los datos, si se los da a un tercero y para qué, entre otras cuestiones.

Conclusión

La ropa inteligente ha llegado para quedarse, y para invadir nuestros armarios. Así es la tecnología, todo lo cambia, todo lo mejora, y si no lo mejora, por lo menos lo intenta.

Habrá que estar atentos a los beneficios que nos traerá la ropa inteligente; recordad, entre más avance la tecnología, más datos requerirá. Debemos ser proactivos en la defensa de nuestro derecho a la protección de datos, y nuestra privacidad.

 

Os dejamos el audio del espacio «Internet en Familia» en el que colaboramos semanalmente con Radio Club SER Tenerife. Este tema lo tratamos el pasado 06/02/2017. Podréis escuchar nuestra intervención, a partir de minuto 1.

Os invitamos a escucharnos cada lunes a partir de las 10:40 a través de Radio Club SER Tenerife. Tratamos temas sobre internet, seguridad, privacidad, LOPD, protección de datos, comercio electrónico y otros de interés general para la familia.

Hablamos de fotos de perfil en las que aparece el titular del perfil, su familia, o amigos. Sujetos protegidos por el derecho a la protección de datos, al honor, la propia imagen, intimidad personal y familiar. Para usar la foto, es obligatorio tener el consentimiento del titular, salvo en algunas, pocas, excepciones.

Este post nace a colación de la STS 363/2017. En ella vemos dos cosas, la primera, que el periódico actuó correctamente en el ámbito del derecho a la información. La segunda, que se olvidó del derecho a la intimidad personal y familiar, y a la propia imagen del afectado.

¿De verdad es tan nuevo que no se puedan usar fotos de perfil sin consentimiento?

No, no lo es. Pero se armó una polvareda ya que muchos medios sacan imágenes de las redes sociales, ilustran con ellas sus noticias, y al no tener una resistencia férrea, siguen haciéndolo. Pues bien, la sentencia viene a recordar lo que pocas veces llega a tan alta esfera de los tribunales. Hay que pedir consentimiento para usar la imagen de una persona en una publicación.

Luego, si no es nuevo, ¿dónde está la justificación para no poder usar las fotos de  perfil en una red social que se supone pública? Es sencillo, está en los derechos fundamentales que amparan a su titular.

Derechos de la persona que aparece en una fotografía

 

Derecho a la intimidad familiar, personal y a la propia imagen

Aprovecharemos parte del contenido de la sentencia para aclarar de qué va esté derecho:

El derecho a la intimidad personal y familiar garantiza a la persona un ámbito reservado de su vida personal y familiar, vinculado con el respeto de su dignidad como persona, frente a la acción y el conocimiento de los demás, sean estos poderes públicos o particulares. Este derecho atribuye a su titular el poder de resguardar ese ámbito reservado, tanto personal como familiar, frente a la divulgación del mismo por terceros y frente a la publicidad no consentida. Así lo ha declarado tanto el Tribunal Constitucional (entre las más recientes, sentencia 176/2013, de 21 de octubre ) y esta sala (sentencia 478/2014, de 2 de octubre )

Derecho a la protección de datos personales

Para ser precisos, usaremos el fundamento 7º de la ST. 292/2000 de 30/11/2000

Es un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de éstos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles este tercero puede recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión y usos.

El derecho fundamental a protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal.

 

Según la ST. 292/2000 de 30/11/2000 estos dos derechos comparten.

el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar

 

Pero, ¿las fotos de perfil no son públicas?

En realidad depende de lo que entendamos por público. Es pública, accesible a todos, en el ámbito de la red social en la que fue publicada. Ahora bien, aunque se vea desde un buscador, fuera de la red social, no se entiende de dominio público. La propia sentencia indica,

Que en la cuenta abierta en una red social en Internet, el titular del perfil haya «subido» una fotografía suya que sea accesible al público en general, no autoriza a un tercero a reproducirla en un medio de comunicación sin el consentimiento del titular

La finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de la cuenta en un medio de comunicación.

Por lo tanto, no es publica, de uso común y sin limitaciones del mismo, por cualquiera que tenga acceso a directo o indirecto a ella. Esto es así pese a que al estar visible en internet podamos llegar a tener esa sensación.

A este respecto, hay que aclarar que Internet no es una fuente accesible al público. Ver lista de fuentes en la LOPD 15/1999.

Excepciones

Hay excepciones, las fotos de personas con relevancia pública, en su esfera pública. También está el caso del material audiovisual del lugar de la noticia.

¿Subir una foto a internet, es consentir que los demás la usen?

Subir un contenido a internet, no es un consentimiento para que cualquiera lo use. Es así como en la sentencia encontramos un recordatorio al respecto.

Que una persona suba contenido y esté sea público,

«[…] esto no equivaldría a un consentimiento que […] tiene que ser expreso y, además, revocable en cualquier momento». sentencia 746/2016, de 21 de diciembre

En resumen

Es necesario contar con el consentimiento del titular de las fotos de perfil, o de las personas que en ella aparezcan, antes de publicarlas en un medio.

Lo que publiquemos en las redes sociales solo se puede usar en su ámbito, y en teoría, con la finalidad que lo hicimos. Esto último ya es otro jardín, para otro día, u otra sentencia.

 

En breve este tema lo mencionaremos en la colaboración que tenemos con Radio Club Tenerife, en el espacio Internet en familia, en el que participamos cada semana donde siempre tratamos  temas sobre internet, seguridad, privacidad, LOPD, protección de datos, comercio electrónico y otros de interés general para la familia.

Actualización 27.03.2017. Os dejamos el audio de la participación que tuvimos en Radio Club SER Tenerife, el pasado 13.03.2017. En el enlace, a partir del minuto 29.54, podréis escuchar el desarrollo de este tema.

Contrato de tratamiento de datos por cuenta de terceros ¿Qué es y qué pasa si no lo firmo?

Existe una obligación formal que establece la LOPD en su artículo 12, que es regular en un contrato por escrito, o en alguna otra forma que permita acreditar su celebración y contenido, el acceso a los datos por parte de terceros para que estos posteriormente realicen un tratamiento sobre ellos en el marco de una relación de prestación de servicios.

Hay que tener en cuenta que se debe hacer cuándo nosotros somos los clientes, pero también cuando somos los proveedores. El caso es regularizar la comunicación de los datos entre las partes, para que el intercambio de información sea conforme a la ley.

Para ver la razón de la obligación, es necesario remitirse a la L.O. 15/99 de Protección de Datos de Carácter Personal, más conocida como LOPD.

Puntos clave de la LOPD

  1. Art. 6.1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
  2. Art. 7.3 Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
  3. Art. 11.1 Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  4. Art. 12.1 No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

La ley es clara, solo se pueden tratar o comunicar los datos, si tenemos el consentimiento del afectado. En este sentido, el contrato de tratamiento de datos por cuenta de terceros, es una estupenda herramienta para comunicar datos durante una relación de prestación de servicios, sin tener que interrumpir la fluidez de la comunicación a expensas de obtener el consentimiento individual de los afectados.

La obligación de la firma de este contrato, aparece en el art. 12 de la LOPD. Un artículo dedicado por completo a este recurso, en el que se aprecia no solo la obligación de regular el acceso a los datos, sino que también establece cómo debe hacerse, y el contenido mínimo que debe tener.

Apreciemos más de cerca el contenido del Artículo 12 LOPD

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

 

Responsable del tratamiento y al Encargado del tratamiento. ¿Pero quién es quién?

En Dataseg respondemos a esta pregunta continuamente ya que suele ser motivo de confusión.

Responsable del tratamiento

El responsable del tratamiento es el titular del fichero. Usando la definición rápida de la AEPD para sus resoluciones diremos que,

“…Conforme al artículo 3.d) el responsable del fichero o del tratamiento es “la persona física o jurídica (…) que decida sobre la finalidad, contenido y uso del tratamiento”

Encargado del tratamiento

Se denomina encargado del tratamiento a los prestadores de servicio con acceso a los datos. Así, según la AEPD. en sus resoluciones,

«…Conforme al artículo 3.g), es “la persona física o jurídica (…) que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”

Posibles Infracciones

En caso de no cumplir con esta obligación, podemos ser sancionados por la Agencia Española de Datos (AEPD).. Estas son las posibles infracciones de la LOPD:Art. 44.2. leves 900 a 40 mil €

d – La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Art. 44.3 Graves 40.001 a 300mil

b – Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

d – La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.

k – La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

El cumplimiento de esta formalidad puede evitar una sanción económica importante para los encargados y responsables de ficheros. Por destacar, muchas veces es el único documento que sienta las bases sobre la titularidad de los ficheros, así como las obligaciones y deberes que tienen los prestadores de servicios sobre los datos a los que tienen acceso, y que tratan a nombre de sus clientes.

Para verlo más claramente nos remitimos al mismo artículo 12, en su apartado 4, que dice:

Art. 12.4“…En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.”

Conclusión

Este contrato es es una formalidad exigida de la ley, una obligación expresa y con indicaciones claras sobre su cumplimiento. Además, es herramienta que usada correctamente, representará beneficios a corto y largo plazo entre las partes. Decía mi abuela: “Las cuentas claras y el chocolate espeso”.

Los dispositivos móviles ya son una parte indispensable en nuestra vida, se han vuelto el mayor medio de acceso a internet, por eso es necesario protegerlos, no solo para no perder la información que almacenan si no, para evitar estafas y engaños, e incluso para cumplir con una normativa tan importante como la de Protección de Datos, que le aplica a empresas y profesionales.

Con el inicio del verano muchas personas se van de vacaciones, es tiempo de ocio y descanso que a veces puede remitir en una perdida, olvido o robo de algún que otro enser personal, entre ellos los más habituales son los móviles.

 

Recomendaciones

Para que este verano no se convierta en una pesadilla o en un dolor de cabeza, hemos elaborado una lista de recomendaciones que estamos seguros les serán de gran utilidad.

  1. Bloquear el dispositivo y poner una contraseña de desbloqueo.
  2. Crear un sistema de copias de seguridad que guarde un respaldo del contenido del móvil o tablet en un ordenador.
  3. Instalar un sistema de borrado remoto en caso para que en caso de pérdida o robo pueda eliminar la información a través de un pc o de otro dispositivo que sirva como gestor.
  4. Instalar un software antivirus. Ya hay aplicaciones especializadas para dispositivos como móviles, tabletas y relojes inteligente.
  5. Instalar aplicaciones solo desde las tiendas de aplicaciones oficiales de los sistemas operativos.
  6. Instalar solo aplicaciones oficiales y conocidas. Evitar aplicaciones desconocidas, con errores gramaticales en su nombre o que imiten a otras aplicaciones reconocidas.
  7. Desinstalar las aplicaciones que no use o que nunca se actualicen.
  8. Instalar las actualizaciones del sistema operativo y de las apps
  9. Usar redes wifi seguras y de confianza.
  10. En caso de usar redes wifi públicas ser precavido y evitar realizar transacciones financieras o remitir información privada o confidencial.

 

Escúchanos en la Radio

Este fue el tema que tratamos en el espacio “Internet en familia” en el Hoy por Hoy Tenerife de la emisora Radio Club SER Tenerife, el pasado 4 de julio de 2016.

En el siguiente enlace, a partir del minuto 3:20’ podréis escuchar nuestra participación. Escuchadla, estamos seguros que os resultarán de mucha utilidad.