Entradas

We are Dataseg: get to know more about us. Data Protection in Tenerife

Welcome to Dataseg’s blog! If you speak English, this post is a great way to get to know us and find some information about our services.

Who are we?

Dataseg is a company from Canary Islands specialized in data protection, privacy, cybersecurity and IT Law. We provide training and consultancy and give companies legal advice in order to comply with GDPR and with Spanish data protection regulations.

Where are we and who do we work with?

We are located in Santa Cruz de Tenerife, Canary Islands, Spain. Many of our clients are also located in the Canary Islands, but we also have clients all around Spain and we work with companies which operate internationally. We are used to collaborate with large companies, but we also work with small professionals whose businesses are just launching. We adapt to what our clients need.

How can I know if I need your services and why counting on Dataseg?

No matter if you are located in the European Union or not: if you work with European clients or provide services anywhere in Europe, you must comply with the GDPR and with any other data regulations that apply in Europe. If you focus specifically in Spain, you must know that our country has its own Data Protection Act.

Maybe you are thinking about taking a big step and launch your own company or expand your business abroad. Or perhaps you simply are concerned about GDPR compliance in your company and you haven’t found professionals that can help you with it.

It doesn’t matter if you have previous experience or not, or what your situation is: it is always a must to get legal advice in order to help you reach your goals, obtain the best results and avoid risks related to lack of compliance.

What makes Dataseg different to other companies?

Our team counts with Law graduate consultants who are constantly learning about European and international regulations in order to improve their knowledge and provide a quality service.

We take part in national projects, as well as international ones, and we provide our services in Spanish and English, which means that communication will never be a problem when you work with us. We guarantee that your needs will be heard and understood.

Apart from that, we are very used to work in sectors where everything mentioned above is highly important: tourism, travel, new technologies, sales and commerce in general, on-line presence and many others. We take care of our clients and we analyse each project on a case-by-case basis, giving it the attention it requires.

How can I reach Dataseg?

If you wish to know more about us, our services or you need some more information, you can contact us with no commitment, through the following:

  • Phone: +34 922 215 406
  • E-mail: info@dataseg.es
  • Through our contact form.

You can also follow us on LinkedIn and Twitter or check other posts on our blog.

Don’t hesitate! Our team will be pleased to hear about you and your ideas.

/0 Comentarios/por

¿Cómo cumplir con el RGPD cuando nos llega un currículum?

Cualquiera que gestiona un negocio o una empresa recibe, de cuando en cuando, un currículum, ya sea porque has abierto un proceso de selección, o porque alguien te lo entrega esporádicamente. Son situaciones que forman parte del día a día.

Todos tenemos claro qué es un currículum o CV: el documento que recoge la formación, experiencia y aptitudes profesionales de una persona. Y, por supuesto, muchos datos personales de su titular: su nombre y apellidos, su información de contacto, el lugar dónde vive y demás.

¿Ves por dónde vamos? Exacto: la recogida de un currículum implica, se mire por donde se mire, un tratamiento de datos personales sujeto a la normativa reguladora. Y, como es súper habitual y no siempre se hace del todo bien, hoy te damos algunas pautas y también respondemos dudas (y, de paso, desmontamos mitos).

El deber de información en la recogida de currículum

El RGPD es muy, muy claro en este sentido: cualquier tratamiento de datos personales -y, como ya hemos explicado, la recogida de currículum lo es- tiene que cumplir con una serie de mínimos. Entre ellos, garantizar que la persona recibe la información sobre cómo se van a tratar esos datos. En concreto, y como mínimo:

  • Quién va a tratar sus datos personales como responsable
  • Con qué finalidad se tratarán
  • Sobre qué base jurídica se sustenta el tratamiento
  • Durante cuánto tiempo se conservarán, o qué criterios se siguen para ello
  • A quién se comunicarán
  • Si se prevén transferencias internacionales de sus datos
  • Qué derechos reconoce el RGPD sobre dicha información

Pero, ¿Cómo y de qué forma tenemos que dar toda esa información?

Por regla general, la información deben proporcionarse en el momento en que se recogen los datos personales. ¿Cómo podemos aplicar esto cuando recogemos un CV? Hay varias maneras de hacerlo:

  • Formularios tipo “Trabaja con nosotros”. Son muy habituales, por ejemplo, en páginas web de empresa. Una manera de cumplir con lo descrito es incorporar la información sobre protección de datos al pie del mismo.
  • Plataformas, portales o similares. Si abres un proceso selectivo en alguno de estos espacios -sea tuyo propio o de un tercero- puedes proceder de la misma forma. También es muy habitual ver ofertas, por ejemplo, en redes sociales especializadas como LinkedIn, sobre la que ya te hablamos en un post anterior.
  • Recogida en mano o por correo electrónico. Si éste es tu caso, es recomendable que tengas un formulario informativo que entregues a la persona o bien que se lo envíes como respuesta, incluso automática, cuando te haga llegar su CV.

Entonces, ¿eso significa que puedo recoger currículum en mano?

Como te decíamos al inicio, aquí venimos a desmontar mitos y, desde que llegó el RGPD hace algunos años, hay uno muy extendido: el de que, por protección de datos, no se puede recoger un currículum en papel. Bueno, éste y todas sus variantes.

Y eso no es cierto: perfectamente puedes recoger un currículum en mano. Y no, no necesariamente tiene que ir en un sobre cerrado ni muchas otras cosas que se oyen por ahí, lo que sí tienes que asegurar es que cumples con el deber de informar en el momento de recibirlo. Por tanto, si alguien te entrega su currículum de manera presencial y quieres recogerlo, puedes, pero en el acto debes darle la información que ya te hemos explicado.

Esto no quiere decir que estés obligado a recoger un CV si alguien te lo quiere entregar en mano: tú eres dueño de tu negocio y decides cómo gestionarlo, por lo que si prefieres recibirlo por otra vía -o no recibirlo- puedes hacerlo.

Alguien te envía su CV y no lo quieres o no te interesa

Si no tienes activo un proceso de selección o en un determinado momento no te interesa recoger un CV, entonces no estarás tratando datos personales, por lo que no tienes que aplicar las obligaciones que hemos señalado.

Lo mismo ocurre en aquellos casos en que te llega un currículum por correo y lo eliminas sobre la marcha: no tienes que informar ni responder.

Lo que es importante que recuerdes es que siempre que conserves esa información, incluso aunque la dejes olvidada en tu bandeja de entrada o en un cajón -¡que NO debería!- sí que debes cumplir con los términos descritos.

¿Cuánto tiempo debo conservar la información de los candidatos?

No existe un plazo concreto de conservación de los datos asociados a un CV, si bien el RGPD insiste en que la información debe guardarse mientras sea necesaria para los fines de recogida.

Si estás amontonando papel y documentos sin justificación alguna, lo ideal es revisar periódicamente qué necesitas y qué no y destruir de forma efectiva aquello que ya no te hace falta.

Por si te es de utilidad, en el ámbito de la selección de personal, un plazo orientativo y muy utilizado para guardar la información es el de dos años, a contar desque que el currículum fue recibido. Transcurrido éste, mejor borrar.

Terceros intervinientes en la recogida de currículum

Hay que ser muy cuidadoso siempre que en un proceso de selección de personal intervienen terceros, para uno u otro fin.

Por ejemplo, si contratas a una empresa de selección o recurres a plataformas de búsqueda de profesionales, como comentamos anteriormente, es importante que valores bien a estos proveedores, asegurándote de que cumplen con los mínimos legales y de que tú respetas las obligaciones que la normativa impone para estos casos.

Lo mismo, si tienes en mente comunicar los datos de los candidatos a otras empresas o profesionales -algo habitual, por ejemplo, en grupos empresariales-, algo que también debe examinarse y siguiendo las pautas que marca la norma.

Éste es un tema muy extenso, complejo y que daría para otro post (o varios), pero la AEPD cuenta con una guía sobre relaciones laborales que es sencilla, útil y aclara muchas dudas.

Y, por supuesto, cuentas también con nuestras vías de contacto si necesitas atención especializada.

Consecuencias de incumplir el RGPD en el tratamiento de currículum

Como se suele decir: nunca pasa nada… hasta que pasa. Nuestra labor, como profesionales protección de datos es la de analizar los tratamientos y prever los posibles riesgos y consecuencias para evitar que repercutan negativamente en los derechos de las personas.

Volviendo al tema: ¿Qué puede pasar si no respetas los pasos que te hemos indicado? En ese caso, estarías en una situación de incumplimiento normativo, lo cual supone una infracción y puede llevar aparejada una sanción.

Por poner un ejemplo, hace un tiempo la AEPD sancionó a una empresa por no haber notificado a un candidato que habían recibido su currículum correctamente, así como por no haberle proporcionado la información que antes mencionábamos. El procedimiento terminó con una multa por cuantía de 2.000 euros.

/0 Comentarios/por

AEPD y cookies: algunas sanciones relevantes

Las cookies, a las que ya dedicamos un artículo, en su momento, son muy habituales en cualquier página web, e igual de habitual es que estén en el punto de mira de la AEPD y otras autoridades de control.

A finales de 2020, entró en vigor la versión más reciente de la Guía de cookies de la AEPD y, desde entonces, hemos apreciado un notable cambio de criterio en las resoluciones y en las sanciones de la Agencia. En este post, hacemos un repaso cronológico de esa evolución, y destacamos algunas multas importantes.

Cómo ha evolucionado el criterio y las multas de la AEPD

Desde la entrada en vigor del RGPD en 2018, empezamos a ver que las resoluciones sobre incumplimientos en las cookies eran cada vez más frecuentes, la mayoría relacionadas con:

  • Falta de información
  • Imposibilidad de identificar al titular de la web
  • Falta de aviso o banner de cookies
  • Falta o insuficiencia de política de cookies
  • No ofrecer al usuario la opción de configurar o rechazar las cookies
  • Instalación de cookies sin consentimiento previo

¿En qué punto estaban las cookies antes de la guía de la AEPD?

Antes de la entrada en vigor de la guía, la mayoría de las sanciones de la AEPD sobre cookies se resolvían con un apercibimiento, es decir, con un simple aviso, sin multa económica.

¿Y qué pasa con la entrada en vigor de la guía en 2020?

Con la llegada de la guía de cookies y hasta el momento actual, el criterio de la AEPD se ha hecho cada vez más estricto, y las sanciones económicas cada vez más frecuentes (y dolorosas). Aquí va una muestra de algunas de los últimos años:

1. Noviembre de 2022

  • Reclamante: procedimiento iniciado de oficio por la AEPD
  • Reclamada: Techpump Solutions
  • Objeto: incumplimientos en la política de cookies, entre otros
  • Sanción: 500.000 euros
  • Infracción: muchísimas, hasta 10 infracciones de la normativa. Por ejemplo: cookies que se instalan sin consentimiento, falta de aviso sobre cookies, política de cookies que solo consta en inglés… La resolución completa la tienes aquí.

2. Junio de 2022

  • Reclamante: usuario web
  • Reclamada: Vueling Airlines
  • Objeto: falta de consentimiento
  • Sanción: 30.000 euros, reducidos a 18.000 por pago voluntario
  • Infracción: instalación de cookies en la web de Vueling sin consentimiento previo del usuario. Vueling reconoció los hechos y procedió al pago de la multa, por lo que el procedimiento se resolvió de esta manera.

3. Junio de 2021

  • Reclamante: usuario web
  • Reclamada: RIUSA II.
  • Objeto: falta de información y consentimiento
  • Sanción: 3.000 euros
  • Infracción: instalación de cookies no técnicas sin consentimiento, inexistencia de información sobre cookies, sus funciones y plazos de aplicación y dificultar al usuario que pueda modificar sus preferencias sobre cookies. Resolución, aquí.

4. Marzo de 2021

  • Reclamante: usuario web
  • Reclamada: ABANCA CORPORACIÓN BANCARIA, S.A
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: 5.000 euros, reducidos a 3.000, por reconocimiento de responsabilidad y pago en periodo voluntario.
  • Infracción: instalación sin consentimiento y uso de cookies analíticas de terceros.

5. Febrero de 2021

  • Reclamante: usuario web
  • Reclamada: IBERIA LÍNEAS AÉREAS DE ESPAÑA, S.A. OPERADORA UNIPERSONAL.
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: multa de 30.000 euros. Aunque se presentó recurso de reposición, resultó desestimado.
  • Infracción: la AEPD sancionó a IBERIA por no ofrecer, en su página web, opciones de rechazo a la instalación de cookies y por, además obligar al usuario a aceptar las cookies para poder navegar por la misma.

6. Noviembre de 2019

  • Reclamante: usuario web
  • Reclamada: IKEA IBÉRICA, S.A.U.
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: multa de 10.000 euros.
  • Infracción: instalación de cookies sin consentimiento previo, incluso habiéndolas rechazado. Eso sí: a día de hoy, basta con echar un vistazo a la web de Ikea España, para observar que han corregido este incumplimiento.

Qué dicen otras autoridades de control sobre las cookies

La AEPD no es la única autoridad de protección de datos que se ha pronunciado sobre cumplimiento y recomendaciones asociadas a las cookies. De hecho, son muchas las agencias que lo han hecho. Aquí, te dejamos algunos ejemplos y enlaces a sus correspondientes guías:

Francia

La CNIL, su autoridad de control, es una de las más activas en Europa y cuenta con unas recomendaciones para el uso de cookies y otras tecnologías de rastreo.

Reino Unido

Es otro de los países que, pese a que ya no forma parte de la Unión Europea, continúa preocupándose por el cumplimiento normativo. Muestra de ello es su guía para el uso de cookies y otras tecnologías similares.

Andorra

Nuestro vecino también tiene una guía sobre cookies, política de privacidad y aviso legal, actualizada por última vez en febrero de este mismo año.

Italia

Otro Estado que también cuenta con un instrumento regulador en este sentido: su guía sobre cookies y otras tecnologías de rastreo.

Alemania

Un poco más al norte, en Alemania cuentan con una guía para proveedores de telecomunicaciones que incluye recomendaciones específicas sobre cookies.

Para no olvidar…

Las sanciones en protección de datos no llegan de forma indiscriminada, intervienen muchos factores. No cualquier incumplimiento implica un golpe económico, pero sí es importante que seamos conscientes de que exige la norma y qué puede pasar si no nos adaptamos a ella.

Sobre cookies, hay muchísimo escrito y muchísima información desde las más variadas perspectivas, pero no hay que perder el norte, pues todo lo que te hemos contado tiene un objetivo claro: protegernos como usuarios y garantizar nuestra privacidad y derechos.

/0 Comentarios/por

¿Podría un cliente acceder a nuestras comunicaciones internas?

Uno de los derechos que existen en el ámbito de la protección de datos es el derecho de acceso. Si bien el RGPD lo define muy bien, a veces surgen dudas sobre hasta dónde llega exactamente. Por ejemplo: ¿podría un cliente saber qué decimos sobre él en nuestros correos u otras comunicaciones de trabajo?

Cada vez es más frecuente -más aún desde el boom del teletrabajo- que usemos nuevas tecnologías en nuestras profesiones, incluso para comunicarnos con nuestros compañeros. Y muchas veces le restamos importancia, pues confiamos en que estamos en un entorno seguro y privado.

Pero, ¿y si nuestros clientes pudieran tener acceso a esas comunicaciones? Precisamente sobre esto se pronunció el Tribunal Federal de Justicia de Alemania, en una de sus resoluciones. En este post, analizamos la misma y te damos algunas recomendaciones para evitar riesgos.

El derecho de acceso: artículo 15, RGPD.

Como te contábamos, uno de los derechos (arts. 15 a 21) que reconoce el RGPD es el derecho de acceso. Sobre él, nos dice que es aquel que permite a una persona:

“obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen […]
Y, además, específica qué es lo que tenemos derecho a saber (o acceder):

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales […]

d) de ser posible, el plazo previsto de conservación de los datos personales […]

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles […].

Además, el RGPD también reconoce el derecho a saber si tus datos son objeto de alguna transferencia internacional de datos y bajo qué garantías. E incluso a obtener una copia de la información personal que tenga relación contigo.

Ampliación del derecho de acceso del interesado

Como ya te adelantábamos, en julio de 2021, el Tribunal Federal de Justicia de Alemania emitió una resolución muy importante en este sentido. ¿Por qué? Porque su decisión podría entenderse como una ampliación del derecho de acceso, de forma que abarcaría mucho más que lo que hasta ahora ha venido entendiéndose.

Primero, lo primero: los hechos que dieron lugar a la sentencia

Una persona demandó a su compañía aseguradora, solicitándole información sobre todos los datos personales suyos que tuviera. Aunque inicialmente se desestimó la demanda, dado que la compañía ya le había proporcionado información, el Tribunal Federal acabó dándole la razón al demandado, entendiendo que la compañía no había respondido adecuadamente a la solicitud

Los argumentos del Tribunal en su sentencia

El Tribunal considera que el derecho de acceso debe ser entendido en un sentido amplio y que no solo incluiría la información expresamente regulada en el RGPD. Así, abarcaría también información que conste en notas internas o tomadas a raíz de conversaciones telefónicas mantenidas con una persona.

Así mismo, el Tribunal entiende que el interesado tiene derecho a -valga la redundancia- ejercitar este derecho repetidamente, incluso aunque ya tuviera conocimiento de previa información o correspondencia.

¿Qué implica esta decisión?

Aunque se trate de una decisión emitida en Alemania, y pese a que la AEPD aún no ha publicado ninguna en este sentido, lo cierto es que debe ser muy tenida en cuenta. Uno de los objetivos del RGPD, como ya te contamos en este post, es precisamente el de unificar el marco normativo y la toma de decisiones en materia de protección de datos. En otras palabras: cuando las barbas de tu vecino veas pelar, pon las tuyas a remojar.

Por ello, es necesario estar atentos a las decisiones que se dictan en otros Estados, porque probablemente anticipan lo que nuestras propias autoridades (la AEPD) acabarán decidiendo también.

¿Qué deberías tener en cuenta en tu empresa o trabajo?

Una decisión de este tipo, aplicada en el día a día de una empresa o profesional, podría implicar que, si una persona ejercita este derecho, podría llegar a acceder a toda la información que tengamos disponible sobre él: post-it, notas, correo electrónico y otras comunicaciones como aplicaciones de chat, siempre dentro de lo que es el ámbito de trabajo.

¿Lo mejor que podemos hacer? Ser respetuosos, profesionales y cuidadosos con la información personal que manejemos, en cualquier entorno. Es fácil que, especialmente si tenemos confianza con nuestros compañeros, se den situaciones en las que tendemos a relajarnos o adoptar un tono más informal, -todos lo hacemos- pero no debemos olvidarnos de que los datos que intercambiemos no solo son material de trabajo, sino lo que hagamos con ellos puede afectar a la persona que hay detrás.

Directrices del Comité Europeo de Protección de Datos

Además de todo lo que ya te hemos contado, el Comité Europeo de Protección de Datos también cuenta con unas directrices y pautas relativas al derecho de acceso. Aunque aún no está vigente el texto definitivo, hay puntos a destacar:

• El derecho de acceso es clave para proporcionar a la persona información suficiente, transparente y de fácil acceso sobre sus datos.

• Si bien facilita el ejercicio de los otros derechos de protección de datos, no es condición previa para poder ejercitarlos.

• Ante una solicitud de este tipo, es fundamental valorar: quién la hace, si va referida a datos personales, y si abarca todos o solo parte de los datos del interesado.

• Hay que garantizar que el acceso a los datos se hace de manera concisa, transparente e inteligible.

• Ningún derecho es absoluto, siempre hay limitaciones y restricciones. Tampoco puede servir para afectar a los derechos y libertades de otros.

• Por último, también recoge la posibilidad de que los responsables de tratamiento puedan rechazar o cobrar una tarifa razonable por solicitudes que consideren manifiestamente infundadas o excesivas. Eso sí, sin menoscabar los derechos gratuitos de los interesados.

Y, como somos buenos, cerramos con unos consejitos extra:

Si alguien ejercita sus derechos de protección de datos ante ti, es clave:

  1. Proporcionar una respuesta. Incluso aunque se deniegue el derecho, o no se reconozca ampliamente, sí o sí hay que responder.
  2. Responder en plazo. Un mes, desde que se ejercitó el derecho.
  3. No solo responder, sino hacerlo adecuadamente. Es decir, de forma íntegra, fundamentada y bien justificada

/0 Comentarios/por

Cumplir con la protección de datos en tu club de fútbol

Si has llegado hasta este artículo, muy probablemente tienes relación con algún club o equipo de fútbol. Ya sea porque eres uno de los jugadores, su presidente o incluso la persona que se asegura de que se cumpla con la protección de datos dentro del mismo, este post te interesa.

La protección de datos es una materia que aplica prácticamente en todos los ámbitos de nuestra vida, y el deportivo no es una excepción. Es importante saber qué papel juega la normativa en este sector y, por ello, en este artículo repasamos algunas recomendaciones básicas al respecto.

La protección de datos personales en España

En nuestro país, contamos con dos normas de referencia en protección de datos personales:

Ambas normas están en vigor desde el año 2018, pero aún nos encontramos con que, en algunos clubs, hay mucha tarea pendiente. Es importante que el club revise periódicamente su documentación y los cambios hechos en ella, para asegurar que se está cumpliendo con la normativa vigente.

Una pista sobre esto: la antigua ley de protección de datos existente en España era la LOPD 15/99. Esta norma ya no aplica y, sin embargo, todavía sigue apareciendo en muchos sitios (y esto está mal). Si encuentras alguna mención a ella en tus documentos o formularios, es una señal de que hay que ponerse al día.

El derecho de información en equipos y clubs de fútbol

Uno de los principales derechos protección de datos es el de información, el de saber qué ocurre con nuestros datos personales. Y es, al mismo tiempo, un deber, pues el club o equipo asume la obligación de proporcionar esa información a aquellos con quienes se relaciona.

Son muchas las vías a través de las que puede cumplirse con esto:

  • Formularios, sean en papel o en formato digital
  • Documentos de inscripción, preinscripción o similares
  • Contratos
  • Acuerdos de confidencialidad
  • Políticas de privacidad publicadas en web o portales del club
  • Licencias deportivas o similares
  • Bases legales de cursos o eventos organizados por el club

Lo importante es recordar que siempre que se recojan datos personales, hay que proporcionar información sobre su uso.

¿Por qué aplica la protección de datos a clubs y equipos de fútbol?

Un dato personal es cualquier información que nos sirve para identificar a una persona y su tratamiento exige cumplir con la normativa de protección de datos. Por ejemplo, un club trata datos de:

  • Los propios jugadores
  • Los entrenadores u otros colaboradores similares
  • Voluntarios
  • El Presidente, Vicepresidente y otros miembros de órganos de gobierno
  • Trabajadores del club
  • Proveedores del club
  • Muchos otros: alumnos inscritos en cursos, participantes en eventos o sorteos organizados por el club, etc.

Es importante tener esto en cuenta porque dentro de cada uno de esos grupos hay personas que tienen derechos en materia de privacidad, y el club debe velar por que se cumpla con la normativa en la relación con cada uno de ellos.

¿Puede el club acceder a datos de salud de sus jugadores?

Es razonable que un club de fútbol necesite acceder a determinada información sobre la salud de sus jugadores (o de otras personas implicadas). Esto sirve para comprobar que se encuentran en condiciones óptimas de salud, evitar incidentes y también para prevenir situaciones prohibidas, como el dopaje.

Los datos de salud entran dentro de los que la normativa considera “sensibles” o de categoría especial. Si ya de por sí hay que ser respetuoso con cualquier información sobre una persona, con este tipo de datos aún más.

Si bien el club puede acceder a datos de salud, es indispensable:

  • Tratar solo aquellos datos de salud que sean estrictamente necesarios y no cualesquiera otros
  • Procurar que sean conocidos únicamente por quien esté autorizado para ello, evitando el acceso de terceros
  • Aplicar medidas de seguridad que aseguren su protección y eviten su filtración
  • Cuando dejen de ser necesarios, valorar cómo se prescinde de ellos

¿Puede el club publicar información en web, RRSS y otros medios?

El fútbol es uno de los deportes más populares del mundo y que más interés despierta entre sus seguidores, que quieren estar al día sobre todo lo relacionado con su equipo. En este sentido, es lógico que aparezca información sobre el club y sus jugadores en página web, redes sociales y en medios de comunicación.

Si tu club tiene página web, es otro de los puntos en que aplica la normativa de protección de datos, pues debe estar adecuada y contar con sus textos y demás requisitos legales.

Si se va a publicar información o imágenes de los jugadores en redes, hay que valorar siempre qué es necesario publicar y qué no, es decir, qué cosas tienen realmente interés informativo. Es razonable que se haga pública información de interés para el club y sus seguidores, pero si hablamos de otros temas que salen de este estricto ámbito -por ejemplo, la vida personal de cada uno- siempre es conveniente valorar si tiene sentido darle difusión o no. O si, en su caso, hay obligación de ello, pues sabemos que a veces los clubes tienen que informar de sanciones, expulsiones u otras medidas de disciplina aplicadas a los jugadores.

Lo que hay que recordar es que, detrás la información, hay personas con derechos y siempre se pueden aplicar medidas para procurar su protección. Por ejemplo: si es posible, usar iniciales en lugar de un nombre completo. La protección de datos no está reñida con el derecho que todos tenemos a estar informados y recibir noticias. Y, por ello, hay formas de que coexistan

Menores de edad en equipos de fútbol

Todas las recomendaciones que hemos venido nombrando en este post aplican especialmente a los menores de edad, pues son mucho más vulnerables.

Cuando el club trate datos de menores de edad, también tiene que cumplir con el RGPD y la LOPDgdd, con aún más cuidado. Y esto aplica especialmente a algo ya comentado: las publicaciones en redes u otros medios. Por ejemplo, en 2021 la AEPD multó con 10.000 euros a un club deportivo por publicar fotos de una menor sin contar con autorización de ambos progenitores.

En protección de datos, cuando un niño alcanza la edad de 14 años, ya tiene derecho a consentir (con carácter general) sobre el tratamiento de sus datos personales. Si el niño es menor de 14, el consentimiento o autorizaciones necesariamente tendrá que venir de quienes tengan su patria potestad o tutela.

Relación con otros clubs o federaciones

En fútbol, es constante la relación entre equipos o incluso con federaciones o asociaciones deportivas. Y, como parte de esto, también es constante el intercambio de datos entre unos y otros.

Estas comunicaciones, en muchos casos, no solo están justificadas, sino que son necesarias para el normal desarrollo del equipo. Pero ello no quiere decir que pueda hacerse de cualquier manera: hay que ver qué se comunica, a quién, si hay que informar de ello, si hay que obtener un consentimiento, cómo se va a hacer, etc.

En cuanto a las federaciones o similares, puede ocurrir te exijan determinados requisitos de cumplimiento normativo o que tu club tenga que utilizar cláusulas, formularios u otros contenidos de protección de datos facilitados por éstas.

En Dataseg, asesoramos a alguna federación de futbol y estamos muy familiarizados con su funcionamiento y con el día a día de los clubs. Y precisamente sabemos que un solo artículo de nuestro blog, si bien es útil, no basta para hablar de todo lo que hace falta.

Si te preocupa que tu club de fútbol cumpla con la protección de datos, puedes contactar con nosotros para recibir asesoramiento a medida.

P.D. En este artículo nos hemos centrado en el fútbol, pero lo que aplica para éste, también lo hace para los demás deportes. Si lo tuyo es el baloncesto, el hockey o el tenis, también estamos a tu plena disposición.

/0 Comentarios/por

Protección de datos en ehealth e investigaciones científicas

El post de hoy se centra en un tema con muchísimas implicaciones y que requiere de sumo cuidado y atención: la protección de datos en investigaciones científicas y eHealth.

¿Qué tienen en común todas estas cosas entre sí? ¿Por qué importa la protección de datos? Recordemos que un dato personal es cualquier información que identifica -o hace identificable- a una persona. Y que, entre esa información, nos encontramos, por supuesto, con los datos de salud, que muchas veces hacen parte de trabajos de investigación, ensayos y desarrollos relacionados con eHealth.

Por todo ello, es fundamental entender cuándo estamos ante un tratamiento de datos, qué hay que cumplir y cómo hacerlo

¿Cuándo aplica la normativa de protección de datos a un proyecto de investigación?

En España, en cuanto a protección de datos, tenemos dos normas de referencia:

  • El Reglamento Europeo de Protección de Datos (RGPD)
  • La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDgdd)

Estas dos normas son de obligado cumplimiento siempre que tratemos información personal que pueda llegar a identificar a su titular.

En el ámbito de investigaciones y trabajos biomédicos principalmente deberemos tener en cuenta la Ley 41/2002 básica eguladora de la autonomía del paciente y la Ley 14/2007 de Investigación biomédica.

Si estamos desarrollando una solución de ehealth, o llevando a cabo un trabajo de investigación y manejamos datos personales, estamos sujetos a la normativa y toca cumplirla.

Un recordatorio a tener en cuenta: los datos, aun seudonimizados, continúan siendo datos personales. Por ejemplo, un número o código de empleado se puede contrastar con una base de datos y nos permite saber qué persona hay detrás del mismo. La seudonimización actúa, meramente, como una medida de seguridad, pero no evita la sujeción a la normativa. Nota: la sentencia reciente en el caso EU General Court in Case T-557/20, SRB v EDPS podemos apreciar una ligera variación que en algunos casos considera esta acción anonimización.

Datos de categoría especial: cuáles son y qué exige la normativa

El tema de la protección de datos en los ámbitos descritos tiene mucha importancia porque, por lo general, las investigaciones y trabajos de este tipo implican el tratamiento de datos de salud.

¿Y por qué es relevante esto? Porque ese tipo de datos se incluyen dentro de los que la norma llama sensibles o de categoría especial que, entre otros, son:

  • Datos genéticos
  • Datos biométricos dirigidos a identificar a una persona
  • Datos sobre salud

Si tu trabajo o investigación recae sobre alguna de las informaciones dadas, es indispensable que, antes de iniciarlo (o, si ya lo has hecho, de seguir avanzando), veas cómo cumplir la normativa.

Y es fundamental hacer esto porque, con carácter general, el tratamiento de datos sensibles está prohibido por norma, si bien hay excepciones que levantan esa prohibición. No entraremos en cada una de ellas, pero sí en algunas que pueden ser interesantes para el tema que aquí tratamos:

  • Que la persona haya dado su consentimiento
  • Que el tratamiento de esos datos sea necesario con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
  • Por fines de medicina preventiva o laboral o interés público en el ámbito de la salud pública

Derecho de información de los participantes en el estudio

Como siempre decimos, la protección de datos no busca salvaguardar el “dato” como tal. La información, por sí misma, no tiene valor: lo que lo tiene es la persona que hay detrás de ella.

Uno de los derechos más elementales en protección de datos -y que es, a su vez, un deber- es el de información: el derecho que tiene la persona a saber, de forma transparente, sencilla y clara, qué se hace con sus datos personales.

En una investigación o trabajo de este tipo, es primordial:

  • Proporcionar al interesado la información sobre el tratamiento de datos
  • Con carácter general, esta obligación la tiene que cumplir la Universidad o centro docente de que se trate, a través de sus investigadores, docentes o similares.
  • En un estudio en que participen menores de 14 años, se informará a sus representantes. Con menores de edad mayores de 14 años, la información se adaptará para que sea accesible a estos.

El consentimiento y otras bases jurídicas aplicables

Siempre que sea posible, en un trabajo o investigación, lo preferible será evitar tratar datos personales. Pero, si es necesario tratarlos, es indispensable que se haga bien, y una parte fundamental de esto es buscar una base legal adecuada.

La base jurídica más conocida para el tratamiento de datos personales es el consentimiento, pero no es la única que existe. Sin embargo, para los trabajos de investigación, especialmente si implican datos sensibles, con carácter general será la más adecuada, lo que supone que tendrá que ser obtenido de los participantes (En la Ley 14/2007 es la que recoge la Ley como base legitimadora).

¿Qué características tiene que tener el consentimiento?

  • Inequívoco, en el sentido de ser una clara acción afirmativa
  • Libre, prestado sin coacción o condiciones, voluntariamente
  • Recogido de forma clara, sencilla
  • Capaz de ser probado
  • Revocable, pudiendo ser retirado en cualquier momento

En cualquier caso, como hemos dicho, no es el consentimiento lo único que nos habilita para tratar datos personales, pues el RGPD contempla (art. 6) otras opciones. Así, en un trabajo o investigación, podríamos llegar entender que existe un interés público o incluso una relación contractual. Pero todo esto hay que analizarlo caso por caso, con un equipo especializado, y antes de empezar a trabajar.

Antes, durante y después del proyecto: cómo cumplir la normativa

Como pautas generales de cumplimiento para cada fase del proyecto, desde su comienzo a su fin, te damos algunos tips clave:

Antes del proyecto

En protección de datos, hay un concepto de vital importancia, que es el de “privacidad desde el diseño”, según el cual los tratamientos de datos hay que diseñarlos y preverlos antes de empezar a llevarlos a cabo, y no al revés.

En un proyecto o investigación, debes plantearte qué quieres hacer, si lo que vas a hacer implica tratamiento de datos personales o no y cómo vas a asegurar que ese tratamiento se desarrolle de forma cumplidora. Una forma de hacer esto es valorando el riesgo y potencial impacto que el proyecto puede suponer para los derechos de los participantes.

Durante el proyecto

Es fundamental que, mientras el proyecto se desarrolla, te asegures de cumplir todas las obligaciones y recomendaciones que hemos venido dando. Por ejemplo, y con especial importancia, brindando información a los participantes y recogiendo -puede ser mediante formulario- los consentimientos necesarios.

Monitorizar continuamente el entorno interno y externo de la organización es otro paso a aplicar, así como ser consciente de los cambios en la normativa. También, aplicar medidas de prevención, de formación y de recuperación ante ataques e involucrar a todos los intervinientes, a fin de que cada uno de ellos esté haciendo lo correcto para proteger la privacidad de los usuarios mientras se desarrolla el proyecto.

Si surge cualquier incidente o cambio, es necesario estar preparado para darle una respuesta. Y estas obligaciones deben perdurar y mantenerse estables mientras se desarrolla el mismo.

Después del proyecto

Las obligaciones de privacidad y confidencialidad contraídas no terminan una vez el proyecto o investigación ha concluido, pues permanecen vigentes. Debes asegurarte de que todo aquello que se ha hecho para cumplir no caiga en saco roto una vez que la investigación finaliza.

También es el momento idóneo para ver qué ocurre con los datos que ya no necesitas: si debes o no debes conservar algo, si has de devolver información, si tienes que destruirla (y, en su caso, de qué manera).

Todo proyecto y todo tratamiento de datos es un mundo, por lo que, caso por caso, tocará analizar y definir lo que sea necesario.

Medidas de seguridad sobre los datos personales

Es preciso disponer de medidas y sistemas de seguridad que aseguren, sobre todo, medios robustos de comunicación y transmisión de los datos personales. Es fundamental analizar qué herramientas o requisitos necesitamos para asegurar que la información personal que cae en nuestras manos está segura.

Esto pasa por exigir la firma de acuerdos de confidencialidad, evaluar la seguridad de los sistemas informáticos, controlar los accesos y privilegios o a quién se le envía información. Y, a nivel privacidad, hay dos instrumentos básicos que la norma regula:

  • El análisis de riesgos: implica evaluar el riesgo que la acción llevada a cabo supone en cuanto a privacidad. Pasa por describir el propio tratamiento, identificar cuáles son los factores de riesgo y el nivel del mismo, determinar la forma de tratarlo y las concretas medidas de control a aplicar.
  • La evaluación de impacto: esta acción no es obligatoria en todos los tratamientos de datos, pero sí en algunos de ellos, por lo que es necesario identificar si tu trabajo requiere de la misma o no. Te adelantamos que, si tu proyecto o investigación implica datos de salud o biomédicos, esta evaluación es obligatoria.

¿Lo anterior te deja con más dudas que antes de empezar a leer? Es normal, dado que este ámbito es muy complejo, y hay muchas preguntas que tener en cuenta. Podríamos dedicarle muchos artículos al tema, pero también puedes preguntarnos lo que necesites.

Datos de salud y tecnología: eHealth y la vigilancia sobre los usuarios

Entendemos por “eHealth” o “eSalud” cualquier atención o vigilancia de la salud enfocada desde la aplicación de tecnologías de la comunicación o la información.

Un teléfono móvil, por ejemplo, permite acceder prácticamente a cualquier información sobre la vida de su portador. Y, evidentemente, no nos comportamos igual cuando sabemos que nos vigilan, vigilancia que, además, nos hace vulnerables.

No entraremos en exceso en este tema, pues también tiene lo suyo. Pero sí es fundamental saber que un proyecto de estas características, sí o sí, debe cumplir con las acciones y mínimos recogidos en este artículo. Y, más allá de ello, no hay que olvidar que al mismo tiempo que se resuelve un problema o desafío médico, se hace frente a un desafío desde el punto de vista de la privacidad: son conceptos que, inevitablemente, van de la mano.

Hay mucha tecnología que permite hacer que ambas ideas coexistan y funcionen; lo que hemos de lograr es buscar soluciones que ofrezcan respuestas transparentes y proporcionales e ir construyendo, progresivamente, una cultura de protección de la privacidad.

Mantener la información de la persona protegida y asegurar su confidencialidad es fundamental, especialmente si hay riesgo de que esa información sea usada para estigmatizarla o discriminarla.

Antes de irnos, te dejamos este enlace, en el que puedes consultar todo lo que la AEPD ha publicado sobre investigación sanitaria y ensayos clínicos.

/0 Comentarios/por

Protección del denunciante en la Administración pública y entidades dependientes

,

La recién llegada ley “whistleblowing” ha generado mucho revuelo en las empresas, pero no hay que olvidar que también afecta a la Administración Pública. Esta nueva norma está dando mucho que hablar, tanto que en Dataseg ya hemos publicado dos artículos al respecto: un resumen de puntos clave y un post con sus implicaciones en protección de datos.

En esta nueva entrega, analizamos la ley desde el punto de vista de su impacto en el sector público, centrándonos en algunos aspectos que nos parecen fundamentales.

Entidades del sector público obligadas a tener un sistema de denuncias

Como ya te hemos contado en anteriores artículos, esta ley nace con el objetivo de obligar a determinadas entidades a contar con un sistema interno de denuncias, así como con el fin de proteger a quienes hagan uso del mismo.

¿A quiénes aplica esta obligación dentro del sector público? La norma es muy clara en este sentido, pues en su art. 13 señala que afecta a “todas las entidades que integran el sector público”. Por si acaso, la ley especifica:

• Administración General del Estado
• Administración de las Comunidades Autónomas
• Ciudades con estatuto de autonomía
• Administración Local
• Organismos y entidades públicas vinculadas o dependientes de la Administración
• Asociaciones y corporaciones en las que participen Administraciones y organismos públicos
• Autoridades administrativas independientes
• El Banco de España
• Entidades gestoras y servicios comunes de la Seguridad Social
Universidades públicas
Corporaciones de Derecho público
Fundaciones del sector público
Sociedades mercantiles con participación de capital público superior al 50%
• Órganos constitucionales o de relevancia constitucional

Es importante tener en cuenta este listado, dado que, desde la llegada de la ley -te recordamos que está en vigor desde el pasado 13 de marzo– se ha extendido mucho la idea de que solo aplica a empresas con más de 50 trabajadores.

Pero su alcance no queda ahí, por lo que si tu entidad encaja en lo indicado, es importante que tengas en cuenta que debes disponer del canal de denuncias.

¿Hay particularidades para alguna entidad pública?

La ley prevé una serie de particularidades, por ejemplo, para los municipios con menos de 10.000 habitantes, que pueden compartir el sistema de denuncias con otros municipios o administraciones de la Comunidad Autónoma.

También pueden hacer lo propio las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales y que tengan menos de cincuenta empleados, que podrían compartir su sistema con la Administración de que dependen.

Lo anterior, en todo caso, debe hacerse asegurando la independencia entre sistemas y la facilidad y transparencia para el ciudadano.

El DPO en el sistema de denuncias

Si bien la obligación e nombramiento del delegado de protección de datos que aparecía en el borrador de Ley para que quienes debieran cumplir esta normativa tuvieran también deben nombrar un DPO se eliminó de la Ley, sigue en sus considerandos. Además de lo anterior, el DPO una de las figuras con capacidad de acceso a los datos personales recogidos en el canal de denuncias.

Te recordamos que el DPO es una figura que existe en el marco de la protección de datos, fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de:

• Información y asesoramiento
Supervisión de cumplimiento normativo
• Asignación de responsabilidades
• Formación del personal
• Realización de auditorías
Cooperación con la autoridad de control

Este es uno de los servicios que prestamos desde Dataseg, así que puedes contactar con nosotros en caso de necesitar más información.

Cumplir con el Esquema Nacional de Seguridad

Por último, no queremos perder la oportunidad de recordarte la importancia del Esquema Nacional de Seguridad (ENS) para las entidades de la Administración Pública.

El ENS es una normativa que establece la política de seguridad el uso de medios electrónicos relacionados con la Administración Pública, con el fin de que la información, las comunicaciones, los servicios y los sistemas estén correctamente protegidos. Así, el ENS busca crear unas condiciones de confianza entre Administración y ciudadano, mediante el establecimiento de medidas de seguridad adecuadas.

Y es fundamental tener cumplir con el ENS en cualquier actuación que lleve a cabo la Administración en el ámbito electrónico, y ello incluye la creación y posterior gestión de los canales de denuncias, que deberán ajustarse a los criterios y requisitos mínimos de esta normativa.

/0 Comentarios/por

Cómo cumplir con la protección de datos en un sistema interno de denuncias

Hace unos días, contábamos en nuestro blog algunos de los puntos clave sobre la nueva Ley Whistleblowing o de protección a quienes denuncien internamente una infracción en un lugar de trabajo, en vigor desde el pasado lunes 13 de marzo.

Ahora, en este nuevo post, vamos a centrarnos en qué hay que tener en cuenta desde la protección de datos en la implantación de un canal de denuncias.

El objetivo de la ley “whistlebowing”

Como ya sabes, esta nueva norma se dicta con el fin de proteger adecuadamente a quienes denuncien, de forma interna, alguna situación ocurrida en el entorno laboral. Esto implica, de todas todas, que intervengan datos personales:
• Por una parte, del propio denunciante
• Por otra, del denunciado
• Eventualmente, de terceros implicados

Desde el momento en que entran datos personales en juego, toca cumplir con la normativa de protección de datos: en nuestro caso, principalmente con el RGPD y la LOPDgdd.

Qué dice la normativa de protección de datos sobre estos sistemas

Esta idea ya se prevé en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, concretamente en su artículo 24.1:

«Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable»

Licitud del tratamiento

No importa si controlas más o menos sobre protección de datos; pero siempre es fundamental recordar que todo tratamiento de datos personales, debe realizarse de forma lícita (art. 6 RGPD), es decir, que debe contar con justificación o base jurídica que lo ampare.

El tratamiento de los datos asociados al canal de denuncias, para quienes están obligados por ley a crearlo, estará basado por tanto en la existencia de esa obligación legal (art. 6.1.c, RGPD). Para quienes no tengan tal obligación, pero libremente decidan implantar un sistema, la base jurídica más favorable parece ser la existencia de un interés público.

¿Cómo me aseguro de que mi sistema de denuncias cumple con la protección de datos?

En Dataseg, hemos hecho un recorrido de principio a fin por toda la ley para localizar cualquier aspecto de utilidad a nivel protección de datos.

En líneas generales, es fundamental que un sistema de denuncias se construya atendiendo a las siguientes obligaciones:
• Garantizar la seguridad del denunciante y su confidencialidad
• Ser utilizado solo por las personas que la ley dispone
• Impedir el acceso a personal no autorizado
• Si un tercero -por ejemplo, un prestador de servicios- interviene en su gestión, debe suscribirse el correspondiente contrato de encargo
• Garantizar los derechos del denunciante, que podrá comprobar, rectificar y aceptar la información vertida.
• Informar al denunciante de que su identidad será reservada y no difundida
• Centrarse solo en los datos necesarios para gestionar la infracción

Una figura clave en protección de datos: el DPO o DPD

Recuperando información que ya tratamos en nuestro primer post sobre este tema, en la exposición de motivos de la ley “whistleblowing” se establece que aquellas entidades que estén obligadas a disponer de un sistema de denuncias, también deben nombrar un delegado de protección de datos, DPO o DPD. Aunque finalmente en el artículado solo hacen mención a las autoridades que surjan, lo cierto es que esta figura es una de las pocas que recoge la Ley con capacidad para acceder a los datos recogidos en el sistema de denuncias, por eso aunque no sea obligatorio, es recomendable su nombramiento.

Esta figura es importantísima en el marco de la protección de datos, pues fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de:
• Información y asesoramiento
Supervisión de cumplimiento normativo
• Asignación de responsabilidades
• Formación del personal
• Realización de auditorías
Cooperación con la autoridad de control

¿Qué criterio tiene la AEPD sobre todo esto?

En octubre de 2021, la Agencia Española de Protección de Datos publicó un artículo muy interesante y práctico sobre privacidad en sistemas de denuncia o “whistleblowing”. Aquí te dejamos el enlace para que puedas leerlo íntegramente, pero, como puntos clave, la AEPD señala que este sistema debe:
• Ser informado a los trabajadores
• Cumplir con los principios de proporcionalidad y limitación
Proteger los datos personales del denunciante
• Tener un acceso limitado
• Garantizar los derechos de los interesados
• Respetar los plazos de conservación y eliminación de datos

¿Cuánto tiempo deben conservarse los datos en el sistema de denuncias?

Si has leído atentamente el punto anterior, verás que una de las indicaciones de la AEPD sobre estos sistemas se refiere a la conservación y eliminación de datos. ¿Qué nos dice la nueva norma sobre esto? En concreto:

• No deben tratarse datos personales que no sean necesarios para el conocimiento e investigación de la situación denunciada. Si esto ocurre, debemos borrarlos de inmediato.
• Los datos que sí proceda usar, se guardarán solo durante el tiempo imprescindible para decidir si se inicia una investigación.
• Si se comprueba que la información no es veraz, también debe procederse a su inmediato borrado, salvo que pueda haber indicios de un ilícito penal.
• En todo caso, si han transcurrido tres meses desde que se recibieron los datos y no se ha iniciado una investigación, deberá procederse al borrado.

Hasta aquí, nuestra lista de puntos a tener en cuenta desde la protección de datos en la implantación del canal de denuncias. Visto lo visto, está claro que ambos conceptos van de la mano y que, si queremos evitar correr riesgos por incumplimiento, debemos prestar atención a todas las obligaciones mencionadas.

Como siempre, si te has quedado con ganas de más o necesitas asesoramiento especializado, te invitamos a ponerte en contacto con nosotros o solicitar un presupuesto.

/0 Comentarios/por

Te presentamos al DPO: qué es y cómo saber si debes nombrarlo

Algunos artículos atrás, te hablamos de la recién llegada “ley Whistleblowing” y, con ella, de la obligación para algunas entidades de nombrar un Delegado de Protección de Datos. Pero, hasta ahora, no hemos dedicado ninguno de nuestros posts a hablar precisamente de esta figura; el Delegado de Protección de Datos, también llamado DPO o DPD.

Como se suele decir: mejor tarde que nunca. Así que, aferrándonos a este dicho, hoy te hablamos de esta figura creada por el RGPD, sus funciones y si es obligatorio contar con uno o no.

Primero, lo primero: ¿qué es un Delegado de Protección de Datos?

Como ya te adelantábamos, el delegado de protección de datos, DPD o DPO, es una figura creada por el RGPD, que lo regula entre sus artículos 37 y 39. El DPO es la persona física o jurídica que se encarga de velar por que dentro de una organización se cumpla con la normativa de protección de datos y, para ello, supervisa todo lo relacionado con ella.

Ojo al dato: puede ser una persona física o jurídica, y puede formar parte, o no, de la organización. Por ejemplo; si tienes una empresa, puedes, a su vez, contratar a otra empresa o persona especializada para que sea el DPO de la tuya (éste, por ejemplo, es uno de los servicios que prestamos en Dataseg).

También es importante saber que, aunque hay muchos cursos, e incluso un examen oficial de certificación de DPO, no se exige que un delegado de protección de datos tenga ninguna formación específica; pero siempre es recomendable que tenga conocimientos jurídicos, dadas las características de su cargo.

¿Cuál es la función de un delegado de protección de datos?

El DPO es el “vigilante” de la protección de datos y de su cumplimiento dentro de una organización. Para ello, tiene asignadas unas funciones claras, que son:

  • Informar y asesorar sobre las obligaciones que, en virtud de la normativa vigente reguladora de la protección de datos, hay que cumplir
  • Supervisar ese cumplimiento. Para esto, el DPO puede asignar responsabilidades a otros sujetos, impartir formación, concienciar a los empleados e incluso realizar auditorías
  • Asesorar acerca de la realización de evaluaciones de impacto relativas a la protección de datos
  • Cooperar con la autoridad de control. En nuestro caso, la AEPD. Así como actuar como punto de contacto con ésta, por ejemplo, cuando hay consultas relativas al tratamiento de datos.

Aunque esas son las funciones que, en concreto, recoge el RGPD, evidentemente se abre un abanico de posibilidades; pues cualquier cuestión que tenga relación con protección de datos en la organización, debería pasar necesariamente por el conocimiento y supervisión previa del DPO.

¿Cuándo es obligatorio designar un DPO?

El RGPD recoge tres supuestos concretos en los que es preciso contar con esta figura:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales.
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos de datos relativos a condenas e infracciones penales.

Pero, además, la LOPDgdd 3/2018 recoge una lista tasada de otras situaciones que requieren del nombramiento de un DPO. Son muchas, y no las enumeraremos todas, pero esta relación incluye, por ejemplo, a los colegios profesionales o los centros docentes. Puedes consultar el listado completo en el artículo 34 de la norma, que aquí enlazamos.

Y no podemos olvidarnos de la recién llegada Ley Whistleblowing, de la que ya te hemos hablado en artículos anteriores, que está en vigor desde el pasado 13 de marzo.

Esta nueva norma recoge la obligación, para un considerable número de entidades públicas y privadas, de contar con un canal interno de denuncias y de nombrar un delegado de protección de datos. Con carácter general, esta obligación afecta a:

  • Personas físicas o jurídicas con más de 50 trabajadores
  • Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que manejen fondos públicos
  • Empresas en el ámbito de servicios, productos y mercados financieros; prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente
  • Todas las entidades que integran el sector público, aunque con excepciones para municipios, administraciones o entidades pequeñas.

Si piensas que tu organización puede encajar en alguno de los supuestos contemplados, es importante que revises si necesitas contar con un DPO.

¿Qué pasa si no cumplo con las normas que regulan la figura del DPO?

Tanto el RGPD como la LOPDgdd disponen de un marco sancionador, asociado a infracciones en materia de protección de datos, que se estructuran y clasifican conforme a su gravedad. De entre las diferentes situaciones que pueden darse en el panorama del incumplimiento normativo, hay algunas que se relacionan directamente con la figura del Delegado de Protección de Datos.

Infracciones relacionadas con la figura del DPO

Los artículos 73 y 74 de la LOPDgdd recogen que las siguientes infracciones relacionadas con la figura del DPO, con independencia del periodo de prescripción, podrán sufrir una multa administrativa de entre 0 y 10 millones de euros, o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior (conforme el artículo 83.4)

  1. No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la AEPD cuando su nombramiento sea exigible (art. 74.p LOPDgdd). ¡Ojo! Tienes que tener este punto en cuenta: cuando designes un DPO, debes notificarlo a la AEPD para que conste en su registro.
  2. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento. (art. 73. LOPDgdd)
  3. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones (art. 73. LOPDgdd)

Hasta aquí nuestra presentación de esta figura que el RGPD creó hace ya unos años, y con la que todavía parece que, en algunos casos, no estamos del todo familiarizados.

Si te has quedado con dudas o necesitas un asesoramiento personalizado, te invitamos a ponerte en contacto con nosotros o a dejarnos un comentario.

¡Gracias por leernos y hasta la próxima!

/0 Comentarios/por

Nuevo registro de clientes del RD 933/2021 en establecimientos turísticos y alquiler de vehículos

Leer más
/0 Comentarios/por