Medidas de protección de datos en las Administraciones Públicas: Convergencia con Esquema Nacional de Seguridad

23 febrero, 2018 | GDPR Legal | , , ,

Hasta ahora ha sido relativamente fácil conocer las medidas de seguridad que cualquier entidad debía aplicar en su organización. Esto venía determinado por la sensibilidad de los datos tratados (art. 81 RDLOPD), que podían ser de nivel básico, medio o alto, y dependiendo del sistema utilizado para su gestión (automatizada, manual, o mixta).

Esto cambia radicalmente con el Reglamento Europeo de Protección de Datos (RGPD), ya que no únicamente se valora la sensibilidad del dato, sino que se consideran otras variables y se introducen las “categorías especiales de datos”, donde se consideran entre otros, el volumen de los datos tratados, los tratamientos automatizados que se van a realizar, la existencia de datos de menores, etc.

Asimismo, se introduce el término Accountability que tendría su traducción en Responsabilidad proactiva. En este sentido, el legislador en el nuevo RGPD no facilita un listado de medidas de seguridad, sino que delega esta directriz al Responsable del Tratamiento, el cual, en conocimiento de su organización y basándose en la gestión del riesgo, determinará las medidas de seguridad más adecuadas que deberá adoptar su organización.

Esto también significa que las actuales medidas de seguridad que se están aplicando sobre los sistemas de información, pueden ser suficientes (o no, dependiendo del resultado de la evaluación de impacto en la privacidad), pero en cualquier caso, se va a tener que justificar la elección de dichas medidas, argumentando de forma justificada cómo su aplicación repercute en la gestión del riesgo identificado.

En el caso del sector público, este análisis se simplifica relativamente, y es que la disposición adicional primera del proyecto de Ley Orgánica de Protección de Datos, indica que:

Disposición adicional primera. Medidas de seguridad en el ámbito del sector público.

El esquema nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos de carácter temporal, para evitar su perdida, alteración o acceso no autorizado, adaptando los criterios de denominación del riesgos en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.

La nueva Ley de Protección de Datos, con ello viene a decir que, el sector público, ya tiene un listado previamente autorizado de las medidas de seguridad que tiene que aplicar para proteger los datos de carácter personal: aquellas medidas de seguridad que le son de aplicación en el Real Decreto 3/2010, de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).

Estas medidas de seguridad se encuentran identificadas en el Anexo II del Esquema Nacional de Seguridad (ENS) y se dividen en tres marcos: organizativo, operacional y medidas de protección.

Las medidas de seguridad indicadas son acumulativas, de manera que para los sistemas de información catalogados de nivel bajo, serán de aplicación 40 medidas, para los sistemas de información catalogados de nivel medio, le aplicarán 60, mientras que para los sistemas de información catalogados de nivel alto, le serán de aplicación la totalidad de las medidas, es decir, las 75.

Vídeos de nuestra Cumbre AEC RGPD/LOPD/DPD

19 febrero, 2018 | DPD DPO

¿Estamos preparados para el nuevo Reglamento General de Protección de Datos?

La Cumbre AEC RGPD/LOPD/DPD fue una cita en la que reunimos a más de 250 profesionales para resolver las dudas en torno a la nueva figura del Delegado de Protección de Datos y conocer las distintas perspectivas y novedades que traerá la aplicación del nuevo Reglamento General de Protección de Datos (RGPD).

La cita, que se celebró el  pasado 7 de febrero,  comenzó con una bienvenida institucional del presidente de la AEC, Miguel Udaondo, que explicó a los asistentes por qué la AEC habla de protección de datos. En concreto destacó que “el nuevo  concepto de la calidad Qin  está presente en todas las áreas funcionales de una organización y, por tanto, ya no solo hablamos de calidad, sino de otros ámbitos transversales de una organización, como la protección de datos”. Udaondo, explicó las actividades que, en materia de protección de datos, estamos desarrollando la AEC y su partner estratégico Govertis, como la puesta en marcha de programas formativos, este blog y hemos iniciado el proceso para poder certificar a profesionales como DPD, a través del CERPER.

La primera intervención fue la de Marta Villanueva, directora general de la AEC, quien puntualizó en su intervención en qué consiste el nuevo marco conceptual de la Calidad Qin. Es una disciplina CALIDAD que agrupa, relaciona e interconecta a todas las disciplinas que vertebran a las organizaciones.

Para la AEC, la Calidad Qin es capaz de abordar las cuestiones más candentes, preocupantes y relevantes, tanto para las empresas como para los ciudadanos como es el Reglamento General de Protección de Datos y la nueva figura del Delegado de Protección de Datos”.

Eduard Chaveli de Govertis explicó las “luces y sombras” del nuevo Reglamento (RGPD). “Con el nuevo RGPD, no todo cambia. Van a convivir nuevos y viejos conceptos”. Y puntualizó que “la `dovela’ del RGPD es el concepto del tratamiento de los datos”.

A lo largo de su intervención, Eduard Chaveli  realizó una comparación entre la LOPD y  el RGPD en las cuestiones esenciales que se deben contemplar. Y, finalizó su intervención,  explicando las cualidades de la nueva figura del Delegado de Protección de Datos y puntualizó que “con tantas cualidades que se exigen  tiene ser un superman/woman”. En esta línea, destacó la importancia de la certificación en este campo, algo que no es obligatorio pero “es muy recomendable contar con un aval de las habilidades profesionales”.

La Cumbre contó con una mesa redonda moderada por Francisco R. González-Calero de Govertis. Esta mesa reunió Israel Gómez de Telefónica; Miguel Pérez, asociación de Usuarios de Internet; Juan Miguel Signes de la Conselleria de Sanitat de la Generalitat Valenciana; y Miguel Lubián de la Federación Española de Municipios y Provincias. Todos ellos explicaron su experiencia práctica a la hora de aplicar el nuevo RGPD y coincidieron a la hora de destacar que el  Regalmento General de Protección de Datos ha traído un enfoque a los riesgos.

A continuación se celebró otra mesa redonda, moderara por Alberto González de la AEC, y dedicada a la nueva figura del Delegado de Protección de Datos. En ella, los ponentes Paz San Segundo  de la Universidad Nacional de Educación a Distancia; Aurelio Fernández del Grupo PSA Peugeot – Citroën, expusieron sus  perspectivas de cómo designar a un DPD. Además de indicar qué retos y funciones tendrá esta figura.

La jornada también contó con la intervención de Javier Cao de Govertis quien dedicó su intervención a cómo reaccionar ante una vulneración de seguridad una vez que se aplique el RGPD. Para Cao es fundamental establecer un plan de comunicación o un protocolo interno para atender a una violación de seguridad para evitar situaciones de “rey desnudo”  y pensar que estamos protegidos e materia de protección de datos”.  El propio Cao ha hecho un resumen de su intervenci´n en el blog de Govertis, podéis leerlo aquí. 

En los próximos días encontraréis en el site del evento las ponencias de esta cita con la Protección de Datos.

 

Principio de Independencia en el RGPD aplicable a las Autoridades de Control

16 febrero, 2018 | GDPR Legal | , , ,

En el presente post, ahondaremos sobre el principio de independencia, que el Reglamento Europeo de Protección de Datos (RGPD) ha dotado a las Autoridades de Control con las que el Delegado de Protección de Datos (DPD-DPO) tendrá que relacionarse de manera habitual.

El RGPD dedica el Capítulo VI a las Autoridades de Control independientes, concretamente las regula en los artículos 51 al 59.

De dicha normativa, debemos resaltar, la notoria importancia que otorga, al principio de Independencia.  Es por ello, que lo dota de unas garantías formales, que permitirán el respeto de dicha independencia, y, por ende, garantizará el buen funcionamiento de las autoridades, respetando sus competencias, funciones y poderes.

Dichas garantías formales, se pueden clasificar en dos:

  1. Garantías relativas a los miembros de la autoridad de control, como son: la forma y los requisitos para su nombramiento, la duración del mandato, la inamovilidad y la incompatibilidad.

En primer lugar, en cuanto a la forma del nombramiento, se regulan, en el artículo 53.1 titulado “Condiciones generales aplicables a los miembros de la autoridad de control” y el mismo indica, que los miembros de las autoridades de control, serán nombrados mediante un procedimiento transparente, por; su Parlamento, su Gobierno, su Jefe de Estado o un organismo independiente encargado del nombramiento, en virtud del Derecho de los Estados miembros.

-Los requisitos para el nombramiento de un miembro de la autoridad de control lo regula el artículo 53.2: “Cada miembro poseerá la titulación, la experiencia y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes.”

Asimismo, el artículo 54.1b, establece, que existen unas cualificaciones y condiciones de idoneidad necesarias para ser nombrado miembro de una autoridad de control.

-En cuanto a la duración del mandato: El Reglamento General de Protección de Datos nos habla de “tiempo prefijado de mandato de los miembros” que no podrá ser inferior a 4 años, pudiendo cada Estado, ampliar dicho plazo, siempre cuya finalidad sea, velar por la independencia de su autoridad de control.

La garantía de inamovilidad, viene recogida en el artículo 53.4. Esta garantía es un elemento esencial para la independencia de las autoridades de control. La misma, también viene recogida en el artículo 35 de la LOPD.

Por otro lado, la incompatibilidad, como garantía formal que conforman el estatuto jurídico de los miembros de las autoridades de control, lo recoge el artículo 52.3, de la siguiente forma.

Asimismo, les solicita integridad en lo que respecta una vez finalizado su cargo, la aceptación de cargos y beneficios Art. 47.4 RGPD. Este aspecto no estaba recogido en la LOPD

Por último, El RGPD, aborda también algunas obligaciones del personal que trabaja en la autoridad de control que conforman el estatuto jurídico y que debe ser desarrolladas por la Ley de cada Estado miembro.

  1. Garantías relativas al funcionamiento de la autoridad de control; autonomía personal, presupuestaria, financiera y la disponibilidad de recursos humanos y económicos para el cumplimiento de las funciones.

El RGPD menciona,  expresamente,  la autonomía personal que posee cada Estado miembro, garantizándole al mismo, la capacidad de elección de su propio personal. Art. 52.5RGPD[1]

Del mismo modo el Considerando 121 aclara bastante, al afirmar lo siguiente:

“Las condiciones generales aplicables al miembro o los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro y disponer, en particular, que dichos miembros han de ser nombrados, por un procedimiento transparente, por el Parlamento, el Gobierno o el jefe de Estado del Estado miembro, a propuesta del Gobierno, de un miembro del Gobierno o del Parlamento o una de sus cámaras, o por un organismo independiente encargado del nombramiento en virtud del Derecho de los Estados miembros. A fin de garantizar la independencia de la autoridad de control, sus miembros deben actuar con integridad, abstenerse de cualquier acción que sea incompatible con sus funciones y no participar, mientras dure su mandato, en ninguna actividad profesional incompatible, sea o no remunerada. La autoridad de control debe tener su propio personal, seleccionado por esta o por un organismo independiente establecido por el Derecho de los Estados miembros, que esté subordinado exclusivamente al miembro o los miembros de la autoridad de control.”

Asimismo, el RGPD, reconoce la autonomía presupuestaria a las autoridades de control, de la siguiente forma:

Art. 52.6: “Cada Estado miembro garantizará que cada autoridad de control esté sujeta a un control financiero que no afecte a su independencia y que disponga de un presupuesto anual, público e independiente, que podrá formar parte del presupuesto general del Estado o de otro ámbito nacional.”

Finalmente, el Reglamento General de Protección de Datos respeta el principio de autonomía institucional y como prueba ello, el artículo 51.1 del texto, corrobora dicho respeto.  Ahora bien, aunque el Reglamento respete la arquitectura constitucional de cada Estado miembro, se prevé que cuando existan varias autoridades de control en un mismo Estado miembro le corresponderá a éste, designar la autoridad de control que representará a dichas autoridades en el Comité Europeo de Protección de Datos.

Notas sobre el Registro de Actividades de Tratamiento de Datos

9 febrero, 2018 | GDPR Legal | , , , ,

¿Qué es y qué información debe contener el  registro de actividades de tratamiento de datos?

  • Es una novedad que introduce el art 30 del Reglamento General de Protección de Datos RGPD.
  • Deberá llevarlo a cabo cada responsable y encargado y, en su caso, sus representantes.
  • Es un mecanismo de rendición de cuentas: si bien el RGPD recoge una excepción en el caso de organizaciones que tengan menos de 250 trabajadores, no lleven a cabo tratamientos de datos que puedan entrañar un alto riesgo para los derechos y libertades de las personas, no ocasional, ni incluya categorías especiales de datos o datos relativos a condenas e infracciones penales, no debemos olvidar la importancia de principios básicos que se recogen en el propio RGPD como “accountability” o responsabilidad proactiva por lo que es recomendable disponer del mismo en todo caso.
  • Información mínima que debe contener:
  1. Los datos de contacto: del responsable, corresponsable, representante del responsable y DPO.
  2. Inventario de categorías de actividades de tratamiento.

El RGPD entiende como tratamientocualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Así, este inventario podrá realizarse partiendo de los ficheros actuales, teniendo en cuenta tres aspectos:

– Un fichero o conjunto de datos es algo lógico o abstracto, como un repositorio de datos, que se compone de tratamientos de los datos.

-Los tratamientos de los datos son entendidos como una acción o un verbo que deriva del fichero.

-Podemos identificar los tratamientos basándonos en las finalidades previstas para los ficheros (y notificados en su día al RGPD, a través del formulario NOTA).

Ejemplo:

Fichero o Conjunto: Recursos humanos

Tratamientos: acciones que se realizan sobre el mismo

 

El inventario de tratamientos de los datos contendrá:

  1. Nombre y fines del tratamiento.
  2. Tipología de datos incluidos.
  • Origen y procedencia de los datos.
  1. Categorías de interesados.
  2. Cesiones o comunicaciones de datos previstos.
  3. En su caso, identificación de las transferencias internacionales previstas y documentación de garantías adecuadas.
  • Plazos previstos para la supresión de las diferentes categorías de datos que se incluyen.

 

  1. Descripción de las medidas técnicas y organizativas de seguridad (en este sentido podemos entender que sustituye al actual documento de seguridad).

Equipo de profesionales de Govertis

Logotipo de Govertis

Nuevos retos en política de privacidad: Smartphones y APP

2 febrero, 2018 | GDPR Legal | , , , , ,

Desde los primeros terminales móviles que únicamente permitían realizar y recibir llamadas, así como mensajes de texto SMS (Short Message Service) o multimedia MMS (Multimedia Messaging Service), se ha pasado a un desarrollo exponencial de los mismos coincidiendo con el desarrollo de las redes 2G, 3G, 4G y, próximamente, 5 G que ha superado el concepto tradicional de teléfono móvil para pasar a denominarse teléfono inteligente o smartphone. Sus capacidades y funcionalidades han desbordado el concepto de teléfono móvil puesto que se asemejan más a las de un ordenador personal, lo que ha conllevado la aparición de nuevos riesgos para la privacidad y seguridad que deberán ser tenidos en cuenta por el Delegado de Protección de Datos DPO / DPD.

El Dictamen 2/2013 sobre las aplicaciones de los dispositivos inteligentes del Art29WP pone el foco en “la estrecha interacción con el sistema operativo permite a las aplicaciones acceder a un número de datos significativamente superior a aquél al que tiene acceso un navegador de internet tradicional. Las aplicaciones pueden recoger gran cantidad de datos a partir del dispositivo (datos de ubicación, datos almacenados por el usuario en el dispositivo o datos de los distintos sensores) y procesarlos para proporcionar servicios nuevos e innovadores al usuario final”.

El Grupo de Trabajo del Artículo 29 destaca algunos ejemplos de los datos que puede recopilar la APP del usuario del smartphone: localización, contactos, identificadores únicos del dispositivo y del cliente (p. ej., IIEM13, IIAM14, IUD15   y número de teléfono móvil), identidad del interesado, identidad del teléfono, datos de tarjetas de crédito y relativos a pagos, registros de llamadas, SMS y mensajería instantánea, historial de navegación, correo electrónico, fotografías y vídeos, datos biométricos (por ejemplo, modelos de reconocimiento facial y huellas dactilares), etc.

Por otra parte, el Grupo de Trabajo del Articulo 29 también entiende que existe riesgo grave en la existencia de numerosos actores que intervienen en el desarrollo de aplicaciones, ya que puede propiciar que “un determinado dato puede ser transmitido, en tiempo real, desde el dispositivo para ser procesado en cualquier parte del planeta o ser copiado entre cadenas de terceras partes”.

En relación con las diferentes partes que intervienen en el desarrollo de aplicaciones, el Grupo de Trabajo del Artículo 29 destaca:

  • Desarrolladores de aplicaciones.
  • Fabricantes de sistemas operativos y de dispositivos.
  • Tiendas de aplicaciones.
  • Terceras partes.

Para el Grupo de Trabajo del artículo 29 los principales riesgos para los usuarios finales son:

  • Falta de transparencia y conocimiento sobre los diferentes tratamientos de datos que se realizan. Aunque los desarrolladores de aplicaciones vienen condicionados por el diseño y funcionalidades del sistema operativo, muchas aplicaciones no cuentan con política de privacidad, ni informan en el momento previo a la instalación sobre las finalidades y usos previstos.
  • Ausencia de consentimiento para el tratamiento de datos personales. La mayoría de las aplicaciones en el mejor de los casos tienen un botón o casilla en el que se indica que se han leído y se aceptan los términos y condiciones sin que se posibilite la opción de denegar el consentimiento para el tratamiento de datos.
  • Ausencia de cumplimiento del principio de minimización del tratamiento. Por un lado, se pueden recoger datos que no son necesarios para el tratamiento previsto, ya sea por información que recolecta la propia APP o por la generación de permisos de acceso difícilmente justificables para la finalidad del tratamiento, o que los usos de la información recolectada por la APP se destinen a finalidades no compatibles con la finalidad principal del tratamiento como puede ser una cesión de datos a terceros para estudios estadísticos o de mercado.
  • Medidas de seguridad escasas o ineficaces que pueden provocar una violación de seguridad. Téngase en cuenta que algunas APPs están pensadas y desarrolladas para controlar y monitorizar el estado de salud del usuario.

Partiendo de los riesgos analizados anteriormente, el DPO deberá actuar sobre los siguientes aspectos:

  • Transparencia
  • Legitimación del tratamiento
  • Minimización del tratamiento
  • Seguridad
  • Geolocalización

Equipo de profesionales de Govertis

Logotipo de Govertis

Las violaciones de seguridad en el Reglamento General de Protección de Datos RGPD

25 enero, 2018 | GDPR Legal | , , ,

Una de las importantes novedades que introduce el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), que entrará en aplicación el próximo 25 de mayo de 2018 es la obligación de la notificación de las violaciones de seguridad.

Tal como establece la propia definición en el RGPD, será cualquier incidente en materia de seguridad de la información que afecte a datos de esta naturaleza, entendido esto como eventos que puedan ocasionar la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. En materia de seguridad de la información, son eventos que impactan en las tres dimensiones: confidencialidad, integridad o disponibilidad.

En el presente post trataremos de reflexionar respecto a esta nueva obligación y lo que ello implica en cualquier organización.

La primera reflexión a considerar es que cuando deba iniciarse el proceso de notificación de la violación de seguridad ya se estará en una situación de fracaso, desde la perspectiva de la protección de datos. Este tipo de medidas, la notificación, se encuadran dentro de las estrategias de respuesta ante un incidente y suponen la materialización de un riesgo. Con esto queremos incidir en que ya se ha producido un daño (Inicialmente sin valorar probablemente) y se evidencia así el fracaso en la proactividad y prevención de incidentes. Por tanto, ante tales circunstancias, la organización afectada ya será cuestionada respecto a la debida diligencia en la protección y de no reaccionar rápido ante los hechos, también será cuestionada en la agilidad y diligencia frente a la respuesta ante el incidente. Por tanto, el principal objetivo de la organización y la principal preocupación del Delegado de Protección de Datos debe ser que este procedimiento de notificación no tenga que ejecutarse nunca. En este caso, la ausencia de incidentes es la mayor evidencia del trabajo bien hecho en la prevención.

La segunda reflexión incide en qué requisitos deben darse para lograr una respuesta ágil y rápida frente al incidente. En muchos casos, el tiempo es un factor que incrementa el impacto (sucede con otros eventos físicos como el fuego) y en donde el primer objetivo de la respuesta es la contención y mitigación de la amenaza, es decir, reducir al máximo el tiempo en el que ésta nos está causando daño. En casos de violaciones de seguridad y según las circunstancias en las que esta se produzca, lo primero es localizar el foco de impacto y si está todavía operativo, lograr que cese a la mayor brevedad posible para que el daño sea el menor posible.

Toda organización que se precie, y, por supuesto su Delegado de Protección de Datos, en caso de nombrarse, debiera tener control sobre sus sistemas de información. En este sentido, la monitorización del funcionamiento es una actividad básica para la gestión y control de los sistemas de información. Las tres dimensiones de la seguridad no se comportan igual frente a los daños. En cada caso, el proceso de gestión de incidentes requiere acciones muy diferentes según el tipo de amenaza y sobre qué dimensión se produce.

Supongo que el lector, a estas alturas, estará descubriendo otros aspectos que el RGPD ha querido robustecer y que a priori, no parecen tan evidentes. Una primera lectura de los artículos 33 y 34,  del nuevo Reglamento de Protección de Datos, nos llevaría a pensar que simplemente hay que enviar un escrito o bien a la Autoridad de control o al afectado, pero la clave, es el contenido del informe. Para poder conocer qué ha pasado y cuáles pueden ser los daños, hay que garantizar unas capacidades operativas en materia de gestión de la seguridad de la información.

Equipo de profesionales de Govertis

Logotipo de Govertis

La protección de datos en el panorama internacional. Una primera aproximación

19 enero, 2018 | GDPR Legal | , ,

En el presente post pretendemos indicar el marco internacional que debe tener presente el  Delegado de Protección de Datos a la hora de ejercitar sus funciones.

En la década de los 80, fue la OCDE, Organización  para  la  Cooperación y  el Desarrollo  Económicos, la primera en adoptar un documento con implicaciones internacionales en materia de protección de datos personales y privacidad. Poco después, sería el Consejo de Europa el que adoptara el Convenio 108 del Consejo de Europa, de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

Y en la década de los 90, la Unión Europea adoptó la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Las directrices de la OCDE constituyen un referente, tanto en la Unión Europea como en otras latitudes alrededor del mundo que incluyen países tales como Israel, Japón Australia, Canadá, Chile o México e incluso Estados Unidos.

Las diferencias entre Europa y EEUU son enormes, tanto a nivel normativo como a nivel ideológico. En este sentido,  la Comisión publicó la Decisión de Ejecución (UE) 2016/1250 de 12 de julio de 2016 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección conferida por un nuevo esquema denominado “Escudo de Privacidad UE-EEUU”.

Este escudo de privacidad se basa en un sistema de auto certificación por el que las entidades estadounidenses se comprometen a cumplir una serie de principios de protección de la vida privada establecidos por el Departamento de Comercio de Estados Unidos.

Tal y como dispone la propia Agencia Española de Protección de Datos, la distribución geográfica de los países que cuentan con normas específicas de protección de datos y con autoridades encargadas de garantizar su aplicación es muy heterogénea.

Así, Europa es el continente donde la protección de datos ha alcanzado un nivel más elevado.  América del Norte es también una región en que la protección de datos, o más exactamente la privacidad, ha alcanzado un alto nivel de desarrollo.

Habitualmente, la existencia de leyes que regulan los tratamientos de datos personales va acompañada del establecimiento de autoridades de supervisión encargadas del control del cumplimiento de esas leyes. En el siguiente enlace se relaciona un listado de todos los países del mundo que cuentan con autoridad de protección de datos,  reconocida como tal por la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad.

Equipo de profesionales de Govertis

 Logotipo de Govertis

Los 10 puntos clave del RGPD

12 enero, 2018 | GDPR Legal | , , , , ,

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) entrará en aplicación el próximo 25 de mayo de 2018. Estos son algunos de sus puntos clave.

Nueva gestión de los tratamientos: no será necesario notificar los tratamientos a la Agencia Española de Protección de Datos y, en su lugar, se deberá llevar internamente un registro de actividades de tratamiento. Aunque la entidad se pueda acoger a la excepción de menos de 250 trabajadores, por lo menos tendrá que tenerlos identificados.

Categorías especiales de datos: además de los ya existentes se incluyen los datos genéticos y biométricos.

Base jurídica de los tratamientos: el consentimiento no será ya la causa principal de legalización de los tratamientos, sino que también podrán realizarse por habilitación legal, ejecución de un contrato, en interés vital de interesado o por interés legítimo del responsable. De basarse en el consentimiento, pasa a ser expreso requiriendo una clara acción afirmativa o declaración expresa.

Privacidad por diseño: supone tener presente a la privacidad durante todo el ciclo de vida del dato, desde antes de su obtención, pasando por las diferentes fases de tratamiento, hasta su destrucción.

Privacidad por defecto: supone obtener y tratar sólo aquellos datos necesarios para cumplir con la finalidad del tratamiento.

Responsabilidad proactiva o accountability: el responsable de tratamiento debe cumplir con las obligaciones del RGPD y ser capaz de demostrarlo por lo que la documentación y trazabilidad son requisitos imprescindibles.

Enfoque basado en el riesgo: los responsables y encargados de tratamiento deberán adoptar medidas técnicas y organizativas apropiadas para reducir o eliminar los riesgos detectados para los interesados en relación con el tratamiento de sus datos personales. Como el riesgo cero no existe, se debe lograr un riesgo residual aceptable.

Delegado de protección de datos: se deberá nombrar un DPD con carácter obligatorio en las administraciones públicas, cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, y cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o datos de condenas y sanciones penales. El Proyecto de Ley Orgánica de Protección de Datos de aprobarse en los términos actuales, permitirá que cuando exista DPD, la Agencia Española de Protección de Datos les pase durante un mes las reclamaciones que presenten los interesados para que intente dar solución a la misma. De no conseguirlo continuará el procedimiento sancionador o de tutela de derechos correspondiente.

Evaluaciones de impacto en protección de datos: los tratamientos que impliquen un riesgo para los datos personales de los interesados requerirán una evaluación de impacto en protección de datos previa. En concreto lo requerirán el tratamiento a gran escala de categorías especiales de datos y datos de condenas y sanciones penales, la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar y la observación sistemática a gran escala de una zona de acceso público.

Notificación de violaciones de seguridad de los datos personales: se deberán notificar aquellas violaciones que afecten a la confidencialidad, integridad o disponibilidad de los datos personales a la Agencia Española de Protección de Datos cuando exista un riesgo para los interesados. Si además existe un alto riesgo para los interesados, se les deberá notificar a estos salvo que se hubieran tomado medidas previas que imposibilitaran el acceso de la información a terceros como el cifrado o se tomen medidas posteriores que eliminen la alta probabilidad de que se materialice ese riesgo.

Equipo de profesionales de Govertis

Quién debe ser DPD (DPO)

10 enero, 2018 | DPD DPO | , , , ,

Las empresas privadas y las administraciones públicas se preguntan a quién deben designar como Delegado de Protección de Datos/Data Protection Officer (DPD – DPO).  En estas líneas intentaremos dar algunas pistas para su designación.

Por un lado, hay que tener en cuenta que existen una serie de cualidades explícitas que recoge el artículo 37.5 del Reglamento General Protección de Datos (RGPD).  Este dice que será designado atendiendo a sus “cualidades profesionales” y en particular a:

  1. Conocimientos especializados del Derecho
  2. Práctica en materia de protección de datos
  3. Capacidad para ejecutar las tareas contempladas en el art. 39.

 

Si descendemos al detalle de cada una de esas cualidades vemos lo siguiente:

  1. Conocimientos especializados del Derecho

Está claro que debe tener conocimientos de legislación, pero en ningún momento se exige expresamente que tenga una titulación relacionada con el Derecho. Existen                                          candidatos a DPD que tienen un perfil profesional técnico. No obstante, es cierto que disponer de una base de conocimientos en Derecho, particularmente de protección de datos (como un curso de especialista o un Máster) constituyen una buena base.

El Grupo de Trabajo del Artículo 29 ha dicho que, aunque el nivel de conocimientos requerido no está estrictamente definido debe de ser acorde con la sensibilidad, complejidad y cantidad de datos de los procesos de una organización.

  1. Práctica en materia de protección de datos

Es lógico que los citados conocimientos han de estar centrados en protección de datos y que, además, los mismos deben de haberse aterrizado de forma práctica.

  1. Capacidad para ejecutar las tareas contempladas en el art. 39. del RGPD

El Grupo de Trabajo del Artículo 29 ha dicho que la “capacidad para cumplir las tareas que le corresponden en el DPO debe interpretarse como tanto refiriéndose a sus cualidades personales y conocimientos, sino también a su posición dentro de la organización. Cualidades personales deben incluir por ejemplo integridad y alta ética profesional; principal preocupación del DPO debe permitir cumplimiento el RGPD”.

A dichas cualidades hay que añadir otras:

  1. Conocimiento sectorial

 

El artículo 97 del RGPD dispone:

“El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado”.

El Grupo de Trabajo del Artículo 29 insiste en este conocimiento sectorial:

 “Conocimiento del sector empresarial y de la organización del regulador es útil. El DPO debe tener comprensión suficiente de las operaciones de transformación llevado a cabo, así como los sistemas de información y seguridad de los datos y las necesidades de protección de datos del Responsable de Tratamiento”.

Y este conocimiento en el sector público supone “tener un sólido conocimiento de las normas administrativas y procedimientos de la organización”.

  1. Capacidad de comunicación, empatía, habilidades personales y de negociación.

 

Su posición de interlocutor con las autoridades de control y con los interesados y sus representantes exigen de estos, capacidades de comunicación, lo que se evidenciará de forma clara, aunque no sólo, cuando haya que comunicar, por ejemplo, una incidencia.

También deben disponer de habilidades personales y empatía para lidiar en situaciones como por ejemplo la gestión de reclamaciones o las posibles tensiones que se puedan producir cuando existan discrepancias entre los criterios empresariales y los que defienda el DPD por aplicación de las exigencias legales.

 

  1. Conocimiento de idiomas

 

La existencia de un marco normativo común a Europa hace aconsejable siempre y exigible en algunos casos (por ejemplo, cuando se trate de multinacionales o empresas con fuertes relaciones fuera de España) que el DPD tenga conocimientos en otros idiomas, particularmente en inglés.

  1. Conocimiento de gestión de riesgos

 

Una de las nuevas obligaciones que ha impuesto el RGPD y que supone un cambio muy importante de enfoque de la privacidad es su orientación al riesgo, lo que exige siempre realizar un análisis de riesgo (aunque en algunos casos sea sucinto) y en determinados casos la obligación de realizar una evaluación de impacto “formal”. Y ello requiere de conocimientos en gestión de riesgos.

  1. Por último, y dado que de su trabajo siempre se producirá en equipo (aunque unas veces más y otras menos en función de la organización) deberá aprender a trabajar en equipo, gestionarlos y liderarlos.

 

Por su parte el artículo 35 del ANLOPD al abordar el tema de la cualificación del Delegado de Protección de Datos dispone:

 

“El Delegado de Protección de Datos, sea una persona física o jurídica, deberá reunir los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 y demostrar reconocida competencia en la materia. El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación.

Para finalizar comentaremos que la independencia del DPD-DPO requiere que reporte directamente al más alto nivel de dirección (alcaldía, presidencia, consejo de administración, etc) sin necesidad de pasar por el filtro de mandos intermedios o superiores. Y que el Grupo de Trabajo del Artículo 29 ha indicado que “el DPD no puede detentar un cargo dentro de la organización que le lleve a determinar los fines y medios del tratamiento de datos personales. Debido a la estructura organizativa específica de cada organización, esto deberá considerarse caso por caso. Por regla general, los cargos en conflicto pueden incluir los puestos de alta dirección (tales como director ejecutivo, director de operaciones, director económico financiero, director médico, jefe del departamento de marketing, director de recursos humanos o jefe del departamento de TI), pero también otros puestos inferiores en la estructura organizativa si tales cargos o funciones llevan a la determinación de los fines y medios del tratamiento”.

Equipo de profesionales de Govertis.

Los principios generales de la protección de datos ¿fundamentos y/o deberes?

8 enero, 2018 | DPD DPO | , , , , , ,

Los principios generales de la protección de datos de carácter personal, no sólo son meros fundamentos por los que se ha de regir la elaboración, interpretación y aplicación de la normativa sobre protección de datos, sino que se trata de un conjunto de reglas que determinan cómo recoger, tratar y ceder los datos.

En caso de encontrarnos con lagunas o vacíos legales, nos hemos de inspirar en éstos, para que el tratamiento de los datos sea conforme a la normativa.

En definitiva, son deberes y obligaciones a los que están sujetos los tratamientos de datos de carácter personal.

Los principios recogidos en el Reglamento General de Protección de Datos de la Unión Europea [semejantes a los dispuestos en la predecesora legislación, europea y española] son los siguientes:

 

  • Lealtad – No pueden recabarse datos personales por medios fraudulentos (esto es, no podrán utilizase medios o métodos engañosos) desleales (que den lugar a una discriminación injusta o arbitraria contra los titulares) e ilícitos (es decir, que sean ilegales, estén fuera o al margen de la Ley).

 

  • Transparencia – Exige que toda información y comunicación relativa al tratamiento de datos personales sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.

 

  • Licitud o legitimación del tratamiento.- Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento explícito del interesado o sobre otra base o fundamento jurídico (artículo 6 RGPD).

 

  • Limitación de la finalidad.- Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados, posteriormente, de manera incompatible o distinta con dichos fines.

 

  • Minimización.- Deben ser adecuados, pertinentes y limitados o no excesivos, en relación con los fines que legitiman el tratamiento.

 

  • Exactitud- Los datos deben ser exactos y, si fuera necesario, actualizados. Deben adoptarse todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.

 

  • Limitación del plazo de conservación.- No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. Deben establecerse plazos para la supresión o revisión periódica.

 

  • Integridad y confidencialidad.- Debe garantizarse una seguridad adecuada para preservar la integridad de los datos e impedir el acceso o uso no autorizado. Todas las personas que intervengan en cualquier fase del tratamiento están sujetas a guardar secreto o confidencialidad con carácter indefinido.

Equipo de profesionales de Govertis

Página 1 de 212