Aportación de documentación por parte de los ciudadanos a las AAPP: la modificación del artículo 28 de la Ley 39/2015

Tras la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPD y GDD), una de las labores que va a tener que acometer el legislador español es la modificación de las leyes sectoriales que, a día de hoy, hacen referencia a lo largo de su articulado a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD).

Sin duda, se trata de un trabajo laborioso pero que, en este sentido, se traducirá en una interpretación de la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento general de protección de datos o RGPD) en cada una de las leyes sectoriales que hagan mención de la normativa sobre protección de datos.

En este sentido, encontramos la modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, publicada el día 6 de diciembre de 2018, y que entró en vigor a partir del 7 de diciembre de 2018. La Ley 39/2015 ha sido una de las primeras en sufrir modificaciones como consecuencia de la nueva normativa sobre protección de datos. Es curioso que la modificación referida se realizase un día después de publicar la LOPD y GDD en el Boletín Oficial del Estado (en adelante, BOE).

Más en concreto, vamos a analizar el artículo 28 de la Ley 39/2015, relativo a la aportación de documentación por parte de los ciudadanos a las Administraciones Públicas, que ha resultado afectado por la modificación mencionada.

La redacción original del art. 28 de la Ley 39/2015 establecía que los interesados no estaban obligados a aportar documentación en un procedimiento administrativo, siempre y cuando la misma ya obrase en poder de cualquier Administración Pública o hubiese sido elaborada por esta. En virtud de ello, para habilitar la consulta de documentación entre administraciones, el interesado debía haber expresado su consentimiento, que se podía entender otorgado siempre y cuando no constara la oposición expresa del ciudadano.

Es decir, la consulta de documentación entre administraciones se habilitaba a través del consentimiento tácito del interesado, que se otorgaba mientras no mostrase una oposición expresa a la realización de la consulta.

Actualmente, la Ley 39/2015 sigue conservando este derecho de los interesados, a no aportar documentación siempre que se encuentre en poder de la Administración actuante o haya sido elaborada por cualquier otra Administración. No obstante, la relevancia de la modificación introducida se centra en que se elimina la necesidad de recabar el consentimiento, ya sea expreso o tácito, del ciudadano.

El Reglamento Europeo define el consentimiento del interesado como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. En definitiva, la nueva normativa ya no permite el consentimiento “tácito” del interesado, sino que este siempre deberá ser expreso.

Por otra parte, el mismo Reglamento señala en uno de sus considerandos que, cuando se trate de relaciones entre ciudadanos y autoridades públicas el fundamento jurídico válido para el tratamiento de datos de carácter personal no será, en la mayoría de los supuestos, el consentimiento del interesado, dado que puede existir un desequilibro claro entre este y el responsable del tratamiento. La normativa europea entiende que resulta improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. En este sentido, el RGPD a lo largo de su articulado, establece que existen otras bases de legitimación del tratamiento que son consideradas lícitas, como pueden ser el cumplimiento de una obligación legal o el ejercicio de poderes públicos, no siendo la única base legitimadora el consentimiento del interesado.

En estos términos, se ha pronunciado recientemente la Agencia Española de Protección de Datos (en adelante, AEPD), en el documento “Ley Orgánica 3/2018, de 5 De diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Nuevas Obligaciones para el Sector Público”. También se ha pronunciado la misma Agencia en el los expedientes 108/2018 y 155/2018.

En la actualidad, con el Reglamento General de Protección de Datos y la nueva Ley Orgánica, la consulta de documentación por parte de la Administración no encuentra su legitimación en el consentimiento del propio interesado, sino que, la base legitimadora es el cumplimiento de una misión realizada en interés público o, particularmente, en el ejercicio de poderes públicos.

De este modo, la Administración Pública podrá consultar la documentación de un procedimiento administrativo, pero, en todo caso, la Ley reconoce al interesado la posibilidad de oponerse a que órganos de la Administración Pública consulten o recaben los citados documentos. En todo caso, cuando el interesado se oponga expresamente, deberá aportar necesariamente la documentación con objeto de que la administración gestione correctamente el procedimiento administrativo en cuestión, ya que, de no aportarla, se deberá desestimar su solicitud.

En suma, si trasladamos esta modificación a la práctica, en el momento en que un interesado presente la iniciación de un procedimiento administrativo ante una Administración Pública, se deberá habilitar un medio que posibilite la oposición expresa de la consulta de documentación entre administraciones. En este sentido, en caso de no existir oposición por el interesado, se entenderá legitimada la consulta en base al cumplimiento de una misión realizada en interés público o, particularmente, en el ejercicio de poderes públicos, y no, como ocurría anteriormente, en base al consentimiento tácito del interesado.

Equipo de Govertis.

Camino al “GDPR Readiness”: los cinco factores que impactan significativamente a las empresas

Desafíos para cumplir  con los requisitos de cumplimiento

Las labores para cumplir con ciertas normativas son, sin duda, tediosas y desalentadoras para algunas empresas. De hecho, el cumplimiento se ve como un objetivo en constante movimiento que puede volverse abrumador si las empresas lo permiten. A pesar de la necesidad de negocio y normativa, las empresas pueden verse inclinadas a evitar proyectos de cumplimiento, dada la compleja combinación de actividades, requisitos cambiantes y expectativas diversas. Por lo tanto, no es sorprendente que una parte importante de las organizaciones todavía estén luchando para cumplir con los requisitos de cumplimiento del RGPD y la reciente LOPD y GDD.

En este sentido, de acuerdo con el resultado de una encuesta realizada por  ISACA en 2018 a 600 profesionales legales, de tecnología de la información y privacidad en los Estados Unidos, el Reino Unido y algunos otros países de la UE, solo el 20 por ciento de estas organizaciones se consideraban compatibles con el RGPD. Aunque se espera que esta cifra mejore en 2019, la encuesta subraya la complejidad para comprender los requisitos de la nueva normativa y también para cumplirlos posteriormente.

Hay varios factores que pueden afectar al camino para cumplir con los requisitos del RGPD, y en particular los más significativos son:

La complejidad de la legislación: Comprender los requisitos y su impacto en el negocio requiere una combinación de competencias tecnológicas, de privacidad y legales que no siempre están disponibles dentro de la organización.  Es por ello que se requiere en muchos casos asesoramiento experto en la materia para encajar los requisitos de la normativa en la propia organización y entender el alcance pero principalmente se requiere un cambio de mentalidad que suponga tener conciencia de la importancia de la materia, así como de las consecuencias que pueden derivarse ante un incumplimiento en materia de protección de datos.

Escasez de recursos: las organizaciones tienen que invertir una gran cantidad de tiempo y de recursos humanos, técnicos, financieros y de infraestructura para implementar, ejecutar y mantener el cumplimiento en materia de protección de datos. Hace poco se publicaba el dato que las compañías de “Fortune Global 500” gastarán aproximadamente 7.8 mil millones de dólares (entre todas ellas) para cumplir con la nueva normativa RGPD. Si bien esta cifra para las organizaciones más pequeñas es menor, el coste para movilizar sus recursos y administrar las actividades para el cumplimiento (como ejemplo la revisión de contratos de terceros, el desarrollo de nuevos formularios de consentimiento, o la adquisición de nuevas herramientas de software), sigue siendo significativo.

Baja madurez previa en materia de privacidad: Antes del RGPD, la gran mayoría de entidades carecían de ciertas medidas que estuviesen ya implantadas en sus operaciones, procesos, políticas o procedimientos, y que ahora son requisitos obligatorios. De hecho, se vio que la mayoría de los proyectos de adecuación de muchas organizaciones aún estaban desarrollando sus avisos y políticas de privacidad, formularios de consentimiento y otros documentos requeridos días antes de la fecha límite del 25 de mayo de 2018. Y como resultado de dejar las cosas para ultima hora, tenemos el bajo nivel de adecuación en las medidas implantadas.

Concienciación y comprensión. Las organizaciones pueden haber leído y/o escuchado mucho sobre el RGPD, pero a menudo carecen de conocimientos clave y de un entendimiento al detalle de los requisitos necesarios para lograr su total adecuación. En esta tarea, las compañías deben desarrollar las responsabilidades de concienciación y capacitación de aquellos de los que depende el éxito de su cumplimiento.

Adjudicación de la responsabilidad. La adecuación al RGPD no sólo compete al departamento de IT y no solo consiste en una única o varias soluciones informáticas mágicas sino a la implantación de una serie de medidas técnicas, legales y organizativas que hacen necesario el uso de una metodología que no pierda de vista toda la complejidad del proyecto.

En definitiva, podemos decir que el RGPD  está transformando la forma en que operan las organizaciones y la forma en que se realizan las transacciones comerciales.

La legislación impacta el ecosistema organizacional al completo. A pesar del desafío, las organizaciones deben adoptar un programa de cumplimiento sólido que tenga en cuenta las personas, los procesos, los procedimientos, las políticas, los sistemas y los servicios que interactúan o se relacionan con el procesamiento de datos personales. Para la adecuación es necesario un programa de cumplimiento marcando los hitos de la ruta para alcanzar los objetivos requeridos de evaluar la preparación del RGPD e implementar medidas técnicas y organizativas adecuadas para garantizar el cumplimiento. Y de esta manera superar los obstáculos de cumplimiento y adecuarse a los requisitos de la normativa, con la plena comprensión de que es un viaje continuo y no un destino. Además, durante este proceso, las organizaciones experimentan una serie de beneficios al adoptar un programa de cumplimiento sólido, como mejorar la confianza del cliente, tener mayores oportunidades comerciales y una postura de privacidad saludable.

Equipo Govertis.

La gestión de reclamaciones por el DPD y el delito de extorsión

La nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDyGDD) incluye, en su artículo 37, como función del Delegado de Protección de Datos (DPD), la de gestionar las reclamaciones de los interesados, incluso con carácter previo a la presentación de las mismas ante la AEPD. En caso de hacer uso de esta alternativa, lo lógico es que se inicien negociaciones en las que el DPD pretenda la puesta en marcha de las medidas necesarias para el cese de la supuesta violación, e incluso solicite una compensación por los daños y perjuicios ocasionados. Ahora bien, cosa distinta a esta genuina negociación es que exija dinero a cambio de no denunciar los hechos, tanto si se trata del interesado como de un tercero que ha tenido conocimiento de ello. Aunque esto no sea lo habitual, debemos saber que este modo de actuar podría ser constitutivo de un delito de extorsión del art. 243 CP. Conviene analizar algunos de los requisitos exigidos por la jurisprudencia para la apreciación de este delito:

El tipo penal exige que haya violencia o intimidación. En cuanto al grado exigido, la SAP de Madrid, nº 625/2017, establece que únicamente requiere un grado medio, por lo que bastaría con que el ultimátum de la denuncia para el caso de no acceder a la condición económica, infunde una sensación de miedo o angustia por la posible sanción económica o el daño a su imagen.

En lo relativo a la exigencia de la realización de un acto o negocio jurídico se ha pronunciado la AP de Madrid en la misma Sentencia, señalando que “puede tratase de un simple acto informal o un negocio jurídico, de mayor complejidad”.

También podríamos preguntarnos si es necesario que la entidad, privada o pública, acceda al pago, u otra condición exigida, para que el delito de extorsión se entienda consumado. Encontramos respuesta en Auto del TS nº 88/2013, que señala que “la consumación se produce tan pronto se consigue la realización u omisión del acto o negocio jurídico, aunque cualquier episodio posterior ha de pertenecer no al tracto comisivo de la infracción sino a su fase de agotamiento”.

Aunque el delito de extorsión es el que más se puede ajustar a los hechos objeto de este artículo, estos mismos hechos también podrían tener encaje en otros delitos de naturaleza similar, como el de amenaza del art. 171.1 CP. Como ya hemos comentado, el delito de extorsión exige doblegar la voluntad del sujeto pasivo, mientras que en el de amenaza condicional basta con la mera proliferación de la misma para que el delito se entienda consumado. Por lo que, en caso de considerarse extorsión, lo sería en grado de tentativa. De hecho, es habitual solicitar como alternativa al delito de extorsión, cuando se da en grado de tentativa, el de amenazas condicionales.

Podemos encontrar en la SAP de Madrid, nº 86/2011, un claro ejemplo de que estas conductas encajarían en el delito de extorsión. En este caso, el director de un medio de comunicación solicitaba a una entidad bancaria la cantidad de 72.000 euros a cambio de no acudir a la AEPD a denunciar la pérdida de expedientes de clientes. La AP le condenó por delito de extorsión en grado de tentativa.

En definitiva, este tipo de conductas serían reprochables penalmente, siendo el delito de extorsión el que más podría ajustarse, a priori, a los requisitos exigidos por el CP y jurisprudencia. No obstante, habrá que estar al caso concreto y será decisivo contar con una base probatoria sólida. El papel del DPD en estos casos será crucial, pues es el punto de contacto en la relación entre interesados, entidades y autoridad, pudiendo llegar a considerarlo un mediador.

Equipo de Govertis

Los datos de contacto de profesionales en la LOPD y GDD

El pasado 5 diciembre de 2018, el Boletín Oficial del Estado publicó la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Aunque el Reglamento 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 fuese aplicable en todos los estados miembros desde el pasado 25 de mayo, esta nueva Ley Orgánica nos ha dado luz en multitud de asuntos que quedaron en interrogante tras la publicación del Reglamento. Uno de ellos, a tenor del artículo de hoy, es aquel relacionado con el tratamiento de los datos de carácter personal de profesionales por cualquier entidad y su regulación actual.

En primer lugar, cabe aclarar que este concepto no es ni mucho menos nuevo y ya fue regulado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que excluyó de su ámbito de aplicación los referidos a personas jurídicas y empresarios individuales. Esta exclusión, patente en los artículos 2.2 y 2.3, tenía su limitación precisamente en que tan solo se tratase de datos de profesionales como su nombre, apellidos, cargo, email corporativo o teléfono de empresa.

El RGPD trajo dudas

 El RGPD no trajo claridad respecto a este tema pues no excluye de manera expresa el tratamiento de datos de empresarios individuales o contactos profesionales relativos a personas jurídicas. Esto provocó que se entendiese que los datos mencionados deben considerarse datos personales siempre que hagan alusión a una persona identificada o identificable.

Esta incertidumbre que ha durado algo más de dos años, ha sido finalmente solventada por la entrada en vigor de la nueva LOPD y GDD que hace mención especial al tema que nos incumbe en su artículo 19, Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales. El tratamiento de datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica estarán habilitados bajo la base jurídica del artículo 6f) del RGPD, es decir, el interés legítimo del Responsable del tratamiento, siempre y cuando se cumplan los siguientes requisitos:

• Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
• Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

Por lo tanto, el legislador español ha seguido con el criterio ya existente en la LOPD de 1999 y, afortunadamente para el tejido empresarial español, este tratamiento de datos tan habitual en el día a día queda amparado por un interés legítimo de la entidad.

Riesgos en el uso del “Whatsapp” en el ámbito profesional de las relaciones entre clínica y paciente o contacto

Si bien podríamos nombrar el amplio elenco de ventajas que, en general, aportan las nuevas tecnologías de la información y comunicación en el desempeño de la labor profesional, en este caso, queremos hacer eco del dictamen que emitió en su día la Agencia de Protección de Datos de Cataluña (en adelante, APDCAT), en relación a la consulta de la Agrupación de Jóvenes Abogados del Ilustre Colegio de Abogados de Sabadell, en el que se ponía de manifiesto expresamente los riesgos que puede implicar el uso de las aplicaciones (apps) de mensajería instantánea “Whatsapp” y “Spotbros” en la relación abogado y cliente, y por analogía, en las comunicaciones mantenidas entre las clínicas y sus pacientes o contactos.

De este modo, a continuación, señalamos una serie de riesgos en el uso del “Whatsapp”, así como el grado de adecuación de estas aplicaciones a la legislación de protección de datos de carácter personal, según el análisis hecho por la APDCAT.

En primer lugar, cabe decir que el tratamiento de datos personales que efectúa la clínica, en la llevanza y seguimiento de las consultas y tratamientos confiados por sus pacientes o contactos, obviamente, no puede comprenderse en el ámbito de los tratamientos de datos relativos a las actividades del médico que se inscriben en el marco de su vida privada o familiar, esto es, de sus actividades personales o domésticas. Claro está, que el dispositivo de telefonía móvil puede ser utilizado para las comunicaciones con la familia y amistades, sin embargo, el uso en el ámbito profesional es en el que se ha de incidir en preservar privacidad a las comunicaciones. Así, el tratamiento de datos de carácter personal que se hiciera a través del “Whatsapp” está sujeto a las prescripciones de confidencialidad y seguridad del Reglamento 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, RGPD). Por tanto, no sería de aplicación lo establecido en el artículo 2.2.c) del RGPD.

Es por esto que, la clínica tiene un grado de responsabilidad específico respecto al tratamiento de los datos personales de sus pacientes o contactos, que incluye la elección de los canales de comunicación más apropiados con los mismos.

Desde el momento que es incluido el paciente o el posible paciente en la “lista de contactos” de la agenda telefónica, el uso de estas aplicaciones por parte de la clínica conlleva, de inicio, el tratamiento de unos datos que pueden considerarse de carácter personal. Así, se considera información de carácter personal los datos relativos al Nombre y/o Apellidos, Correo Electrónico, Teléfono Móvil, Foto de perfil,  Estado del perfil, e incluso la información sobre la fecha y hora en que se conecta un usuario. Por supuesto, si a esto se añade que, en el contenido de los mensajes pueden constar datos personales del propio cliente o de otra/s persona/s física/s involucradas en el asunto confiado, se amplía el espectro de datos a proteger, conforme a la normativa.

Además, ha de tenerse en cuenta que, por la propia naturaleza de la relación entre la clínica y sus pacientes o contactos, es posible que algunas de las informaciones personales que se transmiten a través de las apps, es decir, de los contenidos de algunos mensajes, incorporen datos especialmente sensibles (entre otros, datos relativos a la salud, física o mental).

En este caso, tal y como se manifiesta en el análisis hecho por la APDCAT, estas apps no garantizan la seguridad de las comunicaciones electrónicas. Así, “Whatsapp” no puede asegurar ni garantizar la seguridad de la información que el usuario transmite, y que el usuario asume el riesgo de dicha transmisión. “Whatsapp” no ​​recomienda el uso de redes wifi no seguras u otras redes desprotegidas ni garantiza la seguridad de la información del usuario, cuando ésta se encuentra en sus sistemas, si bien añade que informará de posibles ataques a la seguridad de dichos sistemas.

Puesta la seguridad en entredicho, se mencionan además una serie de vulnerabilidades que, desde la puesta en marcha de “Whatsapp” han sido detectadas y analizadas; si bien, como cita la APDCAT, la compañía ha ido corrigiendo vulnerabilidades, de modo que sólo se hace referencia a aquellas que no se tiene constancia que hayan sido resueltas:

Contraseñas.- Esta app dispone de un sistema de contraseñas débil, de manera que era relativamente sencillo suplantar un usuario y enviar y recibir mensajes de forma fraudulenta. Si bien se ha mejorado la seguridad de la contraseña de acceso a la plataforma, se sigue constatando como vulnerabilidad el hecho de que esta contraseña se encuentra almacenada en un archivo no cifrado del terminal.

Cifrado.- Se constata que “Whatsapp” ha introducido el cifrado de los mensajes. Por tanto, actualmente todos los mensajes que se envían a través de la app son cifrados. Con esto, podríamos decirse que atiende a la prescripción del artículo 32.1.a) RGPD, que se refiere a la opción del cifrado como medida técnica apropiada para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta factores como el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento.

Ahora bien, aunque las conversaciones se transmitan en forma segura (cifrada), quedan almacenadas en el terminal en una base de datos, incluida en la tarjeta de memoria (en el caso del sistema operativo de telefonía móvil Android). Esta base de datos, a pesar de estar cifrada, tiene una contraseña que puede ser fácilmente conocida por terceros, de modo que si se tiene acceso en la tarjeta de memoria, se podría acceder a las conversaciones o comunicaciones.

Además, “Whatsapp” afirma, en las condiciones y términos de uso,  que ni se copia ni se guarda ni se archiva el contenido de los mensajes que se envían. Los mensajes de los usuarios de esta herramienta son almacenados en los servidores de “Whatsapp”, para que puedan remitirse a los destinatarios de los mismos, siempre y cuando sean usuarios de la app. Cuando el destinatario del mensaje no está conectado, dicho mensaje se almacena durante un periodo de 30 días, fecha a partir de la cual se borra en el caso de que no pueda ser entregado. De este modo, y a la vista de las debilidades del sistema, relacionadas con la ausencia de medidas de seguridad aceptables por la normativa española, la información contenida en esos mensajes puede quedar desprotegida, de manera que terceros puedan acceder inconsentidamente a esos contenidos, en los cuales pueden obrar datos de carácter personal.

Como señala la APDCAT “Que los propios responsables del tratamiento desaconsejen la comunicación de datos sensibles a través de la app, resulta especialmente relevante a la hora que el usuario -el abogado, en este caso-,valore la conveniencia de utilizarlas, desde la perspectiva de la protección de datos, ya que las comunicaciones entre abogado y clientes pueden incluir habitualmente datos sensibles, las cuales podrían quedar desprotegidas, como parecen admitir las propias empresas responsables”.

Por todo cuanto se ha expuesto y adhiriéndose a las consideraciones jurídicas del dictamen que emitió en su día la APDCAT, se desaconseja el uso del “Whatsapp”, o medio de comunicación semejante, en el contexto de la relación entre la clínica y sus contactos o pacientes, ya que al ser habitual la comunicación y tratamiento de categorías especiales de datos, la utilización de estas aplicaciones no resulta adecuada desde un punto de vista técnico, en relación con la seguridad exigida por la legislación en materia de protección de datos de carácter personal.

Protección de Datos en Operaciones Societarias

El Reglamento (UE) 2016/679 General de Protección de Datos (en adelante RGPD o GDPR) establece los requisitos, obligaciones y derechos relativos al tratamiento de datos de carácter personal.

Teniendo en cuenta que el RGPD define al “responsable del tratamiento” como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”.

En el contexto en que una sociedad mercantil sea el Responsable del tratamiento, se plantea la cuestión sobre la forma en que una modificación estructural (por ejemplo una fusión) que afecte al Responsable y cambie la situación de la persona jurídica influye en los derechos de los interesados.

Las sociedades pueden verse afectadas por diversas operaciones societarias de acuerdo con el Real Decreto Legislativo 1/2010 por el que se aprueba el texto refundido de la Ley de Sociedades de Capital y la Ley 3/2009 sobre modificaciones estructurales de las sociedades mercantiles. Entre estas operaciones se encuentran: (i) Transformación de la sociedad (ii)Fusión (iii)Absorción (iv)Escisión (v) Cesión global de activo y pasivo.

En todas ellas, se produce una modificación de la estructura del responsable del tratamiento por lo que cabe preguntarse ¿Qué ocurre con los datos de carácter personal cuando se lleva a cabo una de estas operaciones? ¿Hay una cesión/comunicación de datos entre la sociedad anterior y la resultante del proceso de modificación estructural?

El artículo 19 de Real Decreto 1720/2007 por el que se aprobó el Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, si preveía esta cuestión al indicar, que no se producía cesión de datos en estos casos, sin perjuicio de la obligación del responsable de cumplir con el deber de información

El mismo criterio se mantiene en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en cuyo art. 21 se recoge:

1. Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.

En conclusión, la sociedad resultante de la operación de modificación estructural que hubiera afectado al Responsable del tratamiento, puede continuar realizando el tratamiento que llevaba a cabo el Responsable, ocupando dicha posición.

Este nuevo responsable, debe cumplir con el deber de información de acuerdo con lo indicado en los artículos 13 y 14 del RGPD y con el resto de obligaciones que le sean de aplicación.

Equipo de Govertis

Publicación de la nueva LOPD y GDD

Tras su aprobación por el Pleno del Senado, el pasado jueves, 6 de diciembre, se publicó en el BOE la nueva la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD y GDD), norma que deroga a la anterior Ley Orgánica de Protección de Datos de 1999, y enlaza con el Reglamento General de Protección de Datos (RGPD). Puedes acceder a la norma aquí.

Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, en el que se incorporan diecisiete nuevos derechos, entre los que podríamos destacar el derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc.  en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el reconocimiento específico del derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos.

Además, La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. En el ámbito de internet se podrá optar, específicamente, por un sistema de información por capas, como venía haciéndose hasta ahora, pero eso sí, se permite que sólo se informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos ARSOPL.

En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD.

También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.

Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas.

Equipo de Govertis 

El DPD y el Responsable de Seguridad de la información del ENS ¿figuras compatibles?

En artículos anteriores hemos hablado sobre las concretas  funciones que debe desempeñar un  Delegado de Protección de Datos. Sin embargo hoy haremos referencia  a las diferencias e incompatibilidades entre la figura del DPD y el Responsable de Seguridad (RS) en relación al informe recientemente publicado por la Agencia Española de Protección de Datos al respecto,  disponible a través del siguiente enlace:

 ¿Cuáles son las principales diferencias entre ambas figuras?

38. Principio de Independencia de la figura del DPD. Así lo establece en su artículo 38.3 RGPD que determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones.

Sin embargo, el responsable de seguridad, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza de esta independencia.

1. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.

El RS sin embargo, debe velar por garantizar la seguridad de la información de la  organización.

1. Otra diferencia reseñable es en el ámbito de actuación de ambas figuras por cuanto respecta a la realización de los análisis de riesgos: mientras que el DPD se centrará en el análisis de riesgos sobre los derechos y libertades de las personas, el  RS realizará un análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.
2. El DPD supervisará la labor que realiza el responsable de seguridad en sus tres vertientes: información, servicio y seguridad, porque el ENS focaliza y limita las funciones de estos responsables de seguridad, mientras que el RGPD amplía las funciones del DPD.

En este sentido,  unificar la figura del DPD con la del RS generaría un conflicto de intereses al vulnerar el principio de independencia asignado al DPD, y en definitiva no es recomendable que  el DPD sea “juez y parte” en el ámbito interno de una organización.

Respecto a los conflictos de intereses el Grupo de Trabajo sobre Protección de Datos del Artículo 29, revisadas por última vez y adoptadas el 5 de abril de 2017 señala para el DPD:  3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”.

No obstante, y dicho lo anterior, cabría la posibilidad de centralizar ambas figuras  en una sola persona siempre y cuando contara con la formación adecuada para el desempeño de ambas, debiendo separarse claramente las funciones que desempeña como DPD, y evitando cualquier conflicto de intereses.

Para terminar, indicar que en grandes organizaciones lo más recomendable es constituir un Comité de Seguridad que integre ambas figuras independientes. Así lo manifiesta también la norma ISO/IEC 29151:2017 Information technology – Security techniques – Code of practice for personally identifiable information protection.

Equipo de Govertis 

Novedades de la nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales

Después de casi un año de trámite parlamentario, el Pleno del Senado aprobó el pasado miércoles día 21 de noviembre, por 221 votos a favor, 21 en contra y ninguna abstención, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que desarrolla en España algunos contenidos del Reglamento General de Protección de Datos, tal y como habilita esta norma al legislador nacional.

Hay diversos aspectos que ya se conocían en versiones anteriores y se han consolidado y otros que se han modificado. A continuación recogemos algunos de los  aspectos más destacables si bien próximamente podremos el zoom en la nueva regulación de materias concretas.

Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, no exento de controversia. Estos derechos podríamos destacar los siguientes:  El derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc.  en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el mal denominado “testamento digital”.

De otro lado, se introducen, respecto a la figura del Delegado de Protección de Datos (DPD), una lista de entidades que deberán designar obligatoriamente DPD: centros docentes que ofrezcan enseñanzas reguladas, en las universidades públicas y privadas, colegios profesionales, en las federaciones deportivas, cuando traten datos de menores de edad, o en los centros sanitarios, salvo en el caso de profesionales de la salud que ejerzan su actividad a título individual.

El DPD cobra especial protagonismo en los procedimientos de investigación y sanción. Así, las reclamaciones que los interesados deseen interponer ante la Agencia Española de Protección de Datos, podrán primero presentarse al DPD. En el supuesto que esto no ocurra, la Agencia Española de Protección de Datos podrá remitir la reclamación al DPD para que en el plazo de un mes pueda resolver la reclamación, por ello la LOPDyGDD apostando por la mediación.

De la misma manera, el hecho de designar un DPD cuando no fuera obligatorio, se incluye como un criterio para graduar las sanciones, además de otros como la afectación a los derechos de los menores o el sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.

También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.

En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD. A partid de ahora, el denunciante que desee poner de manifiesto unos hechos concretos por considerarlos contrarios a la normativa aplicable, podrá hacerlo sin que la expresión de su identidad sea condición para el tratamiento de su denuncia.

También se regulan otros tratamientos sectoriales como, entre otros, videovigilancia, sistemas de información crediticia, sistemas de exclusión publicitaria o monitorización de empleados.

Por último, destacaremos que la información por medios electrónicos puede realizarse en doble capa como venía haciéndose hasta ahora, pero eso sí, se permite que sólo de informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.

Primer encuentro exclusivo de Delegados de Protección de Datos de la AEC

Una de las medidas más novedosas que ha traído consigo el Reglamento General de Protección de Datos (RGPD) es la exigencia de la figura del Delegado de Protección de Datos (DPD), en determinados supuestos, para garantizar el cumplimiento del RGPD. Tras la consolidación de esta figura emergente, la Asociación Española para la Calidad (AEC) ha asumido la responsabilidad de ayudar a estos profesionales, y sus empresas y organizaciones, a gestionar los cambios a los que deben hacer frente, y para llevar a cabo esta tarea ha creado “El Club de Delegados de Protección de Datos”, del que Govertis es partner estratégico.

Esta iniciativa ya fue anunciada en primicia por Marta Villanueva, Directora General de la AEC,  en el Insight exclusivo DPD sobre RGPD que organizó la entidad el pasado 2 de octubre, moderado por Eduard Chaveli (Socio y CEO en Govertis), en el que se presentó el “Club DPD” como un espacio referente de conocimiento, pertenencia y relación para los profesionales, y en el que ya se comenzaron a intercambiar experiencias de DPD´s de marcas referentes allí presentes.

Tras aquella presentación inicial, ha llegado el momento de dar comienzo a esta iniciativa con un primer encuentro el próximo 28 de noviembre, en el Auditorio Caja de Música del Palacio de Cibeles (Madrid), en el que se reunirán profesionales destacados del ámbito de la privacidad con el objetivo de compartir su conocimiento, experiencias e inquietudes en torno a la figura del DPD

Este primer encuentro comenzará con una presentación de la mano de Marta Villanueva, que inaugurará el Club e informará sobre el Plan de actividades del mismo para el año 2019. Tras la presentación, se abordarán las novedades más importantes introducidas en la Nueva LOPD de la mano de Javier Sempere Samaniego, Letrado del Consejo General del Poder Judicial (CGPJ) y Jefe de Área en el Centro de Documentación Judicial (CENDOJ). A continuación, tendrá lugar la Mesa Redonda, en la que una selección de DPD´s de referencia de diferentes sectores compartirán sus experiencias:  José Antonio Muñoz (Telefónica), María Luisa Muñoz Martínez (ONCE), Alejandro Artetxe (Hospitalarias Provincia de España), y Lluís Sanz i Marco (Ayuntamiento de Barcelona), y que será moderada por Eduard Chaveli, Socio y CEO en Govertis. Para finalizar, Javier Villegas, Lead Advisor Privacidad Sector Salud en Govertis, nos trasladará el punto de vista más operativo y el valor más cotidiano, a través de experiencias prácticas y la documentación más actualizada para el trabajo diario del DPD. Para más información, puedes encontrar la agenda detallada del encuentro en el siguiente enlace.

Si quieres sumarte a este primer encuentro, tan solo debes formalizar la inscripción en el siguiente enlace. ¡No te lo puedes perder!