¡La Asociación Española para la Calidad lanza su NUEVA WEB! Todo un escaparate de ventajas para su Club DPD

A raíz del Nuevo Reglamento Europeo de Protección de Datos (RGPD), la Asociación Española para la Calidad (AEC) creó el pasado mes de noviembre el Club de Delegados de Protección de Datos con el compromiso de ayudar a los profesionales del sector, a las empresas y a las organizaciones a adaptarse al correcto cumplimiento de la nueva ley.

Ahora la AEC ha dado un paso más para impulsar la calidad y ha creado su nueva web, a través de la cual establece un espacio para que más de 1.400 profesionales y marcas de referencia intercambien experiencias. Aunque la AEC trabaja desde 1961 para mejorar la calidad en España, la recientemente renovada plataforma es una clara muestra de que la asociación mantiene sus valores a la vanguardia, transformando la calidad y creando futuro.

La nueva plataforma es más sencilla de usar, intuitiva y multidispositivo. Además incorpora un formato más moderno que facilita la navegación de los socios por las diferentes áreas.

¿Qué ventajas tiene la nueva web AEC para el Club DPD?

Aunque el Club DPD dispone de sus propios espacios digitales, como un site específico, el blog DPD/DPO de contenidos y una Comunidad privada en Linkedin, la nueva web de la AEC también trae consigo 2 claras ventajas para el Club:

Mayor notoriedad y atracción

El Club DPD es un espacio privado en el que compartir experiencias, conocimientos e inquietudes, no obstante, formar parte del escaparate de la AEC es una manera dar a conocer el Club y conseguir nuevos profesionales que quieran compartir sus experiencias y conocimientos con el resto de miembros.

Además, la nueva web AEC dispone de un espacio de actualidad en el que hablar sobre los últimos eventos acontecidos que hará que los encuentros realizados en el Club cojan fuerza, brillen más y consigan un mayor número de inscritos.

Oportunidades y ventajas en formación

Aunque en el site del Club DPD se ponen a disposición de los usuarios el Programa Avanzado DPD/DPO y el Programa Superior DPD/DPO, la AEC incluye entre sus opciones de formación una gama completa de cursos de Protección de Datos, de gran interés para los miembros del Club DPD, quienes disponen además de una ventaja especial de un 20% de descuento en formación por pertenecer al Club:

• El día a día del Delegado de Protección de Datos
• Taller práctico para la gestión y notificación de brechas (o incidentes) de seguridad
• Los Sistemas de Gestión de la Seguridad de la Información (ENS e ISO 27001) y el cumplimiento del RGPD
• Conoce la nueva Ley Orgánica de Protección de Datos
• Nuevo Reglamento de Protección de Datos. Evaluación de Impacto en Privacidad
• Implantación de un sistema de Seguridad en la Información conforme a ISO 27001

Sin duda el lanzamiento de la nueva web supone un impulso para la Calidad, y trae consigo ventajas para quienes forman parte del Club DPD de la AEC. ¿Ya has visitado la nueva web AEC? ¡Descúbrela!

Límites a considerar para una adecuada definición de las figuras del Responsable y del Encargado del Tratamiento

Una de las cuestiones vitales cuando hablamos de proteger datos de carácter personal es la correcta definición de las responsabilidades que deben asumir cada una de las partes autorizadas para su tratamiento, ya que, estar en uno u otro supuesto, generará obligaciones diferentes.

Quizás, de las responsabilidades principales que se definen en el RGPD, la definición del rol del DPD esté perfectamente delimitada y, de hecho, esta figura ha sido objeto de numerosos artículos en donde se han analizado rigurosamente cada una de las características del mismo. No obstante, en la práctica, debido a la gran casuística existente, a legislaciones sectoriales y al gran volumen de flujo de datos, entrante y saliente, de cada Responsable del Tratamiento, en ocasiones, resulta difícil diferenciar cuando estamos ante un acceso a datos, o ante una cesión, siendo complicado atribuir cada rol mencionado.

Por un lado, ya con anterioridad a la entrada de esta nueva legislación europea, esta era una de las cuestiones ampliamente debatidas. Debido a este hecho, en algunos informes de la Agencia Española de Protección de Datos o “AEPD” se pueden encontrar argumentos que nos ayudan a delimitar, en cada caso concreto, esta diferenciación. En este sentido, especialmente ilustrativo es el Informe Jurídico 0290/2008, en donde se configuraba al Encargado como una parte externa que no tiene control sobre los tratamientos, sino que simplemente trata información para finalidades del Responsable. La característica clave sería que el Encargado debería limitarse a cumplir con las instrucciones del Responsable.

No obstante, por otro lado, a parte de la producción jurisprudencial o doctrinal al respecto que se pudiera consultar, también se debe tener en cuenta el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29 sobre conceptos del Responsable del Tratamiento y el Encargado del Tratamiento. En este documento, después de un análisis pormenorizado del concepto, se refuerza la necesidad del tratamiento de datos por cuenta del Responsable como característica principal que debe tener un Encargado, y establece, como principal punto de distinción para determinar la posición de Responsable, el poder de decisión sobre las finalidades para las que se destinan los datos.

En consecuencia, como ha argumentado la AEPD en alguno de sus informes, “para determinar si nos encontramos en presencia de un Encargado del Tratamiento deberá analizarse si su actividad se encuentra limitada a la mera prestación de un servicio al responsable, sin generarse ningún vínculo entre el afectado y el supuesto encargado. Ello sucederá si la empresa externa no puede en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicios propiamente dicha, sin utilizar los ficheros generados en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero”. No será considerado, por tanto, como un acceso a datos cuando ese vínculo de poder se rompe, y la tercera empresa que trata datos destina, para otras finalidades, los datos obtenidos. De cualquier forma, el propio Grupo de Trabajo del Artículo 29, en sus conclusiones, reconoce que, aun habiéndose esforzado en la explicación de estos conceptos, será preciso atender a las circunstancias del caso concreto para una correcta definición de responsabilidades y que esta asignación de roles o responsabilidades seguirá planteando dificultades en la práctica, lo que, sin duda, podrá justificar un análisis detallado para lograr una solución adecuada.

Si quieres tener controlado en tu día a día toda la documentación y los procesos necesarios para ejercer tu labor como DPD, completa tu formación con el curso “el día a día del DPD“.

El equipo Govertis

La importancia de actualizar el software y no convertirlo en vulnerabilidad a múltiples amenazas

Utilizar software sin actualizaciones hace que sean vulnerables a múltiples amenazas. Los ciberdelincuentes lo saben y han puesto foco en estas herramientas.

II Insight del Club DPD: Un Encuentro Exclusivo sobre LOPDGDD y RGPD

El Club DPD de la Asociación Española para la Calidad tiene previsto un total de siete encuentros a lo largo del 2019, y ayer se llevó a cabo el segundo de ellos. El Club DPD, que ya cuenta con 200 miembros, se dio cita para tratar algunas de las temáticas de máxima actualidad en lo que a Protección de Datos se refiere. Algunos de los miembros del Club asistieron en persona a este encuentro y al taller práctico posterior, mientras que el resto de miembros pudo seguir el evento vía streaming. Además, aquellas personas interesadas en las temáticas tratadas pero que no pertenecen al Club DPD, tuvieron la ocasión de seguir vía streaming las dos primeras ponencias.

La Libertad de Expresión y el Testamento Digital

La primera ponencia de la jornada estuvo en manos de Ofelia Tejerina, abogada, Master en Derecho Informático y Doctora en Derecho Constitucional. Además, fue la ganadora del premio Confilegal 2018 en la categoría LegalTech. Ofelia Tejerina abordó el título X de la LOPD-GDD y la libertad de expresión en relación a otros derechos.

Durante su ponencia analizó el artículo 96 de la nueva ley: derecho al testamento digital. También trató aspectos relacionados de gran interés como la desinformación, la libertad de expresión y la libertad de información. Pero Ofelia tejerina puso especial atención en el derecho de  rectificación, e hizo varios apuntes de gran relevancia, como el hecho de que “la veracidad no es la verdad absoluta”. No te pierdas la ponencia completa:

El Encargado de Tratamiento: deber de Diligencia 

Leandro Núñez, abogado y socio de Audens fue el encargado de impartir una interesante ponencia, centrada en la elección y supervisión de los encargados del tratamiento. Leandro Núñez habló de la responsabilidad proactiva y la responsabilidad in vigilando, pero lo que conquistó realmente a la audiencia fue su aportación personal sobre lo que debemos buscar a la hora de elegir un tratamiento, una información muy útil para los asistentes al encuentro. Además, a los largo de su ponencia Leandro Núñez habló  sobre la labor del DPD. No te pierdas la ponencia completa:

A partir de esta ponencia se elaboró la infografía ¿Cómo elegir un Encargado del Tratamiento? Una guía con 7 claves para ayudarnos en la decisión.

Análisis de Riesgos y Evaluaciones de Impacto

Aunque cualquiera que estuviera interesado en las temáticas tratadas pudo disfrutar de las ponencias de Ofelia Tejerina y Leandro Núñez, solo los miembros del Club DPD pudieron asistir además al taller práctico impartido por Javier Cao, sobre el análisis de riesgos y las evaluaciones de impacto.  Javier Cao llevó a cabo una ponencia de lo más completa en la que evaluó los diferentes aspectos a tener en cuenta en un análisis de riesgos. Además, compartió con su audiencia la fuente de los materiales que utiliza para este tipo de análisis, así como para las evaluaciones de impacto.

¿Quién ha hecho posible este encuentro?

Este Insight Exclusivo, así como el resto de encuentros, es una iniciativa del Club DPD de la Asociación Española de la Calidad. Este Club está gestionado por Alberto González, quien organiza los espacios y los pone a disposición de los interesados. Además, para la moderación del encuentro contamos con Eduard Chaveli, CEO de Govertis. Los miembros del Club DPD pueden asistir a estos encuentros, pero para ellos la experiencia no termina una vez que finalizan, porque el Club también pone a su disposición el Club DPD Privado, a través de la red social Linkedin, en el  que sus miembros pueden plantear dudas e intervenir en los temas de debate.

¿Te gustaría disfrutar de todas las oportunidades que el Club DPD pone a disposición del público? ¡Apúntate al Club DPD! y mantente a la vanguardia en lo referente a Protección de Datos.

El ENS como parte del RGPD. Aproximación al Esquema Nacional de Seguridad.

Hace un año aproximadamente publicábamos un artículo en el que  hacíamos referencia a la  Disposición adicional primera del Proyecto de Ley Orgánica de Protección de Datos relativa a las medidas de seguridad en el ámbito del sector público.

Con la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), los responsables de tratamiento enumerados en el art 77 de la mencionada Ley, -esto es, los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos, los órganos jurisdiccionales, la Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local; los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas; las autoridades administrativas independientes; el Banco de España; las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público; las fundaciones del sector público; las Universidades Públicas; los consorcios y los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales-,  deberán  aplicar a los tratamientos de datos de carácter personal las medidas de seguridad que correspondan de las previstas en el ENS, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

Por otro lado, en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, también se verá obligado a aplicar las medidas de seguridad que se  corresponderán con las de la Administración pública de origen que en todo caso deberán ajustarse al Esquema Nacional de Seguridad.

¿Pero sabemos realmente en qué consiste el ENS?

Ámbito de aplicación

En caso de duda sobre el ámbito de aplicación del ENS, resulta de interés consultar la guía 830 del CCN–STIC.

Regulación

• Real Decreto 951/2015, de 23 de octubre, de modificación del R.D. 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
• Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
• Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
• Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
• Normas técnicas de seguridad
• Guías CCNN-STIC de Seguridad de los Sistemas de Información y Comunicaciones.

¿Cuáles son sus objetivos?

Su objeto principal es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por requisitos mínimos que permitan una protección adecuada de la información. Podemos enumerar los siguientes:

• Creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas de seguridad que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
• Establecer una Política de Seguridad en el uso de medios electrónicos, constituida por los requisitos mínimos para una protección adecuada de la información.
• Introducir elementos comunes para las Administraciones Públicas en materia de seguridad de las tecnologías de la información.
• Aportar un lenguaje común para facilitar la interacción de las Administraciones Públicas.
• Aportar un tratamiento homogéneo de la seguridad, cuando participen diversas entidades.
• Facilitar un tratamiento continuado de la seguridad

¿Qué sistemas, aplicaciones o servicios están comprendidos en el ENS?

• Sedes electrónicas
• Registros electrónicos
• Sistemas de información accesibles electrónicamente por los ciudadanos
• Sistemas de información para el ejercicio de derechos.
• Sistemas de Información para el cumplimiento de deberes.
• Sistemas de Información para recabar información y estado del procedimiento administrativo

¿Qué medidas de seguridad recoge el ENS?

De acuerdo con el ENS,  la adopción de medidas de seguridad deberá ser proporcional a la naturaleza de la información, el sistema y los servicios a proteger mediante la determinación de la categoría del sistema, atendiendo a  los riesgos a los que están expuestos.

Medidas de seguridad recogidas en el Anexo II

Así, para saber las medidas de seguridad concretas de carácter organizativo, operacional y de protección de entre las 75 recogidas en el Anexo II que deberemos aplicar al  sistema  en cuestión,  resultará necesario determinar previamente la categoría del sistema (básica, media o alta),  en función de la valoración del impacto que tendrá un incidente que afectará a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad, siguiendo el procedimiento establecido para ello en el Anexo I. Las medidas de seguridad a implantar deberán recogerse en la declaración de aplicabilidad o SOA de la organización.

Se puede obtener más información sobre el ENS, así como acceder a las guías técnicas de seguridad en la página web del CCN CERT.

El rol del DPO como mediador y de resolución extrajudicial de conflictos

El artículo 39 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), dispone que las funciones del DPO serán, como mínimo, las siguientes:

1. a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
2. b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
3. c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
4. d) cooperar con la autoridad de control;
5. e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Por su parte el apartado 2º del art 35 del RGPD insiste en el rol de asesor del DPO: “El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos”.

Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales dentro de las funciones del RGPD de cooperación y punto de contacto con la autoridad de control y los interesados, introduce unas disposiciones en el artículo 37 que otorgan al DPO funciones de mediador y resolución extrajudicial de conflictos:

Por un lado, los interesados podrán con carácter previo a la presentación de una reclamación ante la autoridad de control competente, dirigirse al delegado de protección de datos de la entidad contra la que se reclame. El DPO tendrá dos meses desde la presentación de la reclamación para comunicar al interesado que solución se da a su reclamación. Esta previsión se ha creado en desarrollo del apartado 4º del art 38 del RGPD: “Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento”.

Por otro lado, si el interesado no ha reclamado previamente al DPO, la autoridad de control, podrá remitir la reclamación al DPO para que en el plazo de un mes intente dar una respuesta satisfactoria a la reclamación. Si no lo logra o bien no responde en el plazo de un mes, la autoridad de control podrá abrir el procedimiento sancionador correspondiente. En este supuesto la Agencia Española de Protección de Datos viene exigiendo en estos casos:

• Informe de las causas que han originado la reclamación.
• Informe sobre la solución que se ha dado al reclamante
• Informe sobre las medidas técnicas y organizativas implementadas para evitar reclamaciones similares en el futuro.

Si el reclamante queda satisfecho o la autoridad de control observa que se ha actuado conforme a la normativa vigente o se han adoptado las medidas oportunas, puede posteriormente no admitir a trámite la reclamación de acuerdo con el art 65.4 de la LOPDGDD: “Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica”. Esta previsión dota al DPD de una posición privilegiada a la hora de asesorar, supervisar y actuar como punto de contacto con vistas a evitar la apertura de un procedimiento sancionador mediante la mediación y la resolución extrajudicial de conflictos, lo que lo convierte en una figura muy recomendable en los casos en los que su nombramiento no es obligatorio sino voluntario.

Es importante indicar que el DPO no resuelve en los casos anteriores la reclamación, sino que asesora a la entidad a la que representa sobre la mejor solución y la mas acorde con la normativa, y posteriormente traslada al reclamante o a la autoridad de control la respuesta de dicha entidad. Una cosa es que el DPO prepare y elabore la respuesta, y otra cuestión diferente es que la respuesta sea imputable al DPO incluso aunque la haya firmado.

Si el DPO responde a una reclamación de un interesado o a una solicitud de ejercicio de derecho ARSOPL, su actuación debe consistir en remitir la respuesta de la entidad a la que representa.

Si un DPO firma y presenta a la autoridad de control la respuesta de la entidad a la que representa, lo debe hacer en base a los antecedentes, información y decisiones que le ha facilitado y ha tomado la entidad a la que representa. Todo ello puede sustentarse en los siguientes aspectos:

• EL DPO como hemos visto, asesora, supervisa y actúa como punto de contacto, en ningún momento tiene funciones ejecutivas. Es más, si es un DPO persona física con contrato laboral no podrá ser despedido o sancionado por el ejercicio de sus funciones salvo negligencia grave o dolo en el ejercicio de sus funciones (art 36.2 LOPDGDD).
• El DPO está excluido del régimen sancionador de la LOPDGDD de acuerdo con el art 70.2. “No será de aplicación al delegado de protección de datos el régimen sancionador establecido en este Título”.
• El apartado primero del art. 36 de la LOPDGDD otorga la competencia al DPO para: “inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.
• Aunque las reclamaciones derivadas por la autoridad de control al DPO vayan a su nombre, se refieren a actuaciones u omisiones del responsable o encargado al que representa. Y aunque no se haya nombrado voluntariamente DPO, el art 65 de la LOPDGDD permite remitir en idénticos términos esa reclamación: “La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación en el plazo de un mes”.
• El DPO debe documentar e informar inmediatamente a los órganos de dirección de las vulneraciones que aprecie en la normativa vigente (art. 36.4 LOPDGDD).
•  En relación con la realización de Evaluaciones de impacto en protección de datos, las Directrices del GT29 sobre DPO parten de la base que el DPO puede tener un papel relevante en la realización de las mismas. Por ello proponen que se le solicite asesoramiento en las siguientes cuestiones:

1. Si se debe llevar a cabo o no una evaluación de impacto de la protección de datos
2. Qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos
3. Si se debe llevar a cabo la evaluación de impacto de la protección de datos con recursos propios o con contratación externa
4. Qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier riesgo para los derechos e intereses de los afectados
5. Si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos y si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son conformes con el RGPD.

Si el responsable del tratamiento está en desacuerdo con el consejo expresado por el DPO, la documentación de la evaluación de impacto de la protección de datos deberá justificar específicamente por escrito por qué el consejo no se ha tenido en cuenta.

Equipo de Govertis 

Contenido del Informe de Evaluación de impacto en Protección de Datos.

Con la entrada en vigor del RGPD empezamos a familiarizarnos con las evaluaciones de impacto en protección de datos ¿pero conocemos realmente cuál debe ser su contenido?

De acuerdo con lo indicado en el artículo 35.7 RGPD:

“7. La evaluación deberá incluir como mínimo:

1. Una descripción sistemática de las operaciones del tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
2. Una evaluación de la necesidad y la proporcionalidad de las operaciones del tratamiento con respecto a su finalidad.
3. Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1 y,
4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.”

En base a lo anterior, la guía de evaluaciones de impacto de la AEPD propone que el informe contenga al menos:

• Contexto:
  • Describir el ciclo de vida de los datos: descripción detallada del ciclo de vida y del flujo de datos en el tratamiento. Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad del tratamiento.
  • Analizar la necesidad y proporcionalidad del tratamiento: análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.
• Gestión de riesgos:
  • Identificar amenazas y riesgos: Identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades del tratamiento.
  • Evaluar los riesgos: evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
  • Tratar los riesgos: respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.
• Conclusión y validación:
  • Plan de acción y conclusiones: Informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

Además de estos puntos, cada organización podrá incluir otros apartados que considere necesarios o convenientes para una mejor información a la alta dirección y el resto de destinatarios del informe como, por ejemplo, un análisis costes-beneficios de las distintas medidas de seguridad recomendadas en el informe o cualesquiera otros que se juzguen adecuados.

Finalmente, el lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los destinatarios del mismo, o al menos, si no es posible evitar ciertos términos jurídicos o tecnológicos, es conveniente incluir un glosario de términos.

Equipo de Govertis 

¿En qué consiste la nueva Regulación del Testamento Digital?

Básicamente, el art. 2.2 de la Ley Orgánica 3/2018 de Protección de Datos de Carácter Personal y Garantía de derechos digitales establece que la misma no será de aplicación “a los tratamientos de datos de personas fallecidas”. No obstante, en el artículo siguiente art. 3,  fija los criterios conforme a los cuales las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, pueden acceder a los datos personales de aquél. Tal como dispone el artículo “las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión”, siempre que la persona fallecida no lo hubiese prohibido expresamente (o así lo establezca una ley) y si bien dicha prohibición “no afectará al derecho de los herederos a acceder a los contenidos que pudiesen formar parte del caudal relicto”.

¿A quién afecta la nueva Regulación del Testamento digital?

Por lo citado anteriormente, la nueva Ley Orgánica establece la posibilidad de saber las personas que están legitimadas para poder acceder a los contenidos digitales de la persona fallecida, a no ser que se hubiera realizado una prohibición expresa a ese derecho de acceso, que en ningún momento supone una restricción de acceso al resto del contenido en el caudal relicto.

Así que la posibilidad de ejercitar el derecho de acceso a las instrucciones realizadas por la persona fallecida se podrá realizar por el albacea testamentario, representantes legales del menor fallecido, Ministerio Fiscal y aquellas personas que representen a las personas con discapacidad.

Además, estas personas legitimadas podrán instar la solicitud a los responsables del tratamiento  en los términos establecidos por la instrucción del fallecido y en particular, la eliminación de los perfiles personales en redes sociales o servicios equivalentes. Por ejemplo, Google dispone de un Administrador de cuentas inactivas para que las personas legitimadas puedan solicitar el cierre de las cuentas del fallecido.

Facebook también incluye la figura del albacea digital para que un tercero, tras el fallecimiento de una persona, se haga cargo del patrimonio digital.

En definitiva, la nueva normativa en protección de datos trata de recopilar situaciones cotidianas que necesitan una regulación específica debido a la demanda social, la proliferación de redes sociales y de comunicación digital preferentemente.

Otro aspecto relevante, es que el art. 96 de la LOPDGDD no regula una nueva forma testamentaria sino que se mantiene lo regulado en el Código Civil y demás normas reguladoras. Es decir que en nuestro ordenamiento jurídico no existe la disposición “mortis causa” exclusivamente digital, ya que se necesita la intervención de un notario para que el testamento tenga validez jurídica. Ahora bien, se puede disponer de nuestro patrimonio digital tal como se recogía en el art. 685 y 687 del Código Civil.

Lo que regula realmente la nueva normativa en protección de datos es la disposición de bienes de contenido patrimonial y  la gestión realizada por los prestadores de la sociedad de la información. Por ejemplo, las compras realizadas pendientes de entrega, el saldo existente en cuentas o monederos electrónicos (Pay-Pal, Amazón, Google Wallet), los bitcoins, todo este contenido pasa a formar parte de la masa activa de la herencia, pero, sin ningún tipo de especialidad, respecto a los demás bienes del causante.

Por último, en el art. 96 se establecen que los requisitos y condiciones de validez de las instrucciones se realizará mediante real decreto, y adaptándose a los criterios establecidos en determinadas comunidades autónomas por razón de su derecho civil, foral o especial de aplicación.

Conclusión

En definitiva, no se establece un nuevo testamento porque ya se encuentra regulado en el Código Civil y demás normativa de aplicación sino que se establecen los sujetos legitimados para el acceso a la información del fallecido. Además, sobre el contenido del testamento se podrá especificar los diferentes usuarios y contraseñas de los perfiles del testador en Internet, instrucciones sobre quién puede cancelar las cuentas, conservarlas, realizar gestiones, qué smartphones, Tablet, ordenadores son necesarios incluir en el testamento por contener información relevante, y en definitiva, la disposición de esos nuevos elementos tecnológicos que nos encontramos hoy en día y que es interesante incluir al realizar el testamento ya que todos estos bienes digitales pasarán a formar parte de nuestra herencia, pudiendo otorgar el derecho de acceso de esta información a generaciones futuras.

Equipo de Govertis 

El Régimen Sancionador de Derechos Digitales: Primer encuentro del Club DPD

Ayer inauguramos el Club DPD de la Asociación Española para la Calidad por todo lo alto. Para tan importante ocasión contamos con diversos ponentes de primer nivel en el ámbito de la Protección de Datos.

Aunque solo algunos miembros del Club DPD tuvieron ocasión de asistir personalmente, todos pudieron presenciar las ponencias vía streaming, y a los no miembros interesados en la materia, se les invitó a disfrutar del mismo modo de las dos primeras ponencias de la jornada.

¿El motivo de celebrar este insight exclusivo? La entrada en vigor el pasado 7 de diciembre de 2018 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

¿Cómo transcurrió la jornada?

El encuentro comenzó con la bienvenida de Alberto González, gestor del Club DPD, quien además de informar a los asistentes sobre lo que estaban a punto de presenciar, habló sobre el Club DPD y dio algunos datos muy positivos, entre los que cabe destacar que ya somos más de 180 miembros. Durante todo el evento contamos con Eduard Chaveli como moderador, uno de los máximos referentes en Seguridad y Protección de Datos, y Socio y CEO en GOVERTIS. Además, los asistentes, tanto presenciales como en streaming, pudieron plantear sus preguntas y debatir de los aspectos de interés con los ponentes.

¿Qué expertos en Derechos Digitales nos acompañaron?

Comenzó rompiendo el hielo Cristina Martínez Garay, abogada especialista en Derecho de las Tecnologías de la Información en ECIJA Law & Technology y profesora en diferentes masters. Cristina analizó las novedades que introduce la nueva Ley en materia de Régimen Sancionador. Lo hizo abordando aspectos de gran relevancia, destacando los motivos por los cuales es importante conocer el Régimen Sancionador, y haciendo hincapié en un aspecto de gran interés general: las infracciones y sanciones. Puedes ver el vídeo completo de la ponencia:

A continuación, Felix Haro, Associate – Legal & Privacy Advisor en GOVERTIS y profesor de diferentes masters, analizó el título X de la LOPDGDD que hace referencia a la Garantía de Derechos Digitales, prestando especial atención al Derecho a la Desconexión Digital en el ámbito laboral. Puedes ver el vídeo de la ponencia:

Tras una pausa para el café y recuperar fuerzas, los miembros del Club DPD pudieron continuar disfrutando de la segunda parte de este insight. Este segundo bloque contó con la participación de Verónica Gutiérrez,  Associate – Legal & Privacy Advisor en GOVERTIS y certificada como DPD de por el AEC-CERPER. Verónica llevó a cabo un taller práctico sobre cómo se debe elaborar una política de Desconexión Digital, con la cual deben contar todas las organizaciones y empresas en aplicación de la nueva normativa.

Para finalizar, contamos con la aportación de Tatiana Espinosa de los Monteros Rosillo, Directora Global de Relaciones Laborales de Telefónica, quien expuso el interesante proyecto de Telefónica “Desconecta para Reconectar”.

Sin duda se trató de un encuentro único dedicado a los Derechos Digitales. Pero para los miembros del club la experiencia no finaliza aquí, a través del Club DPD Privado en la red social Linkedin pueden continuar debatiendo con los ponentes y otros expertos de la materia, plantear sus dudas e inquietudes. Además, recibirán el vídeo completo de la jornada para poder visionarlo cuando gusten, y una infografía del taller práctico que se realizó sobre la política de Desconexión Digital.

¿Te gustaría poder debatir con los expertos y recibir todo el material exclusivo? ¡No lo pienses más! Si todavía no eres miembro, apúntate al Club DPD y disfruta de todo lo que tiene que ofrecerte.

Equipo de Govertis. 

Censo electoral y protección de datos

Este 2019 nos trae uno de los años con más citas electorales de nuestra democracia. A las ya previstas elecciones europeas, locales y autonómicas, se suman ahora las elecciones generales y, quién sabe si a lo largo de este 2019 no se disuelva algún parlamento autonómico entre los que no se renuevan el próximo 26 de mayo. Trataremos en esta entrada la regulación del censo electoral en relación con la protección de datos.

El artículo 41.5 de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral Generales (LOREG) establece que “los representantes de cada candidatura podrán obtener dentro de los dos días siguientes a la proclamación de su candidatura una copia del censo del distrito correspondiente, ordenado por mesas, en soporte apto para su tratamiento informático, que podrá ser utilizado exclusivamente para los fines previstos en la presente Ley. Alternativamente los representantes generales podrán obtener en las mismas condiciones una copia del censo vigente de los distritos donde su partido, federación o coalición presente candidaturas. Asimismo, las Juntas Electorales de Zona dispondrán de una copia del censo electoral utilizable, correspondiente a su ámbito”.

Sobre este precepto y su compatibilidad con la normativa en materia de protección de datos se pronunció la Agencia Española de Protección de Datos en su Informe 0244/2014. En el mismo, se afirma que la cesión a las candidaturas proclamadas de los datos del censo electoral se encuentra amparada por lo dispuesto en el artículo 11.2 a) de la Ley Orgánica 15/1999. Hoy deberíamos hablar de que esta cesión de datos se encuentra amparada en el artículo 6.1.c) RGPD. Como bien señala la LOREG, podrán usarse estos datos “exclusivamente para los fines previstos en la presente Ley”.

El informe de la Agencia prescribe igualmente que el producto resultante de la cesión tendrá la consideración de fichero de datos de carácter personal, por lo que cada candidatura o partido político debería tener un fichero inscrito en la Agencia Española de Protección de Datos. Esta obligación, con la entrada en vigor del RGPD se transforma en la obligación del responsable del tratamiento (candidatura o partido político) de incluir en su registro de actividades de tratamiento este tratamiento de datos efectuado, con los requisitos establecidos en el artículo 30 RGPD.

En cuanto a la conservación de los datos, la AEPD aclara que la vinculación a la finalidad establecida por el artículo 41.5 de la LOREG implica que una vez celebradas las elecciones debería procederse a la supresión de los datos recibidos, que no podrían ser utilizados más que durante la campaña, de forma que al concluir esta y celebrarse las elecciones se encontraría vedada cualquier posterior utilización de la información y ampara esta afirmación en el artículo 4.5. LO 15/1999. Actualmente el principio de minimización de los datos recogido en el artículo 5.1.c) RGPD establece que los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, por lo que la conclusión de la AEPD se mantiene intacta al respecto.

Sin embargo, existe un cambio sustancial en lo establecido por la Agencia. Si en 2014, la AEPD entendía que excepcionalmente no cabía que el interesado manifestase su negativa al tratamiento, procediéndose en todo caso a la cancelación de los datos al término de la campaña electoral, la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales cambia este paradigma con la inclusión de la Disposición final tercera. Uno, que modifica el apartado 3 del artículo 39 LOREG, y que otorga el derecho de oposición a los electores sobre su inclusión en las copias del censo electoral que se faciliten a los representantes de las candidaturas para realizar envíos postales de propaganda electoral.

Sobre la aplicación de esta modificación legal se pronunció el pasado 23 de enero la Junta Electoral Central mediante Acuerdo 2/2019, en el que indicó:

“1º) Con objeto de facilitar la tramitación de las solicitudes de los electores que se opongan a su inclusión en las copias del censo electoral que la Oficina del Censo Electoral debe entregar a los representantes de las candidaturas para realizar envíos de propaganda electoral, dichas solicitudes podrán plantearse con anterioridad a la convocatoria de un proceso electoral, en Ayuntamientos, Consulados y Delegaciones Provinciales del Censo Electoral. Asimismo, podrán realizarse en la sede electrónica del Instituto Nacional de Estadística, una vez que la Oficina del Censo Electoral haya habilitado dicho trámite.

2º) La referidas solicitudes de exclusión tendrán efecto permanente hasta que el elector se manifieste en sentido contrario. 

3º) La Oficina del Censo Electoral comunicará a los electores la exclusión solicitada. 

4º) Esta exclusión deberá resultar compatible con que los representantes de las candidaturas puedan disponer de la lista completa de electores a efectos de votación y escrutinio, con los datos imprescindibles para la identificación del elector”. 

Podemos concluir por tanto, que este derecho de oposición será permanente y hasta que el elector cambie de idea y así lo comunique. Se dará al elector la posibilidad de presentarlo en diferentes lugares y, además, se prevé la posibilidad de efectuar este trámite online. Finalmente, este derecho de oposición no implica que partidos políticos y candidaturas no obtengan los datos de los electores que han ejercido este derecho, pues igualmente tendrán los datos de éstos limitando su finalidad a efectos de votación y escrutinio.

Equipo de Govertis.