915 752 750
aec@aec.es
915 752 750
aec@aec.es
¿Qué es una política BYOD? Estas siglas en inglés responden a “Bring Your Own Device”. Se denomina así al uso de dispositivos personales en el ámbito corporativo. Esta práctica empresarial conlleva unos riesgos que deben ser localizados y recogidos en un protocolo de actuación o política BYOD.
¿Cuáles son algunos de los principales elementos de esta política de seguridad?
Este ejemplo de política BYOD se habrá establecido una vez valorados los posibles riesgos al realizar una evaluación de impacto a un determinado tratamiento como el uso de dispositivos personales en el ámbito laboral, conforme al art. 35 del nuevo Reglamento Europeo de Protección de Datos (RGPD), en cuyo caso la organización valorará si el riesgo es asumible o por el contrario, hay que adoptar algún tipo de control que lo mitigue.
Una posibilidad para minimizar estos riesgos consiste en implementar sistemas de gestión de dispositivos móviles (Mobile Device Management o MDM) que se encargan de monitorear, integrar y administrar los dispositivos móviles, como smartphones, tabletas y computadoras portátiles, en el lugar de trabajo. Así, se puede cumplir con el principio de minimización de datos que recoge el RGPD en el artículo artículo 5.1.c) al garantizar la seguridad de los datos corporativos almacenados en dispositivos móviles, redes inalámbricas y aplicaciones de la compañía. La intención del MDM es optimizar la funcionalidad y la seguridad de los dispositivos móviles dentro de la empresa, a la vez que protege la red corporativa para evitar cualquier tipo de fuga de datos o intromisión por parte de terceros.
Las principales ventajas relacionadas con la seguridad IT y privacidad que se puede conseguir con la implementación de una solución MDM son:
Por último, el Grupo de Trabajo del 29 señala la importancia de implementar y comunicar políticas de uso aceptable de las TIC y se refiere, en particular, a la monitorización del trabajo en casa y remoto, indicando que la clave en este caso es gestionar cualquier riesgo que implique el trabajo a distancia de manera proporcional, considerando en particular, a la hora de utilizar tecnologías de monitorización, los límites entre uso profesional y privado, incluyendo ejemplos como (Bring Your Own Device, BYOD) y la gestión de dispositivos móviles (Mobile Device Management, MDM).
Equipo de Govertis
El blockchain, o cadena de bloques, es una tecnología destinada a tener un impacto enorme en todos los ámbitos de nuestras vidas. Conocida por ser la base tecnológica del bitcoin, este sistema es una base de datos compartida que registra en un libro mayor todas las operaciones entre todos sus usuarios, desde transacciones económicas hasta operaciones de compra-venta. Una de sus características es la inmutabilidad de la información que consta en los bloques ya que garantiza la seguridad y fiabilidad de la información. Precisamente es en sus cualidades donde se encuentran las incompatibilidades con el Reglamento General de Protección de Datos.
A continuación, analizaremos algunos de los puntos que desafían el cumplimiento de la blockchain con el RGPD:
Son cada vez más las voces discordantes que prevén la incompatibilidad de la Blockchain con el RGPD y abogan por dejar fuera del alcance de la normativa europea a esta nueva tecnología. El pasado 1 de febrero la Comisión Europea puso en marcha el Observatorio y Foro de Blockchain de la Unión Europea con el objetivo de promover su uso y destacar sus avances más significativos. Dado el interés del legislador europeo por la privacidad y la protección de los datos de los ciudadanos, es fácil imaginar que encontrarán una solución a lo que parece una incompatibilidad entre el RGPD y la blockchain.
El equipo de profesionales de Govertis
Este 2 de octubre hemos tenido el placer de celebrar un webinar-insight exclusivo sobre el RGPD, dando continuidad a la misión de la AEC de ofrecer toda la ayuda en la interpretación de la nueva normativa y su aplicación en los temas clave.
Borja Adsuara, Profesor, Abogado y Consultor, experto en Derecho, Estrategia y Comunicación Digital, nos habla sobre el Interés legítimo, que con el Nuevo Reglamento cobra especial relevancia. Javier Cao, Ingeniero en Informática, Lead Advisor en Ciber Riesgo en Govertis, comparte las mejores prácticas y lecciones aprendidas en la Gestión de Brechas de seguridad.
El evento ha sido presentado por Marta Villanueva, Directora General de la AEC, que además ha anunciado en primicia la creación de un Club de Delegados de Protección de datos, que será presentado a finales de noviembre. Eduard Chaveli, CEO de Govertis y uno de los máximos exponentes en Seguridad y Protección de datos ha sido el moderador del evento.
A lo largo de distintos post publicados en nuestro Blog del DPD/DPO hemos tratado la responsabilidad en el tratamiento de los datos personales, sin embrago en estas líneas queremos centrarnos en la Responsabilidad Proactiva o accountability.
Antes de entrar a ver el principio de responsabilidad proactiva en el Reglamento General de Protección de Datos (RGPD), cabe indicar que el Grupo de Trabajo del Artículo 29 (GT29), que fue sustituido tras la plena aplicación del RGPD (el 25 de mayo) por el Comité Europeo de Protección de Datos (CEPD), publicó en 2010 el Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, en el que explicaba su significado y alcance.
El GT29 señalaba que «proviene del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la práctica.» Y también que «el término apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse.»
Como señala la AEPD (Principio Responsabilidad Proactiva) el RGPD, en su artículo 24, describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Para ello las organizaciones han de analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, para pasar a realizar el Análisis de Riesgos. Pasos que se están dando en la adecuación al Reglamento General de Protección de Datos y que les llevará a determinar la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y, como indica el RGPD, que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
Así pues al hablar de Responsabilidad proactiva o accountability nos centrados en dos elementos:
¿Qué medidas encontramos en el RGPD cuya aplicación supone que las organizaciones están siendo proactivas en la adopción de medidas de seguridad?
Medidas técnicas y organizativas que serán revisadas y actualizadas, es decir, el responsable del tratamiento tendrá que evaluar o analizar en todo momento el riesgo, atendiendo también a cualquier cambio en el mismo ya sea, por ejemplo, por nuevos tratamientos de datos personales.
Por último señalar que la responsabilidad proactiva se exige al responsable del tratamiento con independencia de que trate los datos personales por sí mismo o a través de un encargado del tratamiento o subencargados de tratamiento.
El equipo de profesionales de Govertis
A lo largo de las presentes líneas abordaremos los principales aspectos que deben ser tomados en consideración a la hora de iniciar un tratamiento de Big Data.
Anonimización. Debe tenerse en cuenta que si el tratamiento de datos de Big Data se realiza sobre información completamente anonimizada no se considerará dato de carácter personal y no aplicará la normativa de protección de datos y que, si el tratamiento de datos de Big Data se realiza sobre datos personales, sí que aplicará la normativa de protección de datos personales.
Pero debe advertirse que anonimizar es eliminar cualquier variable de identificación. El avance de la técnica ha determinado que lo que en un determinado momento es irreversible, puede no serlo en el futuro. Además, el riesgo cero no existe en ningún aspecto relacionado con la seguridad y la privacidad y en este caso no iba a ser una excepción.
Transparencia. Tanto si los datos provienen directamente del interesado como si provienen de otra fuente, se deberá facilitar información conforme al artículo 13 o 14 del RGPD. Es más, cuando se informa sobre los usos y finalidades previstos, se deberá incluir información clara y sencilla sobre el tratamiento realizado por los algoritmos que intervienen en el tratamiento, con las dificultades que ello conlleva.
Base jurídica del tratamiento. Partiendo de los supuestos en los que la información no está anonimizada, por lo que aplica el RGPD, se debe determinar la base jurídica del tratamiento. Como indica el Código de buenas prácticas en protección de datos para proyectos de Big Data, no existe una única legitimación al tratamiento. Se debe determinar antes de iniciar el tratamiento si encaja en alguno de los supuestos de legitimación y en caso contrario, solicitar el consentimiento expreso.
Minimización de los tratamientos. Este principio debe ser estudiado concienzudamente ya que al realizarse tratamientos masivos de datos pueden recolectarse datos excesivos con las finalidades del tratamiento. En base a este principio tampoco se pueden recoger mas datos de los necesarios para futuras necesidades no previstas en el momento inicial.
Origen de los datos. El Big Data de nutre de fuentes endógenas y exógenas. en relación con las segundas deberemos cerciorarnos que el dato ha sido obtenido legítimamente por la entidad que lo facilita. También se debe tener presente que los metadatos asociados a una información primaria también están sometidos al RGPD.
Derechos de los interesados. En relación con el ejercicio de derechos se plantea la problemática de posibilitar permanentemente un sistema para que los interesados puedan ejercitar sus derechos debido a que estos tratamientos se suelen prologar en el tiempo. De esta manera la utilización de las denominadas PETs (Privacy Enhanced Technologies) respetuosas con el usuario y en las que tenga permanentemente el control sobre sus datos, pueden ser una buena opción.
De entre todos los derechos cabe destacar la especialidad para tratamientos de Big Data en relación con el derecho de portabilidad. En este sentido, el Grupo de Trabajo del Artículo 29 en sus Directrices sobre la aplicación del derecho a la portabilidad considera que el concepto de datos facilitados por el interesado incluye los datos proporcionados de manera activa por el interesado y los datos observados a partir de esos datos facilitados (datos de ubicación, búsqueda, ritmo cardiaco, etc) pero no incluye dentro de los datos sujetos al derecho a la portabilidad a los datos inferidos o deducidos que hayan sido creados por el responsable de tratamiento a partir de los datos proporcionados por el interesado (como pueden ser los resultados algorítmicos).
Evaluación de impacto en protección de datos. En la mayoría de los tratamientos de Big Data será necesario realizar una EIPD. Incluso si los datos se van a anonimizar, sería conveniente realizar una evaluación de impacto limitada al proceso de anonimización y riesgo residual de reidentificación.
Seguridad. En materia de seguridad de los tratamientos hay diferentes aspectos a tener en cuenta dependiendo de la fase de tratamiento. Debe tenerse en cuenta que el valor de la información puede ser muy preciado por cibercriminales o simplemente por la competencia. Inclusive el propio algoritmo que realiza el tratamiento puede ser codiciado. El Código de buenas prácticas en proyectos de Big Data establece las principales medidas de seguridad que se deben tener en cuenta en estos tratamientos:
El equipo de profesionales de Govertis
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD) regula, por primera vez, un supuesto de hecho que ha necesitado respuesta legislativa. Así, es el caso de los tratamientos de datos de carácter personal realizados, de manera conjunta, por dos o más entidades, como es el caso de los grupos empresariales. En la práctica, pueden disponer de una base de datos nutrida por las diferentes sociedades mercantiles del grupo, siendo todas éstas las que, sin distinción, deciden sobre el contenido, uso y finalidad del tratamiento de los datos.
Arreglo a la legislación española, hemos entendido que cada una de estas empresas del grupo ostenta la condición de Responsable de Tratamiento, “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”. Sin embargo, no se establecía, a nivel legislativo, la responsabilidad que adquirían. Tan sólo se limitó a señalar que cada una, en condición de Responsable, debía notificar el fichero, tratado simultáneamente, ante la autoridad de control.
Ahora, entendiéndose pertinente por parte del legislador europeo la atribución clara de responsabilidades, cuando estas empresas del grupo determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados CORRESPONSABLES. Y, en tal caso, deben determinar, de modo transparente y de mutuo acuerdo, sus responsabilidades respectivas en el cumplimiento de las obligaciones en protección de datos; en especial, el deber de información y las relativas a la atención de los derechos de los interesados, a cuyos efectos podrá fijarse a un punto de contacto en común.
El grupo empresarial ha de reflejar, debidamente, en el acuerdo las funciones que asumen cada uno y dará a conocer a los interesados los aspectos esenciales del mismo. No obstante, los interesados, independientemente de los términos del acuerdo, podrán ejercer los derechos en protección de datos frente a, y en contra de, cada uno de los Responsables.
Cabe añadir que, el Reglamento establece que si los responsables participan en el mismo tratamiento, cada responsable debe ser considerado responsable de la totalidad de los daños y perjuicios. No obstante, si se acumulan en la misma causa, de conformidad con el Derecho de los Estados miembros, la indemnización puede prorratearse en función de la responsabilidad de cada responsable por los daños y perjuicios causados por el tratamiento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los daños y perjuicios. Todo responsable que haya abonado la totalidad de la indemnización puede interponer recurso posteriormente contra otros responsables que hayan participado en el mismo tratamiento.
Con esto, los términos en los que se articule el acuerdo por parte del grupo son absolutamente relevantes, a los efectos de delimitar las responsabilidades de cada uno y no verse así en un conflicto desagradable.
El Equipo Govertis
La semana pasada nos vimos sorprendidos por la comunicación por parte de Ticketmaster de una posible brecha de seguridad que afectaba a los datos de sus clientes. Todo incidente debe llevarnos a la reflexión y plantearnos la eterna pregunta ¿Me puede pasar a mi? Este es un incidente que pone de manifiesto la importancia de garantizar tanto la protección propia como la de cualquiera de los proveedores que formen parte de la cadena de suministro.
En este caso, la puerta de entrada ha sido un problema en un producto de atención a usuarios que gestionaba el proveedor Inbenta Technologies.
En el marco del Reglamento de General de Protección de Datos, hay ahora cuestiones contractuales que son muy relevantes y que deben ser incluidas en toda elaboración de cláusulas para cuando se produzcan incidentes. En relación a la gestión de las notificaciones de brechas de seguridad, el artículo 33 establece el plazo de 72 horas para notificar a la Autoridad de control una vez se tiene conocimiento del incidente y se ha valorado el riesgo para los derechos y deberes del afectado. Sin embargo, el punto siguiente establece que esa notificación, cuando el incidente se produce y se es encargado de tratamiento, debe realizarse sin dilación indebida. Son muchos los casos de organizaciones y empresas que suelen desempeñar el doble papel de responsable de tratamiento y encargado. Por tanto, cuando sucede un incidente y se identifican los sistemas afectados, se deben iniciar las actividades de comunicación y coordinación con aquellas entidades para las que ostentamos la figura de encargado de tratamiento dando la máxima transparencia sobre lo acaecido con el objetivo de poderles permitir a ellas, como responsables del tratamiento, contar con información precisa para dar cumplimiento a los requisitos del artículo 33 del RGPD.
Es necesario, por tanto, establecer en el contrato de encargo de tratamiento con cierta claridad cuál será el protocolo a emplear en caso de incidente y establecer los responsables en la coordinación y respuesta por ambas partes.
El responsable de tratamiento identificará al interlocutor con el que comunicar y el encargado también definirá quién será el punto de contacto al que dirigirse en caso de problemas. Se pueden también establecer los marcos de colaboración y los servicios a prestar por parte del encargado para contribuir en la reacción y respuesta frente al incidente. En muchos casos, la capacidad de reacción del responsable del tratamiento dependerá del nivel de diligencia de sus encargados de tratamientos. Pensemos proveedores que ofrecen cualquier modalidad de servicios en cloud (IaaS, PaaS o SaaS). La respuesta técnica estará en manos del proveedor tecnológico y podría darse la circunstancia de que el incidente afectará de forma simultánea a varios responsables del tratamiento. No suele gustar plantearse escenarios de riesgos pesimistas pero el momento de atar estos cabos es justo en el proceso de contratación del encargado. Encontrar un proveedor que tenga estos temas resueltos y muestre proactividad y claridad de ideas es un buen síntoma de estar acertando en la elección.
Merece la pena también leer la sección creada por Ticketmaster con la información sobre el incidente como ejemplo del modo en el que deben realizarse este tipo de comunicaciones. Está accesible en la URL https://seguridad.ticketmaster.es/
El equipo de profesionales de Govertis
El análisis de riesgos es, por definición, el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.
Históricamente se ha utilizado como una herramienta de decisión en entornos financieros y de seguridad, si bien, es una herramienta que utilizamos de forma inconsciente en nuestra vida cotidiana: desde que nos despertamos, la elección de nuestras acciones viene determinada en función de los riesgos, desde elegir la ropa que nos ponemos (cogemos el abrigo si sabemos que va a hacer frio, o el paraguas si está nublado, ¿Pero por qué? Porque la probabilidad de pasar frío o mojarnos es alta y si se confirma el hecho, las consecuencias no son deseables), hasta la elección de movernos en coche o coger transporte público, dependiendo del tráfico.
Existen diferentes metodologías que desarrollan un método formal para realizar este estudio, algunas reconocidas internacionalmente como Magerit v.3 o la ISO 31000:2018. Es importante seleccionar un método, ya que también por definición un análisis de riesgos formal debe reunir tres condiciones: deber ser objetivo, repetible y comparable.
Independientemente de la metodología escogida se debería comenzar por conocer qué es lo que nos preocupa o sobre qué queremos hacer el estudio (en el entorno de una EIPD, en el ámbito del Reglamento General de Protección de Datos, sería el tratamiento de datos personales), para posteriormente identificar qué posibles eventos podrían suceder que lo pusieran en peligro (identificación de escenarios de riesgos).
Dichos escenarios de riesgos deberán ser analizados en dos sentidos: por un lado estimar la frecuencia de ocurrencia de dicho escenario, y por otro, supuesta la materialización del escenario, qué posibles daños podría ocasionar. Para ello, se deberán establecer criterios de impacto (en el caso de las EIPD, en el ámbito del RGPD, cómo se ven afectados los derechos y las libertades de los individuos) y escalas del daño (por ejemplo: bajo, medio y alto).
La fórmula del riesgo es sencilla: Riesgo = Frecuencia x Impacto. Para ello, normalmente se suelen establecer matrices de riesgo, donde se representa gráficamente dicha relación.
Ejemplo de matriz de riesgo
El siguiente paso, es evaluar los riesgos e indicar qué riesgos son aceptables y cuáles no lo son, y por lo tanto van a requerir de un tratamiento.
En el siguiente punto, se propondrán posibles acciones para tratar el riesgo. Existen diferentes opciones: acciones dirigidas a reducir el riesgo, ya sea reduciendo la probabilidad o el daño, para evitar el riesgo, trasladar el riesgo a un tercero o, en última instancia, asumir el riesgo.
Esta última acción, debería ser por defecto la última opción, debe ser una decisión de la alta dirección y debe estar justificada.
El último paso consiste en estimar cómo de efectivo se estima que sea el tratamiento, para finalmente calcular el riesgo residual, el cual, debe ser comunicado a la alta dirección y debe ser aprobado por la misma.
El equipo de profesionales de Govertis
Los Encargados de tratamiento, es uno de los aspectos que ha sufrido modificaciones con el Reglamento General de Protección de Datos (RGPD).
Las novedades más importantes son:
1.- Antes no se establecían de forma directa obligaciones para los encargados, centrándose la LOPD y su reglamento de desarrollo en las obligaciones del Responsable del Fichero. Ahora, con el RGPD, se establecen a lo largo de su articulado diversas obligaciones ya dirigidas directamente a los encargados tales como:
2- Antes existía cierto deber de diligencia a la hora de seleccionar a los encargados de tratamiento, pero ahora se hace énfasis en la necesidad de escoger y estudiar las condiciones de seguridad que ofrecen los encargados de tratamiento al amparo del RGPD, de tal manera de que sólo se han de elegir encargados de tratamiento que puedan demostrar que cumplen con el RGPD.
A manera de comparativa es ejemplificativo el cuadro que expongo a continuación:
| Obligaciones | LOPD | RGPD |
| Elección del encargado de tratamiento | El Reglamento de Desarrollo de la LOPD establecía la necesidad de diligencia debida en la selección de encargados | Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa). |
| Modo de comprobar que el encargado cumple con las exigencias legales | Era una obligación sin mencionar el cómo hacerse, por lo que en la práctica se pedía un comprobante de la empresa que había adaptado o auditado al encargado de tratamiento | Para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, éstos podrán adherirse a códigos de conducta o certificarse dentro de los esquemas previstos por el RGPD |
| Obligaciones Responsables/Encargados | La LOPD se centra en la actividad de los responsables | El RGPD, por el contrario, contiene obligaciones expresamente dirigidas a los encargados, tales como:
· Deben mantener un registro de actividades de tratamiento. · Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan. · Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD |
3.- Por último, los contratos de encargo de tratamiento tienen nuevas menciones, por lo que hay que redactar nuevos contratos que incluyan dichas novedades.
También creo y, a manera de ejemplo, que el siguiente cuadro deja claro las diferencias de contenidos entre el contenido del contrato exigido por la LOPD y por el RGPD.
| Contenido del contrato | LOPD | RGPD |
| El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas | Se debe hacer mención a esta situación | Se debe hacer mención a esta situación |
| Se indicarán las medidas de seguridad | Se debe hacer mención a esta situación | Se debe hacer mención a esta situación |
| Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. | Se debe hacer mención a esta situación | Se debe hacer mención a esta situación |
| En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. | Se debe hacer mención a esta situación | |
| Si se permite o no la subcontratación | Se debe hacer mención a esta situación | Se debe hacer mención a esta situación |
| Las personas autorizadas para tratar datos personales por parte de los encargados de tratamiento se han tenido que comprometer a respetar la confidencialidad o estarán sujetas a una obligación de confidencialidad de naturaleza estatutaria | No se exigía | Se exige |
| Respuesta a las solicitudes de los derechos de los titulares: Se debe dejar por escrito si las solicitudes del ejercicio de derechos las responde el encargado o se trasladan al responsable | No se exigía | Se exige |
| Deber de colaboración: Ayudará al responsable a garantizar el cumplimiento de ciertas obligaciones legales (implantación de medidas de seguridad, notificación de violaciones de seguridad y Evaluaciones de Impacto de Privacidad) | No se exigía | Se exige |
| Demostrar el cumplimiento de sus obligaciones: Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. | No se exigía | Se exige |
El equipo de profesionales de Govertis
La primera vez que se habló del derecho al olvido fue en la Sentencia C-131/12, TJUE, 13/05/2014 y, actualmente el Reglamento (UE) 2016/679 Del Parlamento Europeo y Del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) lo recoge, en el artículo 17 denominado “Derecho de supresión” también conocido como el “Derecho al Olvido”, de ello resulta que no será necesario acogerse a criterios jurisprudenciales para hacer efectivo el “Derecho al Olvido” al encontrarse positivizado en el RGPD.
Haciendo una lectura del mencionado artículo, podemos constatar que el “derecho al olvido” es aquel derecho que tienen los ciudadanos a solicitar que sus datos personales sean suprimidos cuando, entre otros supuestos, estos ya no sean necesarios para la finalidad con la que fueron recabados inicialmente, cuando se haya revocado el consentimiento o, cuando los datos no hayan sido recogidos de forma lícita.
Podríamos afirmar que el “derecho al olvido” es el conocido derecho de cancelación y oposición, pero aplicado exclusivamente a los medios online, por ende, su ejercicio conlleva la posibilidad de impedir la difusión de información personal a través de Internet cuando dicha publicación no sea adecuada y pertinente en virtud de las estipulaciones recogidas en el Reglamento General de Protección de Datos (RGPD). A través del mismo, se incluye la posibilidad de limitar la difusión de información que lleve asociada datos de carácter personal, de forma indiscriminada, cuando ésta ha dejado de ser actual o ya no tiene relevancia pública.
Por otro lado, hemos de tener presente que el ejercicio de los derechos de supresión y oposición frente a buscadores, únicamente aplicará a los resultados obtenidos a través de búsquedas realizadas mediante el nombre de una persona, pero ello no quiere decir que dicha página vaya a ser suprimida de los índices del buscador ni de la fuente original. Es decir, cuando se procede a la búsqueda de un caso a través del nombre de la persona afectada/interesada y, dicha información está obsoleta, el afectado podrá exigir que el enlace que aparece en el buscador deje de ser visible; sin embargo, ello no implica que la información no pueda aparecer si buscamos a través de cualquier otro término o palabra puesto que las fuentes de publicación permanecerán inalteradas.
Por último, a grandes rasgos los pasos a seguir para ejercer el presente derecho, serían los siguiente: en primer lugar, solicitar el derecho al olvido frente a la página web que publicara la información o, frente al buscador. En el supuesto de recibir respuesta declinando la solicitud, el interesado podrá acudir ante la Autoridad de Control para que tutele el derecho, acompañando la documentación que evidencie la solicitud de supresión ejercida ante la entidad de que se trate y, cuya resolución agotará la vía administrativa, pudiendo el interesado interponer, en el supuesto de disconformidad con la misma, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de la resolución o, recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, en el plazo de dos meses desde el día siguiente a la notificación.
El equipo de profesionales de Govertis