El Delegado de Protección de Datos como negociador

26 mayo, 2020 | DPD DPO

Con la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) se perfilaron algunas de las funciones del Delegado de Protección de Datos (DPD).

En concreto, el artículo 37 de la LOPDGDD regula la intervención del DPD en caso de reclamación ante las autoridades de protección de datos, estableciendo dos opciones diferentes. La primera de estas vías indica que, en los supuestos en que se haya designado un DPD, el afectado puede, antes de presentar su reclamación ante la autoridad de control, dirigirse al Delegado.

La segunda opción de intervención del DPD surge cuando el afectado presenta una reclamación ante la autoridad de control. En este caso, se prevé que la AEPD o la autoridad autonómica competente remitan esta reclamación al DPD de la entidad dándole un plazo de respuesta de un mes.

La AEPD destacó en la presentación de su Memoria de 2018 que: «En lo referente a las reclamaciones resueltas con respuesta satisfactoria tras haberlas remitido al responsable o al delegado de protección de datos (DPD), se han producido 863 durante 2018 y 2.079 hasta el 15 de mayo de 2019», aunque igualmente esta entidad aclaró que: «el traslado de la reclamación al responsable/DPD no implica necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la Agencia tiene potestad para investigar los mecanismos establecidos por la empresa. De hecho, un 13% de esas 863 reclamaciones (110) están en proceso de investigación». En la Memoria de 2019 se señaló que «los traslados al responsable para que analice la reclamación y dé respuesta al ciudadano crecieron un 147%, pasando de 2.300 en 2018 a 5.691 en 2019». Parece que esta vía ha llegado para quedarse.

Como señala la LOPDGDD en su Preámbulo, el DPD «permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento», cabe plantearnos por tanto que, además de las características que el Esquema de Certificación exige a los DPD, las soft skills que debe tener este rol, centrándonos en este caso en sus habilidades como negociador.

La negociación es un medio de resolución de conflictos autocompositivo, pero a diferencia de otros medios autocompositivos como la mediación, en que dos o más partes intentan voluntariamente alcanzar ellas mismas un acuerdo con la intervención de un mediador, en este caso las partes tienen autonomía para resolver por sí mismas el conflicto. Por otra parte, cabe diferenciar estos medios de los heterocompositivos, en los que la resolución resulta impuesta por un tercero, por ejemplo un árbitro o un juez.

En el ámbito de la protección de datos es el DPD quien se relaciona en nombre de la organización a la que representa con el afectado y quien, de forma amistosa, debe intentar llegar a una solución con este. «El proceso de negociación puede estructurarse de forma muy diferente, dependiendo principalmente de los negociadores y su cultura negocial» (Soleto, 2011). De este modo, el DPD deberá, en primer lugar, conocer su estilo negociador; desarrollar y trabajar sus habilidades negociadoras y, finalmente, elegir el tipo de negociación que quiere afrontar en su relación con los interesados.

El estilo negociador del DPD va a influir, sin duda alguna, en la negociación. Por este motivo, el DPD deberá conocer su estilo negociador en el ámbito de sus funciones y, en este caso, a la hora de negociar con un afectado. Es importante que tengamos en cuenta que cada persona se comporta en la negociación influido por el contexto; es decir, no negociaremos igual a la hora de adquirir un vehículo, al tratar un asunto laboral con nuestro jefe, o ante una decisión personal con nuestra pareja o progenitores. El Test Thomas-Killman es uno de los más famosos a la hora de analizar cuál es nuestro estilo de confrontación de conflictos, arrojando como resultado el predominio de, al menos, uno de estos cinco estilos: competidor, colaborador, comprometido, evitativo y acomodaticio.

Por otro lado, también será de enorme utilidad conocer el estilo negociador del afectado que nos contacta, así como identificar correctamente sus intereses. Será muy útil analizar la reclamación que haga llegar al DPD, los términos en que lo hace, así como la petición que nos hace llegar.

Además, el DPD, a la hora de representar a su organización en la negociación, deberá tener claras las líneas rojas que no podrá cruzar a la hora de ofrecer soluciones al afectado cuando entabla esta posible negociación (su Zona de Posible Acuerdo). Este aspecto es especialmente importante cuando se reclama una indemnización de carácter económico a cambio, por ejemplo, de no acudir a la autoridad de control o de no reclamar una indemnización de daños y perjuicios conforme al artículo 82 RGPD. En este último aspecto, incluso nos podríamos estar acercando a ser víctimas de un delito de extorsión, como ya analizamos en esta entrada del blog.

En cualquier caso, debemos identificar nuestros objetivos en la negociación, que pueden ser, por ejemplo, que el afectado quede satisfecho con la respuesta o, incluso, poder demostrar a la autoridad de control la voluntad de la organización al atender al interesado, independientemente de que este quede o no conforme con la respuesta que le es dada.

En cuanto al estilo de negociación que el DPD quiere afrontar en su relación con los interesados, en términos generales, existen dos tipos de negociación: la distributiva y la colaborativa. La negociación distributiva es el método tradicional de negociación; se relaciona con el estilo competidor de negociación y se basa en ganar intentando conseguir más que los demás; por su parte, el estilo colaborativo, basado en el Método Harvard, se vincula a un estilo negociador colaborador, en el que se tratará de ganar y que los demás también ganen. Este último modelo adquiere especial interés cuando se trata de negociar con una persona con quien queremos mantener una relación a largo plazo, como un empleado o un cliente, buscando de este modo ‘agrandar la tarta’ y/o buscar beneficios comunes.

Independientemente de uno u otro estilo de negociación, para afrontar con éxito cualquier negociación será necesario que entre las soft skills del DPD se encuentren la empatía para identificar los intereses del afectado y de la propia organización a la que representa, las habilidades comunicativas para expresarse con claridad durante la negociación, independientemente de si esta es oral o escrita, deberá saber controlar sus reacciones en la negociación y mantenerse proactivo a lo largo de esta.

Finalmente, nos queda únicamente plantearnos si estas habilidades negociadoras podrían ser también interesantes en las relaciones del DPD con sus grupos de interés internos o, incluso, con corresponsables y encargados del tratamiento.

BIBLIOGRAFÍA

Soleto, H. (2009) Conocer Y Dominar Los Estilos De Negociación. Revista Iuris, (nº 137), p.28-31. Recuperado de http://hdl.handle.net/10016/10298

Soleto, H. (2010). Negociar Lo Que Vas a Negociar: El Proceso De Negociación. Revista Iuris: actualidad y práctica del derecho, (nº154), p. 33-35. Recuperado de http://hdl.handle.net/10016/10692

 

Equipo Govertis

KEEP READING

El rol del DPO ante la rendición de cuentas o el principio de accountability

30 enero, 2020 | DPD DPO

El principio de responsabilidad proactiva se encuentra regulado en el artículo 5 del RGPD:

“El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”.

Este principio es posteriormente desarrollado en el artículo 24 del RGPD:

  1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
  2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
  3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Lo relevante y la novedad principal introducida por el RGPD radica en que no basta simplemente con cumplir con las obligaciones establecidas en el RGPD, sino que además hay que ser capaz de demostrar que se cumple con el RGPD.

El rol del DPD puede tener un incalculable valor a la hora de demostrar el cumplimiento del RGPD:

  • El DPO ya está garantizando por el mero hecho de su nombramiento una presunción de cumplimiento del principio de privacidad por diseño y por defecto puesto que su rol de asesor y supervisor implica que con carácter previo debe haber asesorado al responsable o encargado sobre el nuevo tratamiento que se pretende iniciar o sobre las nuevas finalidades y usos no previstos inicialmente sobre alguno de los tratamientos existentes.
  • El DPO en su labor de asesoramiento y supervisión debe emitir informes y dictámenes lo que genera un conjunto de documentos que dan trazabilidad a las medidas adoptadas para reducir o eliminar los riesgos que pueden afectar a los diferentes tratamientos.
  • El DPO tiene un papel relevante otorgado por el RGPD dentro de las EIPD y su labor de documentación, así como las opiniones reflejadas en las diferentes actas aportan una información de gran importancia a la hora de demostrar que se pretendía y se pretende cumplir con el RGPD.
  • Tanto EL RGPD como la LOPDGDD obligan al DPO a comunicar internamente a los órganos de dirección los incumplimientos que detecten del RGPD. Esta obligación obliga a documentar por parte del DPO la vulneración y posteriormente ayudará a demostrar cómo se ha avanzado dentro de un ciclo de mejora continua desde que se detecta un incumplimiento del RGPD hasta que se elimina o reduce a un nivel aceptable ese incumplimiento.
  • La LOPDGDD obliga a responsables y encargados que hayan designado DPO a comunicarle cualquier adición, modificación o exclusión en el contenido del registro de actividades de tratamiento. Esta medida da trazabilidad al contenido del registro y sus diferentes versiones puesto que además de justificar por escrito que se ha comunicado al DPO, este último deberá emitir un informe o dictamen sobre su parecer sobre los cambios proyectados. Mas aún si cabe, la primera versión del registro de actividades también debería ir acompañada de un dictamen o informe sobre la conformidad o disconformidad del DPO sobre el registro.
  • La LOPDGDD dispone que el DPO en el ejercicio de sus funciones tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto. Por su parte el artículo 38.1 del RGPD dispone que tanto el responsable como el encargado del tratamiento garantizarán que el DPO participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Ese conocimiento del contexto de los tratamientos que tiene el DPO junto con sus informes o dictámenes permitirán demostrar documentalmente las medidas implementadas para eliminar las vulneraciones del RGPD y LOPDGDD.
  • Su papel dentro de la gestión de una violación de seguridad de datos personales es de vital importancia, puesto que su asesoramiento y consejo documentado permitirán a la organización justificar documentalmente aquellos aspectos que llevaron a determinar que existía o no, un riesgo o un alto riesgo para los interesados, así como las medidas que se deben implementar para evitar sucesos similares en el futuro.
  • Es el punto de contacto entre la organización que representa y la autoridad de control y los interesados por lo que puede asesorar sobre la mejor actuación y respuesta a dar ante reclamaciones y solicitudes de información.
  • En definitiva, esa labor de informar, asesorar y supervisar los tratamientos realizados por el responsable o encargado sobre los tratamientos realizados dejan una importante documental de cara a demostrar el cumplimiento del RGPD tanto desde las fases iniciales hasta las fases finales en las que se pueda emitir la conformidad del DPO en aspectos tan diversos como:
    • Registro de actividades de tratamiento
    • Cumplimiento de los principios del RGPD (licitud, minimización etc)
    • Conformidad con las bases de legitimación del tratamiento
    • Conformidad con las comunicaciones de datos
    • Conformidad con las garantías ofrecidas por los prestadores de servicios que acceden a datos
    • Conformidad con las transferencias internacionales realizadas
    • Conformidad con los planes de formación y concienciación de empleados que se han realizado o programado
    • Conformidad con los resultados de los análisis de riesgos o evaluaciones de impacto en protección de datos
    • Conformidad con las medidas de seguridad implementadas
    • Conformidad con los resultados de las auditorías internas o externas y los planes de mejora continua implementados para eliminar o reducir las no conformidades detectadas.

Equipo de Govertis

Logo Govertis

KEEP READING

II Congreso “Diálogos de DPDs” del Club DPD de la AEC: Un año con la nueva LOPDGDD

2 diciembre, 2019 | DPD DPO

El 29 de noviembre se celebró el II Congreso del Club DPD de la Asociación Española para la Calidad (y del que son partners Telefónica y Govertis). Esta vez llevó por título  “Diálogos de DPDs” y en él expertos de primer nivel y DPDs de referencia compartieron su visión, conocimientos y experiencias de éxito tras el primer año de existencia de la LOPDGDD.

Inauguración del Congreso

Para inaugurar esta relevante cita del “club del dato” contamos con Pedro Pablo Pérez, CEO de Elevenpaths, quien tras realizar unas breves reflexiones sobre el estado de la protección de datos presentó todo lo que estaba por venir durante el Congreso.

A continuación, Avelino Brito, Director General de la AEC, presentó la Asociación (y el #ClubDPD_AEC)  y puso el foco en el impacto de las nuevas tecnologías y la inmensa cantidad de datos que se generan en la actualidad, con el consiguiente reto que ello supone para la labor de los DPD.

Conferencia “El Delegado de Protección de Datos: experiencias, retos y oportunidades”

José Luis Piñar Mañas, Catedrático de Derecho Administrativo en la Universidad San Pablo CEU, DPD del Consejo General de la Abogacía Española, y Ex Director General de la AEPD; expuso los retos y oportunidades del DPD tanto desde la perspectiva del RGPD como de la LOPDGDD.

Insistió en la importancia del RGPD y en el hecho inédito de su alcance global a partir de  su extensión de ámbito territorial pues no hay prácticamente país en el que no se aplique a alguna organización.

También recalcó la idea de que el DPD (sea contratado laboralmente o en régimen mercantil) no es nunca “externo” sino que ese rol se incardina dentro de la organización (sin perjuicio de la forma jurídica que se le de). Y no sólo debe de incardinarse organizativamente dentro de ella sino que es fundamental que entre sus conocimientos estén el necesario conocimiento de la actividad de la organización.

José Luis desgranó ciertos aspectos relativos al estatuto básico (posición) del DPD que regula el RGPD y la LOPDGDD, como por ejemplo su cualificación.  Destacó que el DPD pasa a ser una figura imprescindible en el nuevo modelo de protección de datos;  Y citó – como prueba de ello – el artículo 37 de la LOPDGDD que regula su intervención en caso de reclamaciones. Subrayó  la necesidad de realizar ciertas aclaraciones como por ejemplo la incompatibilidad del mismo con la figura del responsable de legal (abogado) en las empresas o por ejemplo la de que el DPD ( a su juicio no es un encargado del tratamiento).

También profundizó sobre el significado del principio de responsabilidad proactiva  y para ello puso un ejemplo muy  gráfico: anteriormente era el legislador quien definía el riesgo, pero actualmente es el “gestor” (responsbale y encargado del tratamiento) quienes lo hacen. “Antes nos decían que podíamos ir a 120 km/h, ahora nos dicen que vayamos a la velocidad adecuada”, explicaba José Luis. Indicó que éste es un cambio de punto de vista muy importante: nuevo modelo es más flexible pero también más incierto.

Y acabó diciendo que tras un año y medio de aplicación del nuevo RGPD éste ha tenido un importante impacto cultural; y que respecto de los DPD en su día a día  en muchas ocasiones se atribuyen tareas al DPD más allá de los “verbos que le asigna” el RGPD: asesorar, supervisar, coordinar etc.

Meda Redonda: Diálogos con DPD

A continuación, se celebró una mesa redonda moderada por Eduard Chaveli, CEO de Govertis, formada por DPDs de diferentes organizaciones:

  • Francisco Lázaro Anguis, DPD y CISO de Renfe
  • Raquel Sánchez Rodríguez, DPD de la Universidad Francisco de Vitoria
  • Irene Benavides Zurera, DPD de Telefónica España
  • Jordi Verdú Benavent, DPD del Ayuntamiento de Valencia

Durante la mesa redonda se dio respuesta a dos preguntas de gran relevancia:

  • ¿Cuál es la opinión de los integrantes de la mesa sobre el estado de la regulación actual?

Los intervinientes estuvieron de acuerdo en que “en términos generales” la normativa de protección de datos es de calidad, aunque especifícamente, la LOPDGDD se podría haber afinado más y se mencionaron algunos errores en la regulación.

Jordi Verdú menciono como ejemplo de mejoras en la legislación la necesidad de clarificar el interés público como causa de legitimación, y citó algunos ejemplos. Puso de manifiesto la necesidad de que los diferentes  organismos y autoridades públicas con competencias en la materia (particularmente AEPD y CCN) tuvieran una mayor coordinación y complicidad.

Por su parte Irene Benavides insistió en la idea también avanzada por Jordi de que la legislación no parece del todo hecha pensando en el interesado.  Y citó un aspecto especialmente criticable que es la inclusión del título X de  la LOPDGDD no porque no sea necesario (que lo ess) sino por el proceso seguido en su precipitada gestación.

Raquel Sánchez puso el acento en la importancia de la formación en protección de datos y en el hecho de que aunque la nueva LOPDGDD la contempla como obligación su falta de desarrollo convierte esta previsión actualmente en un “brindis al sol”

Francisco Lázaro recogió el testigo de Jordi Verdú y amplió esa necesaria coordinación a otros  actores como INCIBE o CNPIC lo que se visualiza especialmente en materia de gestión de brechas de seguridad.

dav

  • ¿Qué dificultades habéis tenido en el cumplimiento de la nueva ley y qué soluciones habéis acometido?

Jordi Verdú habló de las dificultades de recursos necesarios para ejercer este rol que se han ido supliendo y también de la dificultad pero necesidad de tejer alianzas con servicios transversales; y también – como es lógico – en realizar acciones de concienciación y formación en diferentes niveles: Políticos, mandos intermedios y usuarios del sistema de información.

Irene Benavides comentó el reto que ha supuesto en una organización como Telefónica ya el propio hecho de inventariar los tratamientos (más de 1000) y también la realización de los análisis de riesgos y evaluaciones de impactos requeridas sobre ellos. Para ello también insistió en la estrategia apuntada por Jordi de encontrar aliados: “Champions”.  Y citó dificultades como por ejemplo conseguir que el derecho de información sea inteligible y por tanto eficaz sirviendo a los interesados para comprenderlo.

Raquel Sánchez puso foco en un aspecto muy importante: las dificultades para conseguir cumplir con el deber de diligencia en la selección de los encargados del tratamiento y habló de la experiencia  seguridad en la Universidad Francisco de Vitoria.

Francisco Lázaro hizo un  gran repaso de las dificultades mencionadas por algunos compañeros de la mesa para posteriormente apuntar algunos aspectos específicos de Renfe. Por ejemplo esa necesaria coordinación con otras áreas, o por ejemplo el control de los encargados que en Renfe por ser infraestructura crítica tiene una importancia aún mayor derivada no sólo de la protección de datos personales sino de la seguridad de las personas.

Conferencia “ISO 27701:2019. El nuevo estándar en Protección de Datos”

Javier Cao Avellaneda, Lead Advisor en Ciber Riesgos de Govertis, profundizó en la ISO 27701:201, analizando su estructura, dando claves para su implantación y evaluando el futuro de la misma.

Durante la ponencia aclaró términos utilizados en la normativa y fue profundizando en las diferentes cláusulas y en la orientación a objetivos y resultados y SGPD.

Como resumen de la presentación, Javier destacó tres cuestiones relevantes:

  • ISO 27.701 supone la formalización de un ciclo PDCA para dar soporte a un sistema de gestión de la privacidad que permite demostrar el cumplimiento del principio de responsabilidad proactiva.
  • La nueva norma, supone una extensión de la norma ISO 27.001 y por tanto, implica la implantación del conjunto de controles existentes (114) incluyendo las ampliaciones realizadas sobre 33 de estos controles.
  • Incluye además un marco de controles específico para la figura del Responsable del Tratamiento (4 objetivos de control y 31 nuevos controles) y del Encargado de Tratamiento (4 objetivos de control y 18 nuevos controles).

Para finalizar, Javier realizó una encuesta en directo con los asistentes al Congreso sondeando la opinión de los asistentes en relación a como afrontar la certificación de esta norma, si de manera independiente o conjuntamente con las ISO 27001 y 27002.

Javier Cao en el II Congreso del Club DPD

Conferencia “La privacidad: una aproximación cultural”

Por último, Antonio Muñoz Marcos, Director de Oficina DPD de Telefónica, impartió una conferencia con su visión de  la privacidad desde un punto de vista cultural. Antonio señalaba que cumplir adecuadamente con el reglamento requiere reflexionar sobre el impacto de la privacidad desde un punto de vista más amplio, pues la privacidad emana de las reglas culturales. En la nueva sociedad los datos fluyen y se genera un nuevo modelo por lo que la aproximación cultural a la privacidad requiere una reflexión por nuestra parte sobre la privacidad.

Agradecimientos

Para finalizar el Congreso, Alberto González, Gestor del Club DPD de la AEC hizo un resumen de la jornada y agradeció la colaboración a nuestros partners Telefónica y Govertis, así como a los ponentes que participaron en el evento, y dio las gracias a los asistentes por acompañarnos en esta relevante cita con la protección de datos.

¿Te gustaría asistir a los próximos encuentros? ¡Apúntate al Club DPD!

KEEP READING

III Insight del Club DPD: Anonimización, Redes Sociales y ENS

19 julio, 2019 | DPD DPO

El Club DPD realizó el 18 de julio un nuevo encuentro sobre RGPD y LOPDGDD. En esta ocasión se trataron en abierto dos temáticas de máxima relevancia en el sector: la Anonimización de Datos y la Protección de Datos en Redes Sociales. Además, los miembros del Club DPD disfrutaron también de un taller práctico sobre la implantación del ENS y el RGPD de forma integrada.

Anonimización de datos: aclarando conceptos

La primera de las ponencias corrió a cargo de Francisco González-Calero, Lead Advisor en Govertis Advisory Services y profesor en distintos programas formativos y Másters. Francisco, explicó la diferencia entre la anonimización y seudonimización, destacando que no se trata de sinónimos. Además, explicó cuándo es adecuada la seudonimización y cuándo lo es la anonimización, así como el proceso de esta última. A continuación puedes ver la ponencia completa:

Protección de Datos y Redes Sociales: aspectos prácticos de actualidad

Samuel Parra, jurista experto en Protección de Datos, comenzó su ponencia definiendo el concepto de red social, el cual posteriormente relacionó con los datos personales. Samuel respondió a varias preguntas concernientes a la protección de datos en redes sociales:

  • ¿Podemos compartir imágenes sin consentimiento de las personas que aparecen en ellas?
  • ¿Sería posible acogernos a la excepción doméstica a la hora de compartir contenidos en redes sociales?
  • El titular de perfil en Twitter relativo a una persona física, ¿realiza un tratamiento de datos sometido al RGPD?
  • El titular de este perfil de Twitter, ¿podría publicar mensajes de contenido publicitario?
  • ¿Puede el empresario, en el marco de un proceso de selección, revisar las redes sociales abiertas de un candidato?
  • Administro una Fan Page de Facebook, ¿soy responsable del tratamiento?

Puedes ver la ponencia completa a continuación:

Cómo implantar el ENS y el RGPD de forma integrada

Para finalizar la jornada, David Barrientos, GRC Advisor en Govertis Advisory Services, impartió un taller práctico, exclusivo para los miembros del Club DPD. El taller comenzó con una visión general del cumplimiento integrado del ENS y RGPD. A continuación presentó el plan de proyecto, marcando las fases y actividades que lo componen, así como el rol que juega cada uno de los actores y sus responsabilidades. David hizo especial hincapié en la “fase do”, la “fase check” y la “fase act”.

El Club DPD de la AEC

Este Insight fue el III que ha llevado al Club DPD creado por la Asociación Española para la Calidad. Aunque el encuentro completo se encuentra reservado para los miembros del Club, las dos primeras ponencias se retransmitieron públicamente vía streaming.

¿Te gustaría disfrutar del resto de encuentros del Club DPD completos? ¡Apúntate al Club DPD!

KEEP READING

Porque el antivirus tradicional (EPP) ya no es suficiente…

14 junio, 2019 | DPD DPO

El cambio de paradigma en los tiempos actuales hace que se tome más preocupación y conciencia sobre la protección de los dispositivos. El antivirus tradicional (EPP) ya no es suficiente.

KEEP READING

“GDPR Y LOPDGDD: De la teoría a la práctica” El Club DPD participa en el II Encuentro de Privacidad de Telefónica

10 mayo, 2019 | DPD DPO | , , , , , ,

El 9 de mayo Telefónica celebró su II Encuentro de Privacidad, en el cual se trató un tema de gran relevancia: cómo ha sido la adaptación a lo largo del último año al nuevo reglamento RGPD y posteriormente a la LOPDGDD.

Como no podía ser de otro modo, el Club DPD participó activamente en esta importante cita con la protección de datos.

El encuentro se celebró en el Auditorio Telefónica, y comenzó con un keynote por parte de Pedro Pablo Pérez, CEO de ElevenPaths.

Ponencias: El nuevo Reglamento RGPD

La primera ponencia corrió a cargo de Jesús Rubí, de la Agencia Española de Protección de Datos, institución cuya presencia no podía faltar a esta cita.  El ponente abordó una temática de especial relevancia: qué está pasando con la aplicación real del nuevo Reglamento RGPD. Durante la ponencia resaltó la evolución de las reclamaciones tras la entrada en vigor del nuevo Reglamento.

A continuación, Eduard Chaveli, CEO de Govertis y DPD certificado por el CERPER de la AEC, trajo consigo un titular de especial relevancia: Intentando descifrar una ley difícil de pronunciar. Durante su ponencia Eduard se centró especialmente en los principios de la ley, concretamente en el principio de licitud y envió un mensaje claro a la audiencia: “Pon un DPD en tu vida, es una vida extra”.

Ponencia Eduard Chaveli

Mesa redonda: Experiencias prácticas de DPDs tras un año de exigencia del RGPD

Alberto González, gestor del Club DPD de la AEC, moderó una interesante mesa redonda en la que 5 DPDs pudieron compartir su experiencia en la adaptación al cumplimiento del nuevo reglamento durante este año de vigor. Tuvimos el placer de contar con:

  • Antonio Muñoz Marcos, Data Protection Technical Diretor, Global DPO Officer at Telefónica.
  • Elena Terradillos Figueiro, DPD en la Confederación Sindical de CCOO.
  • Nuria Calvo, DPD de Thyssen Krupp.
  • Marta Martínez Pérez, DPD de Mutua MAZ.
  • Iñaki González-Pol, DPD de Parlamento de Andalucía, Junta Electoral de Andalucía y Defensor del Pueblo Andaluz.

La mesa redonda nos dejó varios puntos de vista muy interesantes. Por ejemplo, Nuria Calvo compartió la visión del cambio en Thyssen Krupp, y explicó cómo se pasó de una empresa “gris” a una empresa digital exponiendo varios ejemplos de transformación digital en los que estuvieron implicados los datos personales. Por su parte, Elena Terradillos comentó la necesidad de crear una guía en la que se recoja la actividad sindical, además de subrayar la importancia de dar formación y contar con el apoyo de la organización para el correcto cumplimiento del RGPD.

En el caso de Mutua Maz el desafío era grande, al ser una empresa que trata datos sensibles, así lo expuso  Marta Martínez. Mientras que por su parte Iñaki González-Pol explicó el cambio de paradigma que ha supuesto el RGPD para la Administración, y destacó el concepto «volatilidad de las certezas jurídicas”.

Tras finalizar la mesa redonda, José Parada y Jorge García de ElevenPaths expusieron la privacidad como punto de partida del análisis integral de seguridad.

Desconexión y Transformación Digital

Después de una pausa para el café, pudimos disfrutar de las dos últimas ponencias.

La primera de ellas corrió a cargo de Tatiana Espinosa, Directora Global de Relaciones Laborales de Telefónica, quien presentó la nueva filosofía de la compañía: “Desconectar para reconectar”, en la cual destacó la importancia de la desconexión digital para los empleados, y habló sobre las diferentes prácticas que se están llevando a cabo para hacerlo posible en la compañía.

Por último Helena Pons-Charlet, habló de la ciberseguridad y privacidad, pilares de la transformación digital. Helena destacó el crecimiento de los ciberataques y consiguió que la audiencia reflexionara sobre las amenazas que implica para las organizaciones estar expuestas a los mismos.

Ponencia ciberseguridad

Elisabet Iglesias, responsable de negocio de consultoría de ciberseguridad de Telefónica en España, fue la encargada de clausurar este interesante encuentro, y lo hizo destacando los aspectos más relevantes que se trataron durante el mismo.

El II Encuentro de Privacidad de Telefónica fue una cita imprescindible para los profesionales en protección de datos. Como no podía ser de otra manera el Club DPD participó de manera activa en el encuentro, y los miembros del Club disfrutaron de un trato exclusivo, al disponer de las dos primeras filas del auditorio. Además de participar de manera activa en encuentros sobre protección de datos, el Club DPD organiza sus propios encuentros y retransmite vía streaming ponencias de gran relevancia. ¿Te gustaría asistir a sus próximos encuentros? ¡Descubre el Club DPD!

KEEP READING

¡La Asociación Española para la Calidad lanza su NUEVA WEB! Todo un escaparate de ventajas para su Club DPD

16 abril, 2019 | DPD DPO

A raíz del Nuevo Reglamento Europeo de Protección de Datos (RGPD), la Asociación Española para la Calidad (AEC) creó el pasado mes de noviembre el Club de Delegados de Protección de Datos con el compromiso de ayudar a los profesionales del sector, a las empresas y a las organizaciones a adaptarse al correcto cumplimiento de la nueva ley.

Ahora la AEC ha dado un paso más para impulsar la calidad y ha creado su nueva web, a través de la cual establece un espacio para que más de 1.400 profesionales y marcas de referencia intercambien experiencias. Aunque la AEC trabaja desde 1961 para mejorar la calidad en España, la recientemente renovada plataforma es una clara muestra de que la asociación mantiene sus valores a la vanguardia, transformando la calidad y creando futuro.

La nueva plataforma es más sencilla de usar, intuitiva y multidispositivo. Además incorpora un formato más moderno que facilita la navegación de los socios por las diferentes áreas.

¿Qué ventajas tiene la nueva web AEC para el Club DPD?

Aunque el Club DPD dispone de sus propios espacios digitales, como un site específico, el blog DPD/DPO de contenidos y una Comunidad privada en Linkedin, la nueva web de la AEC también trae consigo 2 claras ventajas para el Club:

Mayor notoriedad y atracción

El Club DPD es un espacio privado en el que compartir experiencias, conocimientos e inquietudes, no obstante, formar parte del escaparate de la AEC es una manera dar a conocer el Club y conseguir nuevos profesionales que quieran compartir sus experiencias y conocimientos con el resto de miembros.

Además, la nueva web AEC dispone de un espacio de actualidad en el que hablar sobre los últimos eventos acontecidos que hará que los encuentros realizados en el Club cojan fuerza, brillen más y consigan un mayor número de inscritos.

Oportunidades y ventajas en formación

Aunque en el site del Club DPD se ponen a disposición de los usuarios el Programa Avanzado DPD/DPO y el Programa Superior DPD/DPO, la AEC incluye entre sus opciones de formación una gama completa de cursos de Protección de Datos, de gran interés para los miembros del Club DPD, quienes disponen además de una ventaja especial de un 20% de descuento en formación por pertenecer al Club:

  • El día a día del Delegado de Protección de Datos
  • Taller práctico para la gestión y notificación de brechas (o incidentes) de seguridad
  • Los Sistemas de Gestión de la Seguridad de la Información (ENS e ISO 27001) y el cumplimiento del RGPD
  • Conoce la nueva Ley Orgánica de Protección de Datos
  • Nuevo Reglamento de Protección de Datos. Evaluación de Impacto en Privacidad
  • Implantación de un sistema de Seguridad en la Información conforme a ISO 27001

Sin duda el lanzamiento de la nueva web supone un impulso para la Calidad, y trae consigo ventajas para quienes forman parte del Club DPD de la AEC. ¿Ya has visitado la nueva web AEC? ¡Descúbrela!

KEEP READING

Límites a considerar para una adecuada definición de las figuras del Responsable y del Encargado del Tratamiento

12 abril, 2019 | DPD DPO

Una de las cuestiones vitales cuando hablamos de proteger datos de carácter personal es la correcta definición de las responsabilidades que deben asumir cada una de las partes autorizadas para su tratamiento, ya que, estar en uno u otro supuesto, generará obligaciones diferentes.

Quizás, de las responsabilidades principales que se definen en el RGPD, la definición del rol del DPD esté perfectamente delimitada y, de hecho, esta figura ha sido objeto de numerosos artículos en donde se han analizado rigurosamente cada una de las características del mismo. No obstante, en la práctica, debido a la gran casuística existente, a legislaciones sectoriales y al gran volumen de flujo de datos, entrante y saliente, de cada Responsable del Tratamiento, en ocasiones, resulta difícil diferenciar cuando estamos ante un acceso a datos, o ante una cesión, siendo complicado atribuir cada rol mencionado.

Por un lado, ya con anterioridad a la entrada de esta nueva legislación europea, esta era una de las cuestiones ampliamente debatidas. Debido a este hecho, en algunos informes de la Agencia Española de Protección de Datos o “AEPD” se pueden encontrar argumentos que nos ayudan a delimitar, en cada caso concreto, esta diferenciación. En este sentido, especialmente ilustrativo es el Informe Jurídico 0290/2008, en donde se configuraba al Encargado como una parte externa que no tiene control sobre los tratamientos, sino que simplemente trata información para finalidades del Responsable. La característica clave sería que el Encargado debería limitarse a cumplir con las instrucciones del Responsable.

No obstante, por otro lado, a parte de la producción jurisprudencial o doctrinal al respecto que se pudiera consultar, también se debe tener en cuenta el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29 sobre conceptos del Responsable del Tratamiento y el Encargado del Tratamiento. En este documento, después de un análisis pormenorizado del concepto, se refuerza la necesidad del tratamiento de datos por cuenta del Responsable como característica principal que debe tener un Encargado, y establece, como principal punto de distinción para determinar la posición de Responsable, el poder de decisión sobre las finalidades para las que se destinan los datos.

En consecuencia, como ha argumentado la AEPD en alguno de sus informes, “para determinar si nos encontramos en presencia de un Encargado del Tratamiento deberá analizarse si su actividad se encuentra limitada a la mera prestación de un servicio al responsable, sin generarse ningún vínculo entre el afectado y el supuesto encargado. Ello sucederá si la empresa externa no puede en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicios propiamente dicha, sin utilizar los ficheros generados en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero”. No será considerado, por tanto, como un acceso a datos cuando ese vínculo de poder se rompe, y la tercera empresa que trata datos destina, para otras finalidades, los datos obtenidos. De cualquier forma, el propio Grupo de Trabajo del Artículo 29, en sus conclusiones, reconoce que, aun habiéndose esforzado en la explicación de estos conceptos, será preciso atender a las circunstancias del caso concreto para una correcta definición de responsabilidades y que esta asignación de roles o responsabilidades seguirá planteando dificultades en la práctica, lo que, sin duda, podrá justificar un análisis detallado para lograr una solución adecuada.

Si quieres tener controlado en tu día a día toda la documentación y los procesos necesarios para ejercer tu labor como DPD, completa tu formación con el curso «el día a día del DPD«.

El equipo Govertis

Logotipo de Govertis
KEEP READING

II Insight del Club DPD: Un Encuentro Exclusivo sobre LOPDGDD y RGPD

28 marzo, 2019 | DPD DPO | , , , , , , , , ,

El Club DPD de la Asociación Española para la Calidad tiene previsto un total de siete encuentros a lo largo del 2019, y ayer se llevó a cabo el segundo de ellos. El Club DPD, que ya cuenta con 200 miembros, se dio cita para tratar algunas de las temáticas de máxima actualidad en lo que a Protección de Datos se refiere. Algunos de los miembros del Club asistieron en persona a este encuentro y al taller práctico posterior, mientras que el resto de miembros pudo seguir el evento vía streaming. Además, aquellas personas interesadas en las temáticas tratadas pero que no pertenecen al Club DPD, tuvieron la ocasión de seguir vía streaming las dos primeras ponencias.

La Libertad de Expresión y el Testamento Digital

La primera ponencia de la jornada estuvo en manos de Ofelia Tejerina, abogada, Master en Derecho Informático y Doctora en Derecho Constitucional. Además, fue la ganadora del premio Confilegal 2018 en la categoría LegalTech. Ofelia Tejerina abordó el título X de la LOPD-GDD y la libertad de expresión en relación a otros derechos.

Durante su ponencia analizó el artículo 96 de la nueva ley: derecho al testamento digital. También trató aspectos relacionados de gran interés como la desinformación, la libertad de expresión y la libertad de información. Pero Ofelia tejerina puso especial atención en el derecho de  rectificación, e hizo varios apuntes de gran relevancia, como el hecho de que «la veracidad no es la verdad absoluta». No te pierdas la ponencia completa:

El Encargado de Tratamiento: deber de Diligencia 

Leandro Núñez, abogado y socio de Audens fue el encargado de impartir una interesante ponencia, centrada en la elección y supervisión de los encargados del tratamiento. Leandro Núñez habló de la responsabilidad proactiva y la responsabilidad in vigilando, pero lo que conquistó realmente a la audiencia fue su aportación personal sobre lo que debemos buscar a la hora de elegir un tratamiento, una información muy útil para los asistentes al encuentro. Además, a los largo de su ponencia Leandro Núñez habló  sobre la labor del DPD. No te pierdas la ponencia completa:

A partir de esta ponencia se elaboró la infografía ¿Cómo elegir un Encargado del Tratamiento? Una guía con 7 claves para ayudarnos en la decisión.

Análisis de Riesgos y Evaluaciones de Impacto

Aunque cualquiera que estuviera interesado en las temáticas tratadas pudo disfrutar de las ponencias de Ofelia Tejerina y Leandro Núñez, solo los miembros del Club DPD pudieron asistir además al taller práctico impartido por Javier Cao, sobre el análisis de riesgos y las evaluaciones de impacto.  Javier Cao llevó a cabo una ponencia de lo más completa en la que evaluó los diferentes aspectos a tener en cuenta en un análisis de riesgos. Además, compartió con su audiencia la fuente de los materiales que utiliza para este tipo de análisis, así como para las evaluaciones de impacto.

Análisis de riesgos

¿Quién ha hecho posible este encuentro?

Este Insight Exclusivo, así como el resto de encuentros, es una iniciativa del Club DPD de la Asociación Española de la Calidad. Este Club está gestionado por Alberto González, quien organiza los espacios y los pone a disposición de los interesados. Además, para la moderación del encuentro contamos con Eduard Chaveli, CEO de Govertis. Los miembros del Club DPD pueden asistir a estos encuentros, pero para ellos la experiencia no termina una vez que finalizan, porque el Club también pone a su disposición el Club DPD Privado, a través de la red social Linkedin, en el  que sus miembros pueden plantear dudas e intervenir en los temas de debate.

¿Te gustaría disfrutar de todas las oportunidades que el Club DPD pone a disposición del público? ¡Apúntate al Club DPD! y mantente a la vanguardia en lo referente a Protección de Datos.

KEEP READING

El rol del DPO como mediador y de resolución extrajudicial de conflictos

14 marzo, 2019 | DPD DPO

El artículo 39 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), dispone que las funciones del DPO serán, como mínimo, las siguientes:

  1. a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  2. b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  3. c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  4. d) cooperar con la autoridad de control;
  5. e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Por su parte el apartado 2º del art 35 del RGPD insiste en el rol de asesor del DPO: “El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos”.

Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales dentro de las funciones del RGPD de cooperación y punto de contacto con la autoridad de control y los interesados, introduce unas disposiciones en el artículo 37 que otorgan al DPO funciones de mediador y resolución extrajudicial de conflictos:

Por un lado, los interesados podrán con carácter previo a la presentación de una reclamación ante la autoridad de control competente, dirigirse al delegado de protección de datos de la entidad contra la que se reclame. El DPO tendrá dos meses desde la presentación de la reclamación para comunicar al interesado que solución se da a su reclamación. Esta previsión se ha creado en desarrollo del apartado 4º del art 38 del RGPD: “Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento”.

Por otro lado, si el interesado no ha reclamado previamente al DPO, la autoridad de control, podrá remitir la reclamación al DPO para que en el plazo de un mes intente dar una respuesta satisfactoria a la reclamación. Si no lo logra o bien no responde en el plazo de un mes, la autoridad de control podrá abrir el procedimiento sancionador correspondiente. En este supuesto la Agencia Española de Protección de Datos viene exigiendo en estos casos:

  • Informe de las causas que han originado la reclamación.
  • Informe sobre la solución que se ha dado al reclamante
  • Informe sobre las medidas técnicas y organizativas implementadas para evitar reclamaciones similares en el futuro.

Si el reclamante queda satisfecho o la autoridad de control observa que se ha actuado conforme a la normativa vigente o se han adoptado las medidas oportunas, puede posteriormente no admitir a trámite la reclamación de acuerdo con el art 65.4 de la LOPDGDD: “Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica”. Esta previsión dota al DPD de una posición privilegiada a la hora de asesorar, supervisar y actuar como punto de contacto con vistas a evitar la apertura de un procedimiento sancionador mediante la mediación y la resolución extrajudicial de conflictos, lo que lo convierte en una figura muy recomendable en los casos en los que su nombramiento no es obligatorio sino voluntario.

Es importante indicar que el DPO no resuelve en los casos anteriores la reclamación, sino que asesora a la entidad a la que representa sobre la mejor solución y la mas acorde con la normativa, y posteriormente traslada al reclamante o a la autoridad de control la respuesta de dicha entidad. Una cosa es que el DPO prepare y elabore la respuesta, y otra cuestión diferente es que la respuesta sea imputable al DPO incluso aunque la haya firmado.

Si el DPO responde a una reclamación de un interesado o a una solicitud de ejercicio de derecho ARSOPL, su actuación debe consistir en remitir la respuesta de la entidad a la que representa.

Si un DPO firma y presenta a la autoridad de control la respuesta de la entidad a la que representa, lo debe hacer en base a los antecedentes, información y decisiones que le ha facilitado y ha tomado la entidad a la que representa. Todo ello puede sustentarse en los siguientes aspectos:

  • EL DPO como hemos visto, asesora, supervisa y actúa como punto de contacto, en ningún momento tiene funciones ejecutivas. Es más, si es un DPO persona física con contrato laboral no podrá ser despedido o sancionado por el ejercicio de sus funciones salvo negligencia grave o dolo en el ejercicio de sus funciones (art 36.2 LOPDGDD).
  • El DPO está excluido del régimen sancionador de la LOPDGDD de acuerdo con el art 70.2. “No será de aplicación al delegado de protección de datos el régimen sancionador establecido en este Título”.
  • El apartado primero del art. 36 de la LOPDGDD otorga la competencia al DPO para: “inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.
  • Aunque las reclamaciones derivadas por la autoridad de control al DPO vayan a su nombre, se refieren a actuaciones u omisiones del responsable o encargado al que representa. Y aunque no se haya nombrado voluntariamente DPO, el art 65 de la LOPDGDD permite remitir en idénticos términos esa reclamación: “La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación en el plazo de un mes”.
  • El DPO debe documentar e informar inmediatamente a los órganos de dirección de las vulneraciones que aprecie en la normativa vigente (art. 36.4 LOPDGDD).
  •  En relación con la realización de Evaluaciones de impacto en protección de datos, las Directrices del GT29 sobre DPO parten de la base que el DPO puede tener un papel relevante en la realización de las mismas. Por ello proponen que se le solicite asesoramiento en las siguientes cuestiones:
  1. Si se debe llevar a cabo o no una evaluación de impacto de la protección de datos
  2. Qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos
  3. Si se debe llevar a cabo la evaluación de impacto de la protección de datos con recursos propios o con contratación externa
  4. Qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier riesgo para los derechos e intereses de los afectados
  5. Si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos y si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son conformes con el RGPD.

Si el responsable del tratamiento está en desacuerdo con el consejo expresado por el DPO, la documentación de la evaluación de impacto de la protección de datos deberá justificar específicamente por escrito por qué el consejo no se ha tenido en cuenta.

Equipo de Govertis 

Logotipo de Govertis

KEEP READING