Novedades de la nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales

27 noviembre, 2018 | DPD DPO, GDPR Legal | , , , , , ,

Después de casi un año de trámite parlamentario, el Pleno del Senado aprobó el pasado miércoles día 21 de noviembre, por 221 votos a favor, 21 en contra y ninguna abstención, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que desarrolla en España algunos contenidos del Reglamento General de Protección de Datos, tal y como habilita esta norma al legislador nacional.

Hay diversos aspectos que ya se conocían en versiones anteriores y se han consolidado y otros que se han modificado. A continuación recogemos algunos de los  aspectos más destacables si bien próximamente podremos el zoom en la nueva regulación de materias concretas.

Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, no exento de controversia. Estos derechos podríamos destacar los siguientes:  El derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc.  en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el mal denominado “testamento digital”.

De otro lado, se introducen, respecto a la figura del Delegado de Protección de Datos (DPD), una lista de entidades que deberán designar obligatoriamente DPD: centros docentes que ofrezcan enseñanzas reguladas, en las universidades públicas y privadas, colegios profesionales, en las federaciones deportivas, cuando traten datos de menores de edad, o en los centros sanitarios, salvo en el caso de profesionales de la salud que ejerzan su actividad a título individual.

El DPD cobra especial protagonismo en los procedimientos de investigación y sanción. Así, las reclamaciones que los interesados deseen interponer ante la Agencia Española de Protección de Datos, podrán primero presentarse al DPD. En el supuesto que esto no ocurra, la Agencia Española de Protección de Datos podrá remitir la reclamación al DPD para que en el plazo de un mes pueda resolver la reclamación, por ello la LOPDyGDD apostando por la mediación.

De la misma manera, el hecho de designar un DPD cuando no fuera obligatorio, se incluye como un criterio para graduar las sanciones, además de otros como la afectación a los derechos de los menores o el sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.

También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.

En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD. A partid de ahora, el denunciante que desee poner de manifiesto unos hechos concretos por considerarlos contrarios a la normativa aplicable, podrá hacerlo sin que la expresión de su identidad sea condición para el tratamiento de su denuncia.

También se regulan otros tratamientos sectoriales como, entre otros, videovigilancia, sistemas de información crediticia, sistemas de exclusión publicitaria o monitorización de empleados.

Por último, destacaremos que la información por medios electrónicos puede realizarse en doble capa como venía haciéndose hasta ahora, pero eso sí, se permite que sólo de informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.

KEEP READING

Primer encuentro exclusivo de Delegados de Protección de Datos de la AEC

16 noviembre, 2018 | DPD DPO | , , , ,

Una de las medidas más novedosas que ha traído consigo el Reglamento General de Protección de Datos (RGPD) es la exigencia de la figura del Delegado de Protección de Datos (DPD), en determinados supuestos, para garantizar el cumplimiento del RGPD. Tras la consolidación de esta figura emergente, la Asociación Española para la Calidad (AEC) ha asumido la responsabilidad de ayudar a estos profesionales, y sus empresas y organizaciones, a gestionar los cambios a los que deben hacer frente, y para llevar a cabo esta tarea ha creado “El Club de Delegados de Protección de Datos”, del que Govertis es partner estratégico.

Esta iniciativa ya fue anunciada en primicia por Marta Villanueva, Directora General de la AEC,  en el Insight exclusivo DPD sobre RGPD que organizó la entidad el pasado 2 de octubre, moderado por Eduard Chaveli (Socio y CEO en Govertis), en el que se presentó el “Club DPD” como un espacio referente de conocimiento, pertenencia y relación para los profesionales, y en el que ya se comenzaron a intercambiar experiencias de DPD´s de marcas referentes allí presentes.

Tras aquella presentación inicial, ha llegado el momento de dar comienzo a esta iniciativa con un primer encuentro el próximo 28 de noviembre, en el Auditorio Caja de Música del Palacio de Cibeles (Madrid), en el que se reunirán profesionales destacados del ámbito de la privacidad con el objetivo de compartir su conocimiento, experiencias e inquietudes en torno a la figura del DPD

Este primer encuentro comenzará con una presentación de la mano de Marta Villanueva, que inaugurará el Club e informará sobre el Plan de actividades del mismo para el año 2019. Tras la presentación, se abordarán las novedades más importantes introducidas en la Nueva LOPD de la mano de Javier Sempere Samaniego, Letrado del Consejo General del Poder Judicial (CGPJ) y Jefe de Área en el Centro de Documentación Judicial (CENDOJ). A continuación, tendrá lugar la Mesa Redonda, en la que una selección de DPD´s de referencia de diferentes sectores compartirán sus experiencias:  José Antonio Muñoz (Telefónica), María Luisa Muñoz Martínez (ONCE), Alejandro Artetxe (Hospitalarias Provincia de España), y Lluís Sanz i Marco (Ayuntamiento de Barcelona), y que será moderada por Eduard Chaveli, Socio y CEO en Govertis. Para finalizar, Javier Villegas, Lead Advisor Privacidad Sector Salud en Govertis, nos trasladará el punto de vista más operativo y el valor más cotidiano, a través de experiencias prácticas y la documentación más actualizada para el trabajo diario del DPD. Para más información, puedes encontrar la agenda detallada del encuentro en el siguiente enlace.

Si quieres sumarte a este primer encuentro, tan solo debes formalizar la inscripción en el siguiente enlace. ¡No te lo puedes perder!

KEEP READING

Análisis del Interés legitimo – Gestión de Brechas de Seguridad

4 octubre, 2018 | DPD DPO, GDPR Legal

Este 2 de octubre hemos tenido el placer de  celebrar un webinar-insight exclusivo sobre el RGPD, dando continuidad a la misión de la AEC de ofrecer toda la ayuda en la interpretación de la nueva normativa y su aplicación en los temas clave.

Borja Adsuara, Profesor, Abogado y Consultor, experto en Derecho, Estrategia y Comunicación Digital, nos habla sobre el Interés legítimo, que con el Nuevo Reglamento cobra especial relevancia. Javier Cao, Ingeniero en Informática, Lead Advisor en Ciber Riesgo en Govertis, comparte las  mejores prácticas y lecciones aprendidas en la Gestión de Brechas de seguridad.

El evento ha sido presentado por Marta Villanueva, Directora General de la AEC, que además ha  anunciado en primicia la creación de un Club de Delegados de Protección de datos, que será presentado a finales de noviembre. Eduard Chaveli, CEO de Govertis y uno de los máximos exponentes en Seguridad y Protección de datos ha sido el moderador del evento.

 

Insight exclusivo DPD-DPO sobre RGPD – Marta Villanueva

Insight exclusivo DPD-DPO sobre RGPD – Eduard Chaveli

Insight exclusivo DPD-DPO sobre RGPD – Borja Adsuara

Insight exclusivo DPD-DPO sobre RGPD – Javier Cao

KEEP READING

El Delegado de Protección de Datos y sus funciones

1 junio, 2018 | DPD DPO | , , , ,

El Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO), es una figura que introduce como obligatoria el Reglamento General de Protección de Datos (RGPD) para supervisar internamente, en cada entidad, el cumplimiento de las obligaciones que impone el RGPD.

El DPD, puede ser un empleado interno de la empresa o puede ser externo, pero debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. El DPD debe participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

En cuanto a las funciones del DPD / DPO, el artículo 39 del RGPD indica que tendrá como mínimo las siguientes:

  1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  4. Cooperar con la autoridad de control;
  5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

El DPD/DPO, podrá asumir otras funciones dentro de la empresa siempre que tengan relación con los tratamientos de datos personales y que no creen un conflicto de intereses entre sus funciones como DPD y las funciones o intereses de otros departamentos.

Para el correcto desempeño de sus funciones, el DPD tiene que prestar atención a los riesgos asociados a las operaciones de tratamiento. El DPD tendrá que tener en cuenta la naturaleza, el contexto, el alcance y las finalidades del tratamiento que se quiera realizar.

En Julio de 2017 la Agencia Española de Protección de Datos presentó su esquema de certificación de delegados de protección de datos. Estas certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD.

El esquema de certificación establece los requisitos de competencia para la persona que pretenda obtener la acreditación como DPD. Para poder acceder a la fase de evaluación, se requiere una experiencia o formación relevante en materia de protección de datos de carácter personal.
La prueba de evaluación permitirá constatar que se tienen los conocimientos teóricos y prácticos, las habilidades personales y la capacidad profesional necesarios. El esquema de certificación exige la sujeción a un código ético que incluye los principios de Legalidad e integridad, profesionalidad, responsabilidad en el desarrollo de la actividad profesional, imparcialidad, transparencia y confidencialidad.

El Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, contempla la figura del Delegado de Protección de Datos en sus artículos 34 a 37.
Destacando en la redacción actual la posición que ocupa el DPD como interlocutor del responsable ante la Agencia Española de Protección de Datos y la relevancia que le otorga la ley al DPD en la organización interna de la empresa conforme a la redacción del artículo 36.2 del Proyecto de Ley.

El equipo de profesionales de Govertis

Logotipo de Govertis

 

 

KEEP READING

Nuevos retos en privacidad: IoT

4 mayo, 2018 | DPD DPO | , , , ,

Al hablar de IoT nos referimos a la llamada “Internet of Things –  Internet de las Cosas”. Esencialmente se trata de la interconexión de objetos en red, mediante la asignación a cada uno de ellos de un “identificador único”, constituyendo así un dominio en el que pueden interactuar e intercambiar información de forma identificada, lo que supone una comunicación máquina a máquina. Estos tratamientos requieren de la designación obligatoria de Delegado de Protección de Datos- DPO-, quien deberá asesorar al responsable o encargado de tratamiento sobre los retos que plantean estos tratamientos para la privacidad.

Los principales riesgos para la privacidad de estos tratamientos son:

Rastreo. Consiste en el seguimiento en tiempo real de los movimientos de una persona, a partir de objetos que tiene asignados. Permite conocer la completa trazabilidad de los mismos. Ello puede provocar que esa información sobre hábitos de conducta en manos de cibercriminales pueda ser utilizada por ejemplo para efectuar un robo cuando estamos fuera de casa (trabajando o de vacaciones).

Elaboración de perfiles. A partir de los datos almacenados del seguimiento de una persona, mediante técnicas analíticas, permite inferir unos patrones de conducta y llegar a conocer sus hábitos y preferencias, posibilitando elaborar su perfil. Por ello se deberá estar a lo previsto en el RGPD para la elaboración de perfiles y, en su caso, decisiones individuales automatizadas.

Seguridad. Los ataques de DoS (Denegación de Servicio) / DDoS (Distributed Denial of Service) que ya están actualmente presentes en Internet. La IoT también es susceptible a este tipo de ataques por lo que se deben establecer mecanismos de resistencia a este tipo de ataques.

Por otro lado, al tratarse de dispositivos conectados son susceptibles de recibir malware (virus o programas que cifran la información – ransomware) por lo que deben ser protegidos de la misma manera que otros dispositivos conectados como ordenadores o smartphones.

Estos tratamientos en la mayoría de los casos requerirán una Evaluación de Impacto en Protección de Datos a tenor del artículo 35.3. a) del RGPD:

Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar”.

En la elaboración de la EIPD se deberán tener muy presentes las causas de legitimación del tratamiento, la información facilitada a los interesados, en su caso, el modo de obtención del consentimiento, así como las medidas técnicas y organizativas que reduzcan el alto riesgo para los derechos y libertades de los interesados. El Delegado de Protección de Datos DPO, tendrá un papel relevante en la elaboración de la misma debiendo liderarla y tomar parte activa en todas las fases de la misma.

Finalizaremos nuestra exposición haciendo referencia a la “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas)” que entre otras cuestiones pretende regular la IoT.

En relación con las comunicaciones máquina a máquina realizadas por la IoT, la Propuesta de Reglamento indica que estará prohibido recopilar la información emitida por un equipo terminal para poder conectarse a otro dispositivo o a un equipo de red, salvo cuando se cumpla alguna de las siguientes excepciones:

  1. a) cuando se lleve a cabo con el fin exclusivo de establecer una conexión y solamente durante el tiempo necesario para ello, o
  2. b) cuando se muestre una advertencia clara y destacada que informe, como mínimo, de las modalidades de recopilación, su finalidad, las personas responsables de ella y la información restante requerida de conformidad con el artículo 13 del Reglamento (UE) 2016/679 en caso de que se recojan datos personales, así como de cualquier medida que pueda adoptar el usuario final del equipo terminal para interrumpir o reducir al mínimo la recopilación. La información podrá proporcionarse en combinación con el uso de iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto.

La recopilación de esta información quedará supeditada a la aplicación de medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos, según lo establecido en el artículo 32 del Reglamento (UE) 2016/679.

El equipo de profesionales de Govertis

Logotipo de Govertis

KEEP READING

Ya tenemos la autorización provisional para certificar Delegados de Protección de Datos

15 marzo, 2018 | DPD DPO | , , , , ,

La AEC ha obtenido la autorización provisional para certificar a Delegados de Protección de Datos (DPD), según el esquema de certificación elaborado por la Agencia Española de Protección de Datos, en colaboración con la Entidad Nacional de Acreditación (ENAC).

KEEP READING

Vídeos de nuestra Cumbre AEC RGPD/LOPD/DPD

19 febrero, 2018 | DPD DPO

La Cumbre AEC RGPD/LOPD/DPD fue una cita en la que reunimos a más de 250 profesionales para resolver las dudas en torno a la nueva figura del Delegado de Protección de Datos y conocer las distintas perspectivas y novedades que traerá la aplicación del nuevo Reglamento General de Protección de Datos (RGPD).

KEEP READING

Quién debe ser DPD (DPO)

10 enero, 2018 | DPD DPO | , , , ,

Las empresas privadas y las administraciones públicas se preguntan a quién deben designar como Delegado de Protección de Datos/Data Protection Officer (DPD – DPO). En estas líneas intentaremos dar algunas pistas para su designación.

KEEP READING

Los principios generales de la protección de datos ¿fundamentos y/o deberes?

8 enero, 2018 | DPD DPO | , , , , , ,

Los principios generales de la protección de datos de carácter personal, no sólo son meros fundamentos por los que se ha de regir la elaboración, interpretación y aplicación de la normativa sobre protección de datos, sino que se trata de un conjunto de reglas que determinan cómo recoger, tratar y ceder los datos.

KEEP READING

Las Claves del Delegado de Protección de Datos DPD – DPO

21 noviembre, 2017 | DPD DPO | ,

Tenemos el placer de compartir con vosotros, la ponencia masterclass de Eduard Chaveli, CEO en Govertis y partner referente en materia de Privacidad, impartida en el encuentro Insight AEC “Las claves de la nueva figura del Delegado de Protección de Datos DPD/DPO”, que celebramos el pasado 16 de noviembre.

KEEP READING