Publicación de la nueva LOPD y GDD

14 diciembre, 2018 | GDPR Legal | , , ,

Tras su aprobación por el Pleno del Senado, el pasado jueves, 6 de diciembre, se publicó en el BOE la nueva la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD y GDD), norma que deroga a la anterior Ley Orgánica de Protección de Datos de 1999, y enlaza con el Reglamento General de Protección de Datos (RGPD). Puedes acceder a la norma aquí.

Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, en el que se incorporan diecisiete nuevos derechos, entre los que podríamos destacar el derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc.  en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el reconocimiento específico del derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos.

Además, La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. En el ámbito de internet se podrá optar, específicamente, por un sistema de información por capas, como venía haciéndose hasta ahora, pero eso sí, se permite que sólo se informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos ARSOPL.

En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD.

También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.

Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas.

Equipo de Govertis 

Logotipo de Govertis

KEEP READING

El DPD y el Responsable de Seguridad de la información del ENS ¿figuras compatibles?

5 diciembre, 2018 | GDPR Legal | , , , ,

En artículos anteriores hemos hablado sobre las concretas  funciones que debe desempeñar un  Delegado de Protección de Datos. Sin embargo hoy haremos referencia  a las diferencias e incompatibilidades entre la figura del DPD y el Responsable de Seguridad (RS) en relación al informe recientemente publicado por la Agencia Española de Protección de Datos al respecto,  disponible a través del siguiente enlace:

 

 ¿Cuáles son las principales diferencias entre ambas figuras?

  1. Principio de Independencia de la figura del DPD. Así lo establece en su artículo 38.3 RGPD que determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones.

Sin embargo, el responsable de seguridad, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza de esta independencia.

  1. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.

El RS sin embargo, debe velar por garantizar la seguridad de la información de la  organización.

  1. Otra diferencia reseñable es en el ámbito de actuación de ambas figuras por cuanto respecta a la realización de los análisis de riesgos: mientras que el DPD se centrará en el análisis de riesgos sobre los derechos y libertades de las personas, el  RS realizará un análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.
  2. El DPD supervisará la labor que realiza el responsable de seguridad en sus tres vertientes: información, servicio y seguridad, porque el ENS focaliza y limita las funciones de estos responsables de seguridad, mientras que el RGPD amplía las funciones del DPD.

En este sentido,  unificar la figura del DPD con la del RS generaría un conflicto de intereses al vulnerar el principio de independencia asignado al DPD, y en definitiva no es recomendable que  el DPD sea “juez y parte” en el ámbito interno de una organización.

Respecto a los conflictos de intereses el Grupo de Trabajo sobre Protección de Datos del Artículo 29, revisadas por última vez y adoptadas el 5 de abril de 2017 señala para el DPD:  3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”.

No obstante, y dicho lo anterior, cabría la posibilidad de centralizar ambas figuras  en una sola persona siempre y cuando contara con la formación adecuada para el desempeño de ambas, debiendo separarse claramente las funciones que desempeña como DPD, y evitando cualquier conflicto de intereses.

Para terminar, indicar que en grandes organizaciones lo más recomendable es constituir un Comité de Seguridad que integre ambas figuras independientes. Así lo manifiesta también la norma ISO/IEC 29151:2017 Information technology – Security techniques – Code of practice for personally identifiable information protection.

Equipo de Govertis 

Logotipo de Govertis

 

KEEP READING

Novedades de la nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales

27 noviembre, 2018 | DPD DPO, GDPR Legal | , , , , , ,

Después de casi un año de trámite parlamentario, el Pleno del Senado aprobó el pasado miércoles día 21 de noviembre, por 221 votos a favor, 21 en contra y ninguna abstención, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que desarrolla en España algunos contenidos del Reglamento General de Protección de Datos, tal y como habilita esta norma al legislador nacional.

Hay diversos aspectos que ya se conocían en versiones anteriores y se han consolidado y otros que se han modificado. A continuación recogemos algunos de los  aspectos más destacables si bien próximamente podremos el zoom en la nueva regulación de materias concretas.

Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, no exento de controversia. Estos derechos podríamos destacar los siguientes:  El derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc.  en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el mal denominado “testamento digital”.

De otro lado, se introducen, respecto a la figura del Delegado de Protección de Datos (DPD), una lista de entidades que deberán designar obligatoriamente DPD: centros docentes que ofrezcan enseñanzas reguladas, en las universidades públicas y privadas, colegios profesionales, en las federaciones deportivas, cuando traten datos de menores de edad, o en los centros sanitarios, salvo en el caso de profesionales de la salud que ejerzan su actividad a título individual.

El DPD cobra especial protagonismo en los procedimientos de investigación y sanción. Así, las reclamaciones que los interesados deseen interponer ante la Agencia Española de Protección de Datos, podrán primero presentarse al DPD. En el supuesto que esto no ocurra, la Agencia Española de Protección de Datos podrá remitir la reclamación al DPD para que en el plazo de un mes pueda resolver la reclamación, por ello la LOPDyGDD apostando por la mediación.

De la misma manera, el hecho de designar un DPD cuando no fuera obligatorio, se incluye como un criterio para graduar las sanciones, además de otros como la afectación a los derechos de los menores o el sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.

También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.

En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD. A partid de ahora, el denunciante que desee poner de manifiesto unos hechos concretos por considerarlos contrarios a la normativa aplicable, podrá hacerlo sin que la expresión de su identidad sea condición para el tratamiento de su denuncia.

También se regulan otros tratamientos sectoriales como, entre otros, videovigilancia, sistemas de información crediticia, sistemas de exclusión publicitaria o monitorización de empleados.

Por último, destacaremos que la información por medios electrónicos puede realizarse en doble capa como venía haciéndose hasta ahora, pero eso sí, se permite que sólo de informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.

KEEP READING

Del registro de incidencias en la LOPD a las notificaciones de violaciones de seguridad en el RGPD

8 noviembre, 2018 | GDPR Legal | , , ,

En el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RDLOPD) se recogía la obligación de llevar un registro de incidencias interno, a diferencia de las obligaciones que introduce el RGPD, que además de disponer de un registro interno, establece la necesidad de analizar  si  la misma constituye un riesgo para los derechos y libertades de las personas físicas para en su caso, notificarla a la Autoridad de Control y/o a los interesados.

Lo que ocurre es que el contenido que debe incluir dicha notificación que debe hacerse a la Agencia Española de Protección de Datos, es muy similar a lo que incluía el contenido del registro de incidencias del RDLOPD. Esto, unido a que actualmente se debe documentar lo relacionado con las violaciones de seguridad, hace que en la práctica deba existir un registro de dichas incidencias/violaciones/brechas, a disposición de la autoridad de control.

A continuación resumimos  las diferencias del contenido  del registro de incidencias LOPD y el contenido de la notificación a la Agencia de las violaciones de seguridad del actual RGPD

1.- Descripción de la incidencia

El RDLOPD  mencionaba que se debe establecer un registro en el que se haga constar el tipo de incidencia y el momento en el que se ha producido y detectado. No entraba en detalle del contenido de la incidencia, pero se entendía que era una explicación de la misma.

Con el RGPD se debe describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

2.- Datos de personas que participan en el registro

Con la LOPD se tenía que registrar la persona que realizaba la notificación y la persona a la que se le comunicaba dentro de la Organización (normalmente era el Responsable de Seguridad).

Con el RGPD se debe comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

3.- Consecuencias derivadas

Con la LOPD se debían registrar los efectos derivados de la incidencia.

Con el RGPD, en términos distintos pero el mismo trasfondo, deben comunicarse las “posibles consecuencias de la violación de seguridad”.

4.- Actuaciones posteriores

Con la LOPD se debían registrar las medidas correctoras y para datos de nivel medio, se debían indicar también, en su caso, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación

Con el RGPD se debe informar a la Agencia de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

De todo lo mencionado, se deduce que en el contenido del antiguo registro de incidencias y el contenido que debe incluirse en la notificación a la Agencia actualmente, hay diferencias terminológicas y muy puntuales, pero en la práctica se sigue registrando lo mismo.

Por otro lado, hay que destacar que el registro de incidencias de la LOPD, era un registro interno (a disposición de la autoridad de control, pero interno), las notificaciones de violaciones de seguridad implican “una salida” de esa información; de la organización a la Autoridad de Control o a los interesados, según el caso.

Un tercer punto diferenciador es que en la LOPD el registro de incidencias (como el resto de obligaciones) recaía sobre los Responsables de Ficheros.

Con el RGPD, la obligación de notificación de violaciones de seguridad afecta, tanto a Responsables como a Encargados.

Finalmente, la LOPD no establecía un plazo para el registro de incidencias, mientras que para la notificación de la existencia de una violación de seguridad a la autoridad de control se establece actualmente un plazo de 72 horas (con sus excepciones) desde que se tuvo constancia de la violación de seguridad.

 

KEEP READING

Políticas BYOD y MDM

2 noviembre, 2018 | GDPR Legal | , , , ,

¿Qué es una política BYOD? Estas siglas en inglés responden a “Bring Your Own Device”. Se denomina así al uso de dispositivos personales en el ámbito corporativo. Esta práctica empresarial conlleva unos riesgos que deben ser localizados y recogidos en un protocolo de actuación o política BYOD.

¿Cuáles son algunos de los principales elementos de esta política de seguridad?

  • Generar en la empresa las normas de uso de TIC y prácticas formativas a los trabajadores en el manejo de los dispositivos en un entorno BYOD.
  • Limitar el uso de aplicaciones y generar perfiles de acceso con restricción de permisos para evitar la instalación de archivos de origen desconocido.
  • No cargar el móvil en los ordenadores de la empresa.
  • Establecer el proceso de destrucción o borrado de información de estos dispositivos cuando el trabajador cesa la relación laboral.
  • Revisar correctamente la política de contraseñas y revisar los roles y perfiles de cada usuario para que accedan a los datos sólo aquellos usuarios con esos perfiles.
  • Revisar el contenedor donde esté ubicado las contraseñas esté cifrado, para evitar el acceso a la información e implementar un sistema de contraseñas de 2 o más factores que nos permita un sistema más robusto y seguro.
  • Actualización de los parches de seguridad y del sistema operativo continúo con antivirus.
  • Conexión VPN con firewall implementado que permita activar el sistema de intrusión de amenazas.

Este ejemplo de política BYOD se habrá establecido una vez valorados los posibles riesgos al realizar una evaluación de impacto a un determinado tratamiento como el uso de dispositivos personales en el ámbito laboral, conforme al art. 35 del nuevo Reglamento Europeo de Protección de Datos (RGPD), en cuyo caso la organización valorará si el riesgo es asumible o por el contrario, hay que adoptar algún tipo de control que lo mitigue.

Una posibilidad para minimizar estos riesgos consiste en implementar  sistemas de gestión de dispositivos móviles (Mobile Device Management o MDM) que se encargan de monitorear, integrar y administrar los dispositivos móviles, como smartphones, tabletas y computadoras portátiles, en el lugar de trabajo. Así, se puede cumplir con el principio de minimización de datos que recoge el RGPD en el artículo artículo 5.1.c) al garantizar la seguridad de los datos corporativos almacenados en dispositivos móviles, redes inalámbricas y aplicaciones de la compañía. La intención del MDM es optimizar la funcionalidad y la seguridad de los dispositivos móviles dentro de la empresa, a la vez que protege la red corporativa para evitar cualquier tipo de fuga de datos o intromisión por parte de terceros.

Las principales ventajas relacionadas con la seguridad IT y privacidad que se puede conseguir con la implementación de una solución MDM son:

  1. Instalar aplicaciones en forma masiva reduciendo el tiempo de respuesta en la empresa.
  2. Localización y rastreo de equipos, permitiendo localizar los equipos conectados a través de Wifi, 3G/4G en caso de pérdida o robo.
  3. Sincronización de ficheros instalados en los dispositivos móviles con el servidor.
  4. Reportar datos al permitir generar reportes incluyendo KPIs de seguridad que nos permiten mejorar en la gestión de la seguridad y privacidad.
  5. Bloqueo de funciones al controlar funciones específicas de los dispositivos, pudiendo activar o desactivar sistemas del dispositivo como la cámara, el micrófono y acceder a la configuración de dispositivo
  6. Selección de aplicaciones al permitir aplicar políticas de control sobre las aplicaciones en la empresa.
  7. h) Aplicar contraseñas de bloqueo a los dispositivos desde el servidor MDM y borrado remoto cuando el dispositivo está extraviado, robado o perdido para evitar la fuga de los datos.

Por último, el Grupo de Trabajo del 29 señala la importancia de implementar y comunicar políticas de uso aceptable de las TIC y se refiere, en particular, a la monitorización del trabajo en casa y remoto, indicando que la clave en este caso es gestionar cualquier riesgo que implique el trabajo a distancia de manera proporcional, considerando en particular, a la hora de utilizar tecnologías de monitorización, los límites entre uso profesional y privado, incluyendo ejemplos como (Bring Your Own Device, BYOD) y la gestión de dispositivos móviles (Mobile Device Management, MDM).

Equipo de Govertis 

Logotipo de Govertis

 

 

KEEP READING

Blockchain y RGPD: ¿Son compatibles?

26 octubre, 2018 | GDPR Legal | , , ,

El blockchain, o cadena de bloques, es una tecnología destinada a tener un impacto enorme en todos los ámbitos de nuestras vidas. Conocida por ser la base tecnológica del bitcoin, este sistema es una base de datos compartida que registra en un libro mayor todas las operaciones entre todos sus usuarios, desde transacciones económicas hasta operaciones de compra-venta. Una de sus características es la inmutabilidad de la información que consta en los bloques ya que garantiza la seguridad y fiabilidad de la información. Precisamente es en sus cualidades donde se encuentran las incompatibilidades con el Reglamento General de Protección de Datos.

A continuación, analizaremos algunos de los puntos que desafían el cumplimiento de la blockchain con el RGPD:

  • Derecho de cancelación: La información en la cadena de bloques permanece inalterable y esa es una de las piezas fundamentales de su funcionamiento. El artículo 17 del RGPD regula el derecho a la supresión de los datos personales, pudiendo el interesado solicitar al Responsable del Tratamiento la supresión de los datos personales que le conciernan. Es por esto, que el derecho a la supresión se presenta como un desafío para la tecnología blockchain.
  • Plazos de conservación de los datos de carácter personal: El RGPD establece que los datos del interesado serán conservados únicamente durante el tiempo necesario para los fines previstos. Los datos almacenados en la blockchain se almacenan de manera indefinida en su red y por lo tanto resulta imposible cumplir con este aspecto definido en el RGPD.
  • Principio de exactitud: Los datos del interesado deberán ser exactos y estar actualizados. Por lo tanto, debido a su inalterabilidad, será un desafío poder modificar la información de la red blockchain en base a este principio.

Son cada vez más las voces discordantes que prevén la incompatibilidad de la Blockchain con el RGPD y abogan por dejar fuera del alcance de la normativa europea a esta nueva tecnología. El pasado 1 de febrero la Comisión Europea puso en marcha el Observatorio y Foro de Blockchain de la Unión Europea con el objetivo de promover su uso y destacar sus avances más significativos. Dado el interés del legislador europeo por la privacidad y la protección de los datos de los ciudadanos, es fácil imaginar que encontrarán una solución a lo que parece una incompatibilidad entre el RGPD y la blockchain.

El equipo de profesionales de Govertis

Logotipo de Govertis

KEEP READING

Análisis del Interés legitimo – Gestión de Brechas de Seguridad

4 octubre, 2018 | DPD DPO, GDPR Legal

Este 2 de octubre hemos tenido el placer de  celebrar un webinar-insight exclusivo sobre el RGPD, dando continuidad a la misión de la AEC de ofrecer toda la ayuda en la interpretación de la nueva normativa y su aplicación en los temas clave.

Borja Adsuara, Profesor, Abogado y Consultor, experto en Derecho, Estrategia y Comunicación Digital, nos habla sobre el Interés legítimo, que con el Nuevo Reglamento cobra especial relevancia. Javier Cao, Ingeniero en Informática, Lead Advisor en Ciber Riesgo en Govertis, comparte las  mejores prácticas y lecciones aprendidas en la Gestión de Brechas de seguridad.

El evento ha sido presentado por Marta Villanueva, Directora General de la AEC, que además ha  anunciado en primicia la creación de un Club de Delegados de Protección de datos, que será presentado a finales de noviembre. Eduard Chaveli, CEO de Govertis y uno de los máximos exponentes en Seguridad y Protección de datos ha sido el moderador del evento.

 

Insight exclusivo DPD-DPO sobre RGPD – Marta Villanueva

Insight exclusivo DPD-DPO sobre RGPD – Eduard Chaveli

Insight exclusivo DPD-DPO sobre RGPD – Borja Adsuara

Insight exclusivo DPD-DPO sobre RGPD – Javier Cao

KEEP READING

Responsabilidad Proactiva

2 agosto, 2018 | GDPR Legal | , , , ,

A lo largo de distintos post publicados en nuestro Blog del DPD/DPO hemos tratado la responsabilidad en el tratamiento de los datos personales, sin embrago en estas líneas queremos centrarnos en la Responsabilidad Proactiva o accountability.

Antes de entrar a ver el principio de responsabilidad proactiva en el Reglamento General de Protección de Datos (RGPD), cabe indicar que el Grupo de Trabajo del Artículo 29 (GT29), que fue sustituido tras la plena aplicación del RGPD (el 25 de mayo) por el Comité Europeo de Protección de Datos (CEPD), publicó en 2010 el Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, en el que explicaba  su significado y alcance.

El GT29 señalaba que “proviene del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la práctica.” Y también que “el término apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse.”

Como señala la AEPD (Principio Responsabilidad Proactiva) el RGPD, en su artículo 24,  describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Para ello las organizaciones han de analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, para pasar a realizar el Análisis de Riesgos. Pasos que se están dando en la adecuación al Reglamento General de Protección de Datos y que les llevará a determinar la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y, como indica el  RGPD,  que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

Así pues al hablar de Responsabilidad proactiva o accountability nos centrados en dos elementos:

  1. La necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos.

¿Qué medidas encontramos en el RGPD cuya aplicación supone que las organizaciones están siendo proactivas en la adopción de medidas de seguridad?

Medidas técnicas y organizativas que serán revisadas y actualizadas, es decir, el responsable del tratamiento tendrá que evaluar o analizar en todo momento el riesgo, atendiendo también a cualquier cambio en el mismo ya sea, por ejemplo, por nuevos tratamientos de datos personales.

  1. La necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces. En este caso se consigue recabando evidencias, documentando actuaciones que podrán ser de prueba ante incidentes

Por último señalar que la responsabilidad proactiva se exige al responsable del tratamiento con independencia de que trate los datos personales por sí mismo o a través de un encargado del tratamiento o subencargados de tratamiento.

El equipo de profesionales de Govertis

Logotipo de Govertis

 

KEEP READING

Qué debo tener en cuenta a la hora de iniciar tratamientos de Big Data

20 julio, 2018 | GDPR Legal | , ,

A lo largo de las presentes líneas abordaremos los principales aspectos que deben ser tomados en consideración a la hora de iniciar un tratamiento de Big Data.

Anonimización. Debe tenerse en cuenta que si el tratamiento de datos de Big Data se realiza sobre información completamente anonimizada no se considerará dato de carácter personal y no aplicará la normativa de protección de datos y que, si el tratamiento de datos de Big Data se realiza sobre datos personales, sí que aplicará la normativa de protección de datos personales.

Pero debe advertirse que anonimizar es eliminar cualquier variable de identificación. El avance de la técnica ha determinado que lo que en un determinado momento es irreversible, puede no serlo en el futuro. Además, el riesgo cero no existe en ningún aspecto relacionado con la seguridad y la privacidad y en este caso no iba a ser una excepción.

Transparencia. Tanto si los datos provienen directamente del interesado como si provienen de otra fuente, se deberá facilitar información conforme al artículo 13 o 14 del RGPD. Es más, cuando se informa sobre los usos y finalidades previstos, se deberá incluir información clara y sencilla sobre el tratamiento realizado por los algoritmos que intervienen en el tratamiento, con las dificultades que ello conlleva.

Base jurídica del tratamiento. Partiendo de los supuestos en los que la información no está anonimizada, por lo que aplica el RGPD, se debe determinar la base jurídica del tratamiento. Como indica el Código de buenas prácticas en protección de datos para proyectos de Big Data, no existe una única legitimación al tratamiento. Se debe determinar antes de iniciar el tratamiento si encaja en alguno de los supuestos de legitimación y en caso contrario, solicitar el consentimiento expreso.

Minimización de los tratamientos. Este principio debe ser estudiado concienzudamente ya que al realizarse tratamientos masivos de datos pueden recolectarse datos excesivos con las finalidades del tratamiento. En base a este principio tampoco se pueden recoger mas datos de los necesarios para futuras necesidades no previstas en el momento inicial.

Origen de los datos. El Big Data de nutre de fuentes endógenas y exógenas. en relación con las segundas deberemos cerciorarnos que el dato ha sido obtenido legítimamente por la entidad que lo facilita. También se debe tener presente que los metadatos asociados a una información primaria también están sometidos al RGPD.

Derechos de los interesados. En relación con el ejercicio de derechos se plantea la problemática de posibilitar permanentemente un sistema para que los interesados puedan ejercitar sus derechos debido a que estos tratamientos se suelen prologar en el tiempo. De esta manera la utilización de las denominadas PETs (Privacy Enhanced Technologies) respetuosas con el usuario y en las que tenga permanentemente el control sobre sus datos, pueden ser una buena opción.

De entre todos los derechos cabe destacar la especialidad para tratamientos de Big Data en relación con el derecho de portabilidad. En este sentido, el Grupo de Trabajo del Artículo 29 en sus Directrices sobre la aplicación del derecho a la portabilidad considera que el concepto de datos facilitados por el interesado incluye los datos proporcionados de manera activa por el interesado y los datos observados a partir de esos datos facilitados (datos de ubicación, búsqueda, ritmo cardiaco, etc) pero no incluye dentro de los datos sujetos al derecho a la portabilidad a los datos inferidos o deducidos que hayan sido creados por el responsable de tratamiento a partir de los datos proporcionados por el interesado (como pueden ser los resultados algorítmicos).

Evaluación de impacto en protección de datos. En la mayoría de los tratamientos de Big Data será necesario realizar una EIPD. Incluso si los datos se van a anonimizar, sería conveniente realizar una evaluación de impacto limitada al proceso de anonimización y riesgo residual de reidentificación.

Seguridad. En materia de seguridad de los tratamientos hay diferentes aspectos a tener en cuenta dependiendo de la fase de tratamiento. Debe tenerse en cuenta que el valor de la información puede ser muy preciado por cibercriminales o simplemente por la competencia. Inclusive el propio algoritmo que realiza el tratamiento puede ser codiciado. El Código de buenas prácticas en proyectos de Big Data establece las principales medidas de seguridad que se deben tener en cuenta en estos tratamientos:

  • Anonimización
  • Cifrado
  • Control de Acceso
  • Trazabilidad

El equipo de profesionales de Govertis

Logotipo de Govertis

KEEP READING

Corresponsabilidad en Protección de Datos Personales

13 julio, 2018 | GDPR Legal | , , ,

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD) regula, por primera vez, un supuesto de hecho que ha necesitado respuesta legislativa. Así, es el caso de los tratamientos de datos de carácter personal realizados, de manera  conjunta, por dos o más entidades, como es el caso de los grupos empresariales. En la práctica, pueden disponer de una base de datos nutrida por las diferentes sociedades mercantiles del grupo, siendo todas éstas las que, sin distinción, deciden sobre el contenido, uso y finalidad del tratamiento de los datos.

Arreglo a la legislación española, hemos entendido que cada una de estas empresas del grupo ostenta la condición de Responsable de Tratamiento, “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”. Sin embargo, no se establecía, a nivel legislativo, la responsabilidad que adquirían. Tan sólo se limitó a señalar que cada una, en condición de Responsable, debía notificar el fichero, tratado simultáneamente, ante la autoridad de control.

Ahora, entendiéndose pertinente por parte del legislador europeo la atribución clara de responsabilidades, cuando estas empresas del grupo determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados CORRESPONSABLES. Y, en tal caso, deben determinar, de modo transparente y de mutuo acuerdo, sus responsabilidades respectivas en el cumplimiento de las obligaciones en protección de datos; en especial, el deber de información y las relativas a la atención de los derechos de los interesados, a cuyos efectos podrá fijarse a un punto de contacto en común.

El grupo empresarial ha de reflejar, debidamente, en el acuerdo las funciones que asumen cada uno y dará a conocer a los interesados los aspectos esenciales del mismo. No obstante, los interesados, independientemente de los términos del acuerdo, podrán ejercer los derechos en protección de datos frente a, y en contra de, cada uno de los Responsables.

Cabe añadir que, el Reglamento establece que si los responsables participan en el mismo tratamiento, cada responsable debe ser considerado responsable de la totalidad de los daños y perjuicios. No obstante, si se acumulan en la misma causa, de conformidad con el Derecho de los Estados miembros, la indemnización puede prorratearse en función de la responsabilidad de cada responsable por los daños y perjuicios causados por el tratamiento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los daños y perjuicios. Todo responsable que haya abonado la totalidad de la indemnización puede interponer recurso posteriormente contra otros responsables que hayan participado en el mismo tratamiento.

 

Con esto, los términos en los que se articule el acuerdo por parte del grupo son absolutamente relevantes, a los efectos de delimitar las responsabilidades de cada uno y no verse así en un conflicto desagradable.

 

 

 

KEEP READING