Corresponsabilidad en Protección de Datos Personales

13 julio, 2018 | GDPR Legal | , , ,

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD) regula, por primera vez, un supuesto de hecho que ha necesitado respuesta legislativa. Así, es el caso de los tratamientos de datos de carácter personal realizados, de manera  conjunta, por dos o más entidades, como es el caso de los grupos empresariales. En la práctica, pueden disponer de una base de datos nutrida por las diferentes sociedades mercantiles del grupo, siendo todas éstas las que, sin distinción, deciden sobre el contenido, uso y finalidad del tratamiento de los datos.

Arreglo a la legislación española, hemos entendido que cada una de estas empresas del grupo ostenta la condición de Responsable de Tratamiento, “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”. Sin embargo, no se establecía, a nivel legislativo, la responsabilidad que adquirían. Tan sólo se limitó a señalar que cada una, en condición de Responsable, debía notificar el fichero, tratado simultáneamente, ante la autoridad de control.

Ahora, entendiéndose pertinente por parte del legislador europeo la atribución clara de responsabilidades, cuando estas empresas del grupo determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados CORRESPONSABLES. Y, en tal caso, deben determinar, de modo transparente y de mutuo acuerdo, sus responsabilidades respectivas en el cumplimiento de las obligaciones en protección de datos; en especial, el deber de información y las relativas a la atención de los derechos de los interesados, a cuyos efectos podrá fijarse a un punto de contacto en común.

El grupo empresarial ha de reflejar, debidamente, en el acuerdo las funciones que asumen cada uno y dará a conocer a los interesados los aspectos esenciales del mismo. No obstante, los interesados, independientemente de los términos del acuerdo, podrán ejercer los derechos en protección de datos frente a, y en contra de, cada uno de los Responsables.

Cabe añadir que, el Reglamento establece que si los responsables participan en el mismo tratamiento, cada responsable debe ser considerado responsable de la totalidad de los daños y perjuicios. No obstante, si se acumulan en la misma causa, de conformidad con el Derecho de los Estados miembros, la indemnización puede prorratearse en función de la responsabilidad de cada responsable por los daños y perjuicios causados por el tratamiento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los daños y perjuicios. Todo responsable que haya abonado la totalidad de la indemnización puede interponer recurso posteriormente contra otros responsables que hayan participado en el mismo tratamiento.

 

Con esto, los términos en los que se articule el acuerdo por parte del grupo son absolutamente relevantes, a los efectos de delimitar las responsabilidades de cada uno y no verse así en un conflicto desagradable.

 

 

 

KEEP READING

Privacidad por defecto y desde el diseño en el Reglamento Europeo de Protección de Datos

21 mayo, 2018 | GDPR Legal | , , , , ,

El nuevo Reglamento Europeo de Protección de Datos (en adelante RGPD), consagra en su artículo 5 los principios básicos a tener en cuenta para el tratamiento de los datos personales: transparencia y licitud, limitación de la finalidad, minimización de los datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.

Este último supone una importante novedad, señalando que el responsable o encargado del tratamiento deberá garantizar el cumplimiento de la normativa, y además estar en condiciones de demostrarlo en cualquier momento: principio de “accountability” o rendición de cuentas.

Esto supone además un cambio de enfoque a la hora de abordar el cumplimiento, ya que,

con la anterior normativa, los sujetos obligados debían seguir una serie de rígidas pautas establecidas por la Administración. A partir de ahora, corresponde a los responsables identificar y calificar los riesgos que pueden existir en su organización derivados de los tratamientos que realizan, escoger las medidas adecuadas para mitigarlos, y acreditarlo todo fehacientemente.

 

Por tanto, del análisis de riesgos que deberá realizar cada organización, se derivarán una serie de controles para tratar los mismos, y entre ellos destacan las medidas de privacidad desde el diseño y por defecto (“privacy design” y “privacy by default”), que deberán aplicarse con anterioridad al inicio del tratamiento y cuando se esté desarrollando.

 

En cuanto al concepto “privacidad desde el diseño”, el mismo hace referencia a la necesidad de tener presentes las garantías del RGPD desde que se inicia un proceso, previendo adoptar medidas que garanticen que solo se traten los datos necesarios y por el tiempo imprescindible. A este respecto, el RGPD indica en su Considerando 78 que “al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos”.

 

Por su parte, la “privacidad por defecto” está relacionado con lo que en la LOPD se denominaba como “principio de calidad de los datos”, o dicho con otras palabras, con el uso proporcionado de los datos personales a la finalidad por la que se recaban. Con las medidas de “privacy by default”, lo que se pretende es que las organizaciones, por defecto, solo traten los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esto es aplicable referido tanto a la cantidad de los datos recogidos, como al tipo de datos, los tratamientos que hacemos, el tiempo que los conservamos y el acceso que permitimos a los mismos. En el caso, por ejemplo, de una red social, las medidas de privacidad por defecto se cumplirían si se aplicara al usuario la configuración de privacidad más básica al registrarse.

El equipo de profesionales de Govertis

Logotipo de Govertis

KEEP READING

Las causas de legitimación del tratamiento en el RGPD

13 abril, 2018 | GDPR Legal | , , , ,

Con motivo de la entrada en vigor del nuevo Reglamento Europeo 2016/679 General de Protección de datos Personales (RGPD), se introducen diferentes novedades a abordar con respecto a las obligaciones ya establecidas por la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD). Entre dichas novedades debemos tomar en consideración cuál es la base legitimadora que nos habilita para realizar el tratamiento de los datos personales de nuestros clientes/usuarios.

Ciñéndonos a lo establecido en el RGPD, podemos visualizar los aspectos esenciales exigidos para que el tratamiento de datos de carácter personal sea lícito; en el art. 6, centrándose el art. 7 del citado Reglamento en las condiciones para que dicho consentimiento sea válido y, por último, el art. 8 hace referencia a las condiciones necesarias para la validez del consentimiento del niño en relación a los servicios prestados a través de medios telemáticos.

En primer lugar, haciendo hincapié en los requisitos exigidos para que el tratamiento sea lícito, el art. 6 establece lo siguiente:

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

  1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
  2. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
  3. c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
  4. d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
  5. e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  6. f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”

Respecto a las condiciones indicadas en dicho artículo, nos centraremos en el consentimiento del interesado e interés legítimo del responsable del tratamiento puesto que pueden ser más conflictivas o generar mayores controversias en cuanto a aplicación se refiere.

Por otro lado, uno de los mayores cambios que introduce el RGPD con respecto a nuestra normativa de protección de datos es la no contemplación del consentimiento tácito, siendo por consiguiente la satisfacción del interés legítimo, un elemento clave para considerar la existencia de un tratamiento de datos sin consentimiento del interesado (considerandos 47 a 49).

Otra de las apreciaciones que debemos traer a colación es, el tratamiento de datos de categoría especial entre los que se entienden: datos personales que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos, etc (Vid. Art. 9.1 RGPD).

Como regla general se prohíbe dicho tratamiento salvo que exista un consentimiento explícito por parte del interesado o, concurran una serie de circunstancias:

  • Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social.
  • Protección de Intereses vitales del interesado
  • Tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical.
  • Tratamiento de datos manifiestamente públicos.
  • Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial.
  • Por razón de interés público en el ámbito de la salud pública.
  • Es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos.

Por último, en lo concerniente al tratamiento de datos personales procedentes de niños o menores, se considerará válido dicho tratamiento si existe un consentimiento por parte del menor, cuando éste tenga mínimo 16 años y, los servicios recibidos hayan sido catalogados como “servicios procedentes de la sociedad de la información”. No obstante, lo anterior, se estable por el art. 8.1 que los Estados Miembros podrán establecer por ley una edad inferior que en todo caso no podrá sobrepasar el límite de los 13 años, el art. 7 del Proyecto de LOPD establece que “el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de trece años” en contraposición a lo establecido en el AR. 13 del RD 1720/2007 el cual determinaba la edad mínima de 14 años para poder recabar datos de menores con su consentimiento.

En relación a todo lo anteriormente destacado, podemos concluir que el RGPD puntualiza con mayor precisión los requisitos exigibles para considerar que un tratamiento de datos de carácter personal es legítimo; motivo por el cual todo responsable de tratamiento deberá analizar si es posible continuar con el tratamiento de dichos datos o, si por el contrario es necesario informar y recabar el consentimiento para ajustarnos a las estipulaciones marcadas por el nuevo Reglamento.

El equipo de profesionales de Govertis

Logotipo de Govertis

KEEP READING

¿Cómo se concibe el consentimiento para tratar datos personales, según el Reglamento Europeo?

23 marzo, 2018 | GDPR Legal | , , , , ,

En España, el consentimiento en la legislación en protección de datos de carácter personal se ha concebido como la premisa básica para legitimar un tratamiento o cesión de datos.

Sin embargo, a partir de ahora, con el Reglamento General de Protección de Datos de la Unión Europea, el consentimiento se ha concebido como una causa o fundamento más para legitimar un tratamiento de datos personales y está estrechamente ligado al principio de finalidad, puesto que la norma pone énfasis en que el consentimiento esté asociado para los fines específicos del tratamiento. Esto es, se ha recoger de forma clara, sencilla y concisa las finalidades de los datos, para que el interesado pueda manifestar el consentimiento respecto de cada una de éstas.

KEEP READING

Transparencia en la información y deber de información

2 marzo, 2018 | GDPR Legal | , , ,

El nuevo Reglamento Europeo de Protección de Datos (RGPD) recoge el Principio de Transparencia como un deber para la satisfacción de los derechos del interesado (Considerando 58 y artículo 12 RGPD), y el derecho a la información del interesado (Considerandos 60 a 62 y artículos 13 y 14 RGPD) con unas obligaciones concretas relacionadas con el deber de informar.

KEEP READING

Medidas de protección de datos en las Administraciones Públicas: Convergencia con Esquema Nacional de Seguridad

23 febrero, 2018 | GDPR Legal | , , ,

El nuevo Reglamento Europeo de Protección de Datos (RGPD) recoge el Principio de Transparencia como un deber para la satisfacción de los derechos del interesado (Considerando 58 y artículo 12 RGPD), y el derecho a la información del interesado (Considerandos 60 a 62 y artículos 13 y 14 RGPD) con unas obligaciones concretas relacionadas con el deber de informar.

KEEP READING

Nuevos retos en política de privacidad: Smartphones y APP

2 febrero, 2018 | GDPR Legal | , , , , ,

Desde los primeros terminales móviles que únicamente permitían realizar y recibir llamadas, así como mensajes de texto SMS (Short Message Service) o multimedia MMS (Multimedia Messaging Service), se ha pasado a un desarrollo exponencial de los mismos coincidiendo con el desarrollo de las redes 2G, 3G, 4G y, próximamente, 5 G que ha superado el concepto tradicional de teléfono móvil para pasar a denominarse teléfono inteligente o smartphone. Sus capacidades y funcionalidades han desbordado el concepto de teléfono móvil puesto que se asemejan más a las de un ordenador personal, lo que ha conllevado la aparición de nuevos riesgos para la privacidad y seguridad que deberán ser tenidos en cuenta por el Delegado de Protección de Datos DPO / DPD.

KEEP READING

La protección de datos en el panorama internacional. Una primera aproximación

19 enero, 2018 | GDPR Legal | , ,

En la década de los 80, fue la OCDE, Organización para la Cooperación y el Desarrollo Económicos, la primera en adoptar un documento con implicaciones internacionales en materia de protección de datos personales y privacidad. Poco después, sería el Consejo de Europa el que adoptara el Convenio 108 del Consejo de Europa, de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

KEEP READING

Los 10 puntos clave del RGPD

12 enero, 2018 | GDPR Legal | , , , , ,

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) entrará en aplicación el próximo 25 de mayo de 2018. Estos son algunos de sus puntos clave.

KEEP READING

Quién debe ser DPD (DPO)

10 enero, 2018 | DPD DPO | , , , ,

Las empresas privadas y las administraciones públicas se preguntan a quién deben designar como Delegado de Protección de Datos/Data Protection Officer (DPD – DPO). En estas líneas intentaremos dar algunas pistas para su designación.

KEEP READING