phone 915 752 750 email aec@aec.es

    ¿Qué datos biométricos se conciben como de categoría especial?

    2 junio, 2020 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal | , ,

    A partir del Informe Jurídico 36/2020 de la Agencia Española de Protección de Datos (AEPD), en el que, entre otros, se trata el uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación on-line, podemos obtener una respuesta a esta cuestión.

    Por una parte, el artículo 4.14 RGPD define como «datos biométricos» aquellos “datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Y, por otra parte, el artículo 9.1 RGPD, incluye entre los datos de categoría especial “datos biométricos dirigidos a identificar de manera univoca a una persona física”.

    Según la AEPD, “en una interpretación conjunta de ambos preceptos parece dar a entender que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico especifico dirigido a identificar de manera univoca a una persona física” y, en este sentido, igualmente se pronuncia el Considerando 51.

    Al objeto de aclarar las dudas interpretativas, la AEPD atiende al Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo del Artículo 29, en el que se distingue:

    • Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

    Identificación biométrica uno-a-varios de huella dactilar en escenario crimen por Fuerzas y Cuerpos de Seguridad

    • Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).

    Verificación/Autenticación uno-a-uno en control de acceso por huella dactilar al puesto de trabajo

    Atendiendo a la citada distinción, la AEPD entiende que el concepto de dato biométrico incluye ambos supuestos. Sin embargo, y con carácter general, únicamente tendrán la consideración de categoría especial en los supuestos de identificación biométrica (uno-a varios).

    No obstante, la AEPD considera que “se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto”. Y nos termina diciendo que, “en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados”.

    Equipo de Govertis

    KEEP READING

    MEDIDAS DE CONTROL Y VIGILANCIA POR PARTE DE LA ENTIDAD LOCAL

    28 junio, 2019 |by Beatriz Martin | 0 Comments | GDPR Legal | , , , , , ,

    Respecto de si tiene o no potestad de control y vigilancia el empresario o empleador en el ámbito privado, es un tema muy trillado del que se ha hablado en numerosas ocasiones. ¿Pero qué pasa en el ámbito público, concretamente en las entidades locales?

    Titularidad de los medios tecnológicos

    En primer lugar, partimos de la afirmación, que la titularidad de los medios tecnológicos (correo electrónico, equipos de sobremesa, etc..) es titularidad de la Administración Local siempre y cuando, dichos soportes se hayan puesto a disposición del empleado con la finalidad de desempeño de las funciones encomendadas a este. Son muchos los pronunciamientos de la Agencia Española de Protección de Datos al respecto, resaltamos entre ellos, el Informe 0464/2013.

    Legitimación en la adopción de las medidas de control

    Asentado lo anterior, debemos analizar la base de legitimación para poder llevar a cabo la adopción de medidas de control por parte de la Entidad local.

    En el ámbito público, en primer lugar, debemos diferenciar:

    1. Personal laboral: ya sea, fijo por tiempo indefinido o temporal
    2. Funcionarios de carrera o interinos.

    Por lo que se debe diferenciar la normativa aplicable a ambos supuestos:

    1. Para el personal laboral, le sería de aplicación el artículo 20.3 del Estatuto de Trabajadores.

    En cuanto a los funcionarios de carrera, dicho control estaría legitimado, en primer lugar atendiendo al  artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), que establece como principio de conducta de los empleados públicos, entre otros, el deber de no utilizar los recursos y bienes públicos en provecho propio, por lo que, los Ayuntamientos, y otros entes públicos, podrían realizar actuaciones de control del ordenador de sus trabajadores con el fin de verificar el cumplimiento de este deber.

    En segundo lugar, la Administración como Responsable de Tratamiento, tal y como indica el artículo 32.1 RGPD debe, por un lado, implementar medidas de seguridad en el tratamiento;

    << Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (…)>>

    Y por otro, medidas de seguridad de forma integral, tal y como recoge el artículo 5 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica: así como el artículo 41.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. 

    Es por ello, que una de las medidas de seguridad que está obligado a adoptar el Responsable, son aquellas medidas de control concretas, para poder preservar la seguridad de los sistemas de información. 

    A mayor abundamiento, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales recoge en el artículo 87 el Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral:

    “2. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos (…)

    En este punto, la Agencia Catalana de Protección de Datos ya puntualizó, en su Dictamen 49/2009, que el Ayuntamiento, en su condición de “empresario”, también podía ejercer un control cuando tuviera como finalidad verificar el cumplimiento por parte de los trabajadores de sus obligaciones laborales, y lo hace en base al artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), anteriormente referenciado.

    Juicio de proporcionalidad, idoneidad y necesidad de las medidas de control

    Finalmente, pero no menos importante, el Tribunal Constitucional (TC) considera que el ejercicio de cualquier derecho fundamental consagrado en nuestra Constitución no es de carácter absoluto, sino que se debe contraponer con el ejercicio de otros derechos o bienes jurídicos protegidos, siendo la función de los órganos jurisdiccionales y, en concreto del TC, preservar el equilibrio necesario ante una posible colisión de intereses contrapuestos.

    Es por ello, que para que una actividad de control sea conforme a la legislación se respeten los principios de Necesidad, Legitimidad, Proporcionalidad y Seguridad.

     

    El Equipo Govertis 

    Logotipo de Govertis

    KEEP READING

    Publicación de calificaciones universitarias y la nueva LOPD

    31 mayo, 2019 |by Beatriz Martin | 0 Comments | GDPR Legal | , , , , , , , , ,

    Una problemática recurrente en el ámbito universitario es la relativa publicación de las notas de los alumnos. Tradicionalmente, las calificaciones se “colgaban” en el tablón de anuncios de la Universidad, y todo aquel que pasara por allí, ya fuera alumno, progenitor “curioso” o ciudadano anónimo, tenía acceso a las mismas.

    Traducido a la normativa de protección de datos, esta publicación supone una comunicación de datos de carácter personal, que debe basarse en una causa de licitud, esto es, uno de los motivos que contempla la Ley para que dicho tratamiento de datos sea válido.

    Calificaciones universitarias con la antigua LOPD

    Con la antigua LOPD (Ley Orgánica 15/99, de Protección de Datos), la regla general de licitud era el consentimiento del afectado, salvo excepciones, como que una norma con rango de ley contemplara ese tratamiento concreto. Antes de la entrada en vigor de la Ley Orgánica 4/2007, de 12 de abril de Universidades, esa publicación de notas en los tablones era ilegal, salvo que se hubiera recabado previamente el consentimiento de los estudiantes.

    La DA 2ª  de la citada Ley Orgánica 4/2007 sí contempló la excepción, y amparó la publicación de las calificaciones de los alumnos sin consentimiento del interesado.

    Calificaciones universitarias con el nuevo RGPD

    Esta situación no ha cambiado con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de Derechos Digitales (LOPD-GDD), que incluye entre sus bases de legitimación para tratar los datos el interés público basado en una norma con rango de ley, como es este caso.

    Pero no basta, de acuerdo con el RGPD y la LOPD-GDD, que la publicación sea lícita (PRINCIPIO DE LICITUD DEL TRATAMIENTO), sino que también debe cumplir con el resto de principios generales de la norma, como el de TRANSPARENCIA, MINIMIZACIÓN DE DATOS o LIMITACIÓN DEL PLAZO DE CONSERVACIÓN, entre otros. Esto implica que la publicación debe hacerse de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones, como en el caso de que se publicara, por ejemplo, en Internet. Por todo esto se recomienda:

    • Publicación calificaciones en Intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo, habiendo informado previamente a los alumnos en la matriculación.
    • Si de esta forma no fue posible, publicación en tablones de anuncios del centro, siempre que no se encuentren en las zonas comunes de los centros, se garantice que el acceso a los mismos queda restringido a dichas personas y se adopten las medidas necesarias para evitar su público conocimiento por quienes carecen de interés en el mismo.
    • En cuanto a los datos a publicar:
    • Plazo de conservación de la publicación: calificaciones provisionales mientras transcurre el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados. 

     

    Documentación relacionada:

    Informe AEPD 2019-0030

    https://www.aepd.es/es/documento/2019-0030.pdf

    Orientación para la aplicación provisional de la DA 7ª de la LOPDGDD

    https://www.aepd.es/media/docs/orientaciones-da7.pdf

     

    El Equipo Govertis 

    Logotipo de Govertis

    KEEP READING

    Uso de fotografías en RRSS

    24 mayo, 2019 |by Beatriz Martin | 0 Comments | GDPR Legal | , , , , ,

    El uso y compartición de fotografías en las redes sociales es uno de los aspectos que caracterizan dichas comunidades, bien sea para un uso profesional (Linkedin, Xing) o más personal (Facebook, Twitter, Instagram).

    Desde el punto de vista jurídico, el hecho de compartir fotografías en redes sociales tiene diversas implicaciones y puede estar sujeto a diferentes normas que regulan desde la propiedad de la fotografía hasta los aspectos relativos a su contenido, con especial atención al contenido cuando en la fotografía aparecen personas físicas.

    Propiedad de la imagen en Redes Sociales

    Respecto a la propiedad de la imagen, hay que tener en cuenta las disposiciones del Real Decreto legislativo 1/1996 por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (en adelante LPI). Esta ley reconoce una serie de derechos morales y de explotación a los autores de las fotografías, diferenciando en caso de que se consideren obras artísticas, literarias o científicas; o meras fotografías.

    Para utilizar en RRSS fotografías de terceros, será necesario ser titular de los derechos necesarios para el uso que se quiere realizar (como por ejemplo un uso comercial o publicitario) y en su caso abonar al titular de los derechos la compensación pactada.

    Contenido de la imagen en Redes Sociales

    En cuando al contenido, además de que los objetos que aparezcan en la fotografía puedan estar protegidos por la LPI, también podrían estar protegidos por otras normas como la Ley 17/2001 de Marcas, o la Ley 20/2003 de Protección del Diseño Industrial.

    Si en el contenido de la fotografía aparecen personas físicas, entran en juego dos marcos normativos de gran relevancia:

    1. Por un lado: el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los.derechos digitales. (en adelante, LOPDGDD).
    2. Por otro lado, la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (en adelante LO 1/1982).

    La imagen como Dato Personal

    La imagen está considerada como un dato personal de acuerdo a la definición de dato personal proporcionada por el art 4 del RGPD, y como tal, cualquier tratamiento que se realice de imágenes de personas identificadas o identificables ha de cumplir con los requisitos, obligaciones y principios del RGPD y su tratamiento deberá estar legitimado por una de las bases de legitimación del art 6 del RGPD.

    Respecto a la LO 1/1982, hay que tener en cuenta que el art 7 de esta Ley considera una intromisión ilegítima en la intimidad de las personas “la captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos”, salvo en los siguientes casos:

    • Que se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
    • La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
    • La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

    Por lo que, conforme a esta Ley, para poder captar, reproducir o publicar la fotografía de una persona es necesario que dicho uso esté expresamente autorizado por ley, o que el titular de los derechos hubiera consentido expresamente. (art 2.2 Ley 1/1982).

    En conclusión, para utilizar una fotografía en redes sociales, hay que ostentar los derechos de propiedad intelectual, y si aparecen personas físicas identificadas o identificables obtener la cesión de su imagen y cumplir con las obligaciones en materia de protección de datos.

     

    El Equipo Govertis

    Logotipo de Govertis

    KEEP READING

    II Insight del Club DPD: Un Encuentro Exclusivo sobre LOPDGDD y RGPD

    28 marzo, 2019 |by Beatriz Martin | 0 Comments | DPD DPO | , , , , , , , , ,

    El Club DPD de la Asociación Española para la Calidad tiene previsto un total de siete encuentros a lo largo del 2019, y ayer se llevó a cabo el segundo de ellos. El Club DPD, que ya cuenta con 200 miembros, se dio cita para tratar algunas de las temáticas de máxima actualidad en lo que a Protección de Datos se refiere. Algunos de los miembros del Club asistieron en persona a este encuentro y al taller práctico posterior, mientras que el resto de miembros pudo seguir el evento vía streaming. Además, aquellas personas interesadas en las temáticas tratadas pero que no pertenecen al Club DPD, tuvieron la ocasión de seguir vía streaming las dos primeras ponencias.

    La Libertad de Expresión y el Testamento Digital

    La primera ponencia de la jornada estuvo en manos de Ofelia Tejerina, abogada, Master en Derecho Informático y Doctora en Derecho Constitucional. Además, fue la ganadora del premio Confilegal 2018 en la categoría LegalTech. Ofelia Tejerina abordó el título X de la LOPD-GDD y la libertad de expresión en relación a otros derechos.

    Durante su ponencia analizó el artículo 96 de la nueva ley: derecho al testamento digital. También trató aspectos relacionados de gran interés como la desinformación, la libertad de expresión y la libertad de información. Pero Ofelia tejerina puso especial atención en el derecho de  rectificación, e hizo varios apuntes de gran relevancia, como el hecho de que «la veracidad no es la verdad absoluta». No te pierdas la ponencia completa:

    El Encargado de Tratamiento: deber de Diligencia 

    Leandro Núñez, abogado y socio de Audens fue el encargado de impartir una interesante ponencia, centrada en la elección y supervisión de los encargados del tratamiento. Leandro Núñez habló de la responsabilidad proactiva y la responsabilidad in vigilando, pero lo que conquistó realmente a la audiencia fue su aportación personal sobre lo que debemos buscar a la hora de elegir un tratamiento, una información muy útil para los asistentes al encuentro. Además, a los largo de su ponencia Leandro Núñez habló  sobre la labor del DPD. No te pierdas la ponencia completa:

    A partir de esta ponencia se elaboró la infografía ¿Cómo elegir un Encargado del Tratamiento? Una guía con 7 claves para ayudarnos en la decisión.

    Análisis de Riesgos y Evaluaciones de Impacto

    Aunque cualquiera que estuviera interesado en las temáticas tratadas pudo disfrutar de las ponencias de Ofelia Tejerina y Leandro Núñez, solo los miembros del Club DPD pudieron asistir además al taller práctico impartido por Javier Cao, sobre el análisis de riesgos y las evaluaciones de impacto.  Javier Cao llevó a cabo una ponencia de lo más completa en la que evaluó los diferentes aspectos a tener en cuenta en un análisis de riesgos. Además, compartió con su audiencia la fuente de los materiales que utiliza para este tipo de análisis, así como para las evaluaciones de impacto.

    Análisis de riesgos

    ¿Quién ha hecho posible este encuentro?

    Este Insight Exclusivo, así como el resto de encuentros, es una iniciativa del Club DPD de la Asociación Española de la Calidad. Este Club está gestionado por Alberto González, quien organiza los espacios y los pone a disposición de los interesados. Además, para la moderación del encuentro contamos con Eduard Chaveli, CEO de Govertis. Los miembros del Club DPD pueden asistir a estos encuentros, pero para ellos la experiencia no termina una vez que finalizan, porque el Club también pone a su disposición el Club DPD Privado, a través de la red social Linkedin, en el  que sus miembros pueden plantear dudas e intervenir en los temas de debate.

    ¿Te gustaría disfrutar de todas las oportunidades que el Club DPD pone a disposición del público? ¡Apúntate al Club DPD! y mantente a la vanguardia en lo referente a Protección de Datos.

    KEEP READING

    Censo electoral y protección de datos

    22 febrero, 2019 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , , ,

    Este 2019 nos trae uno de los años con más citas electorales de nuestra democracia. A las ya previstas elecciones europeas, locales y autonómicas, se suman ahora las elecciones generales y, quién sabe si a lo largo de este 2019 no se disuelva algún parlamento autonómico entre los que no se renuevan el próximo 26 de mayo. Trataremos en esta entrada la regulación del censo electoral en relación con la protección de datos.

    El artículo 41.5 de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral Generales (LOREG) establece que los representantes de cada candidatura podrán obtener dentro de los dos días siguientes a la proclamación de su candidatura una copia del censo del distrito correspondiente, ordenado por mesas, en soporte apto para su tratamiento informático, que podrá ser utilizado exclusivamente para los fines previstos en la presente Ley. Alternativamente los representantes generales podrán obtener en las mismas condiciones una copia del censo vigente de los distritos donde su partido, federación o coalición presente candidaturas. Asimismo, las Juntas Electorales de Zona dispondrán de una copia del censo electoral utilizable, correspondiente a su ámbito”.

    Sobre este precepto y su compatibilidad con la normativa en materia de protección de datos se pronunció la Agencia Española de Protección de Datos en su Informe 0244/2014. En el mismo, se afirma que la cesión a las candidaturas proclamadas de los datos del censo electoral se encuentra amparada por lo dispuesto en el artículo 11.2 a) de la Ley Orgánica 15/1999. Hoy deberíamos hablar de que esta cesión de datos se encuentra amparada en el artículo 6.1.c) RGPD. Como bien señala la LOREG, podrán usarse estos datos “exclusivamente para los fines previstos en la presente Ley”.

    El informe de la Agencia prescribe igualmente que el producto resultante de la cesión tendrá la consideración de fichero de datos de carácter personal, por lo que cada candidatura o partido político debería tener un fichero inscrito en la Agencia Española de Protección de Datos. Esta obligación, con la entrada en vigor del RGPD se transforma en la obligación del responsable del tratamiento (candidatura o partido político) de incluir en su registro de actividades de tratamiento este tratamiento de datos efectuado, con los requisitos establecidos en el artículo 30 RGPD.

    En cuanto a la conservación de los datos, la AEPD aclara que la vinculación a la finalidad establecida por el artículo 41.5 de la LOREG implica que una vez celebradas las elecciones debería procederse a la supresión de los datos recibidos, que no podrían ser utilizados más que durante la campaña, de forma que al concluir esta y celebrarse las elecciones se encontraría vedada cualquier posterior utilización de la información y ampara esta afirmación en el artículo 4.5. LO 15/1999. Actualmente el principio de minimización de los datos recogido en el artículo 5.1.c) RGPD establece que los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, por lo que la conclusión de la AEPD se mantiene intacta al respecto.

    Sin embargo, existe un cambio sustancial en lo establecido por la Agencia. Si en 2014, la AEPD entendía que excepcionalmente no cabía que el interesado manifestase su negativa al tratamiento, procediéndose en todo caso a la cancelación de los datos al término de la campaña electoral, la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales cambia este paradigma con la inclusión de la Disposición final tercera. Uno, que modifica el apartado 3 del artículo 39 LOREG, y que otorga el derecho de oposición a los electores sobre su inclusión en las copias del censo electoral que se faciliten a los representantes de las candidaturas para realizar envíos postales de propaganda electoral.

    Sobre la aplicación de esta modificación legal se pronunció el pasado 23 de enero la Junta Electoral Central mediante Acuerdo 2/2019, en el que indicó:

    “1º) Con objeto de facilitar la tramitación de las solicitudes de los electores que se opongan a su inclusión en las copias del censo electoral que la Oficina del Censo Electoral debe entregar a los representantes de las candidaturas para realizar envíos de propaganda electoral, dichas solicitudes podrán plantearse con anterioridad a la convocatoria de un proceso electoral, en Ayuntamientos, Consulados y Delegaciones Provinciales del Censo Electoral. Asimismo, podrán realizarse en la sede electrónica del Instituto Nacional de Estadística, una vez que la Oficina del Censo Electoral haya habilitado dicho trámite.

    2º) La referidas solicitudes de exclusión tendrán efecto permanente hasta que el elector se manifieste en sentido contrario. 

    3º) La Oficina del Censo Electoral comunicará a los electores la exclusión solicitada. 

    4º) Esta exclusión deberá resultar compatible con que los representantes de las candidaturas puedan disponer de la lista completa de electores a efectos de votación y escrutinio, con los datos imprescindibles para la identificación del elector”. 

    Podemos concluir por tanto, que este derecho de oposición será permanente y hasta que el elector cambie de idea y así lo comunique. Se dará al elector la posibilidad de presentarlo en diferentes lugares y, además, se prevé la posibilidad de efectuar este trámite online. Finalmente, este derecho de oposición no implica que partidos políticos y candidaturas no obtengan los datos de los electores que han ejercido este derecho, pues igualmente tendrán los datos de éstos limitando su finalidad a efectos de votación y escrutinio.

    Equipo de Govertis. 

    Logotipo de Govertis

    KEEP READING

    Corresponsabilidad en Protección de Datos Personales

    13 julio, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , ,

    El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD) regula, por primera vez, un supuesto de hecho que ha necesitado respuesta legislativa. Así, es el caso de los tratamientos de datos de carácter personal realizados, de manera  conjunta, por dos o más entidades, como es el caso de los grupos empresariales. En la práctica, pueden disponer de una base de datos nutrida por las diferentes sociedades mercantiles del grupo, siendo todas éstas las que, sin distinción, deciden sobre el contenido, uso y finalidad del tratamiento de los datos.

    Arreglo a la legislación española, hemos entendido que cada una de estas empresas del grupo ostenta la condición de Responsable de Tratamiento, “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”. Sin embargo, no se establecía, a nivel legislativo, la responsabilidad que adquirían. Tan sólo se limitó a señalar que cada una, en condición de Responsable, debía notificar el fichero, tratado simultáneamente, ante la autoridad de control.

    Ahora, entendiéndose pertinente por parte del legislador europeo la atribución clara de responsabilidades, cuando estas empresas del grupo determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados CORRESPONSABLES. Y, en tal caso, deben determinar, de modo transparente y de mutuo acuerdo, sus responsabilidades respectivas en el cumplimiento de las obligaciones en protección de datos; en especial, el deber de información y las relativas a la atención de los derechos de los interesados, a cuyos efectos podrá fijarse a un punto de contacto en común.

    El grupo empresarial ha de reflejar, debidamente, en el acuerdo las funciones que asumen cada uno y dará a conocer a los interesados los aspectos esenciales del mismo. No obstante, los interesados, independientemente de los términos del acuerdo, podrán ejercer los derechos en protección de datos frente a, y en contra de, cada uno de los Responsables.

    Cabe añadir que, el Reglamento establece que si los responsables participan en el mismo tratamiento, cada responsable debe ser considerado responsable de la totalidad de los daños y perjuicios. No obstante, si se acumulan en la misma causa, de conformidad con el Derecho de los Estados miembros, la indemnización puede prorratearse en función de la responsabilidad de cada responsable por los daños y perjuicios causados por el tratamiento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los daños y perjuicios. Todo responsable que haya abonado la totalidad de la indemnización puede interponer recurso posteriormente contra otros responsables que hayan participado en el mismo tratamiento.

     

    Con esto, los términos en los que se articule el acuerdo por parte del grupo son absolutamente relevantes, a los efectos de delimitar las responsabilidades de cada uno y no verse así en un conflicto desagradable.

     

    El Equipo Govertis 

    Logotipo de Govertis

    KEEP READING

    Privacidad por defecto y desde el diseño en el Reglamento Europeo de Protección de Datos

    21 mayo, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , , , ,

    El nuevo Reglamento Europeo de Protección de Datos (en adelante RGPD), consagra en su artículo 5 los principios básicos a tener en cuenta para el tratamiento de los datos personales: transparencia y licitud, limitación de la finalidad, minimización de los datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.

    Este último supone una importante novedad, señalando que el responsable o encargado del tratamiento deberá garantizar el cumplimiento de la normativa, y además estar en condiciones de demostrarlo en cualquier momento: principio de “accountability” o rendición de cuentas.

    Esto supone además un cambio de enfoque a la hora de abordar el cumplimiento, ya que,

    con la anterior normativa, los sujetos obligados debían seguir una serie de rígidas pautas establecidas por la Administración. A partir de ahora, corresponde a los responsables identificar y calificar los riesgos que pueden existir en su organización derivados de los tratamientos que realizan, escoger las medidas adecuadas para mitigarlos, y acreditarlo todo fehacientemente.

     

    Por tanto, del análisis de riesgos que deberá realizar cada organización, se derivarán una serie de controles para tratar los mismos, y entre ellos destacan las medidas de privacidad desde el diseño y por defecto (“privacy design” y “privacy by default”), que deberán aplicarse con anterioridad al inicio del tratamiento y cuando se esté desarrollando.

     

    En cuanto al concepto “privacidad desde el diseño”, el mismo hace referencia a la necesidad de tener presentes las garantías del RGPD desde que se inicia un proceso, previendo adoptar medidas que garanticen que solo se traten los datos necesarios y por el tiempo imprescindible. A este respecto, el RGPD indica en su Considerando 78 que “al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos”.

     

    Por su parte, la “privacidad por defecto” está relacionado con lo que en la LOPD se denominaba como “principio de calidad de los datos”, o dicho con otras palabras, con el uso proporcionado de los datos personales a la finalidad por la que se recaban. Con las medidas de “privacy by default”, lo que se pretende es que las organizaciones, por defecto, solo traten los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esto es aplicable referido tanto a la cantidad de los datos recogidos, como al tipo de datos, los tratamientos que hacemos, el tiempo que los conservamos y el acceso que permitimos a los mismos. En el caso, por ejemplo, de una red social, las medidas de privacidad por defecto se cumplirían si se aplicara al usuario la configuración de privacidad más básica al registrarse.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

    KEEP READING

    Las causas de legitimación del tratamiento en el RGPD

    13 abril, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , , ,

    Con motivo de la entrada en vigor del nuevo Reglamento Europeo 2016/679 General de Protección de datos Personales (RGPD), se introducen diferentes novedades a abordar con respecto a las obligaciones ya establecidas por la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD). Entre dichas novedades debemos tomar en consideración cuál es la base legitimadora que nos habilita para realizar el tratamiento de los datos personales de nuestros clientes/usuarios.

    Ciñéndonos a lo establecido en el RGPD, podemos visualizar los aspectos esenciales exigidos para que el tratamiento de datos de carácter personal sea lícito; en el art. 6, centrándose el art. 7 del citado Reglamento en las condiciones para que dicho consentimiento sea válido y, por último, el art. 8 hace referencia a las condiciones necesarias para la validez del consentimiento del niño en relación a los servicios prestados a través de medios telemáticos.

    En primer lugar, haciendo hincapié en los requisitos exigidos para que el tratamiento sea lícito, el art. 6 establece lo siguiente:

    1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

    1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
    2. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
    3. c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
    4. d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
    5. e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
    6. f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

    Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”

    Respecto a las condiciones indicadas en dicho artículo, nos centraremos en el consentimiento del interesado e interés legítimo del responsable del tratamiento puesto que pueden ser más conflictivas o generar mayores controversias en cuanto a aplicación se refiere.

    Por otro lado, uno de los mayores cambios que introduce el RGPD con respecto a nuestra normativa de protección de datos es la no contemplación del consentimiento tácito, siendo por consiguiente la satisfacción del interés legítimo, un elemento clave para considerar la existencia de un tratamiento de datos sin consentimiento del interesado (considerandos 47 a 49).

    Otra de las apreciaciones que debemos traer a colación es, el tratamiento de datos de categoría especial entre los que se entienden: datos personales que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos, etc (Vid. Art. 9.1 RGPD).

    Como regla general se prohíbe dicho tratamiento salvo que exista un consentimiento explícito por parte del interesado o, concurran una serie de circunstancias:

    • Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social.
    • Protección de Intereses vitales del interesado
    • Tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical.
    • Tratamiento de datos manifiestamente públicos.
    • Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial.
    • Por razón de interés público en el ámbito de la salud pública.
    • Es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos.

    Por último, en lo concerniente al tratamiento de datos personales procedentes de niños o menores, se considerará válido dicho tratamiento si existe un consentimiento por parte del menor, cuando éste tenga mínimo 16 años y, los servicios recibidos hayan sido catalogados como “servicios procedentes de la sociedad de la información”. No obstante, lo anterior, se estable por el art. 8.1 que los Estados Miembros podrán establecer por ley una edad inferior que en todo caso no podrá sobrepasar el límite de los 13 años, el art. 7 del Proyecto de LOPD establece que “el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de trece años” en contraposición a lo establecido en el AR. 13 del RD 1720/2007 el cual determinaba la edad mínima de 14 años para poder recabar datos de menores con su consentimiento.

    En relación a todo lo anteriormente destacado, podemos concluir que el RGPD puntualiza con mayor precisión los requisitos exigibles para considerar que un tratamiento de datos de carácter personal es legítimo; motivo por el cual todo responsable de tratamiento deberá analizar si es posible continuar con el tratamiento de dichos datos o, si por el contrario es necesario informar y recabar el consentimiento para ajustarnos a las estipulaciones marcadas por el nuevo Reglamento.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

    KEEP READING

    ¿Cómo se concibe el consentimiento para tratar datos personales, según el Reglamento Europeo?

    23 marzo, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , , , ,

    En España, el consentimiento en la legislación en protección de datos de carácter personal se ha concebido como la premisa básica para legitimar un tratamiento o cesión de datos.

    Sin embargo, a partir de ahora, con el Reglamento General de Protección de Datos de la Unión Europea, el consentimiento se ha concebido como una causa o fundamento más para legitimar un tratamiento de datos personales y está estrechamente ligado al principio de finalidad, puesto que la norma pone énfasis en que el consentimiento esté asociado para los fines específicos del tratamiento. Esto es, se ha recoger de forma clara, sencilla y concisa las finalidades de los datos, para que el interesado pueda manifestar el consentimiento respecto de cada una de éstas.

    KEEP READING