II Insight del Club DPD: Un Encuentro Exclusivo sobre LOPDGDD y RGPD

28 marzo, 2019 | DPD DPO | , , , , , , , , ,

El Club DPD de la Asociación Española para la Calidad tiene previsto un total de siete encuentros a lo largo del 2019, y ayer se llevó a cabo el segundo de ellos. El Club DPD, que ya cuenta con 200 miembros, se dio cita para tratar algunas de las temáticas de máxima actualidad en lo que a Protección de Datos se refiere. Algunos de los miembros del Club asistieron en persona a este encuentro y al taller práctico posterior, mientras que el resto de miembros pudo seguir el evento vía streaming. Además, aquellas personas interesadas en las temáticas tratadas pero que no pertenecen al Club DPD, tuvieron la ocasión de seguir vía streaming las dos primeras ponencias.

La Libertad de Expresión y el Testamento Digital

La primera ponencia de la jornada estuvo en manos de Ofelia Tejerina, abogada, Master en Derecho Informático y Doctora en Derecho Constitucional. Además, fue la ganadora del premio Confilegal 2018 en la categoría LegalTech. Ofelia Tejerina abordó el título X de la LOPD-GDD y la libertad de expresión en relación a otros derechos.

Durante su ponencia analizó el artículo 96 de la nueva ley: derecho al testamento digital. También trató aspectos relacionados de gran interés como la desinformación, la libertad de expresión y la libertad de información. Pero Ofelia tejerina puso especial atención en el derecho de  rectificación, e hizo varios apuntes de gran relevancia, como el hecho de que “la veracidad no es la verdad absoluta”. No te pierdas la ponencia completa:

El Encargado de Tratamiento: deber de Diligencia 

Leandro Núñez, abogado y socio de Audens fue el encargado de impartir una interesante ponencia, centrada en la elección y supervisión de los encargados del tratamiento. Leandro Núñez habló de la responsabilidad proactiva y la responsabilidad in vigilando, pero lo que conquistó realmente a la audiencia fue su aportación personal sobre lo que debemos buscar a la hora de elegir un tratamiento, una información muy útil para los asistentes al encuentro. Además, a los largo de su ponencia Leandro Núñez habló  sobre la labor del DPD. No te pierdas la ponencia completa:

A partir de esta ponencia se elaboró la infografía ¿Cómo elegir un Encargado del Tratamiento? Una guía con 7 claves para ayudarnos en la decisión.

Análisis de Riesgos y Evaluaciones de Impacto

Aunque cualquiera que estuviera interesado en las temáticas tratadas pudo disfrutar de las ponencias de Ofelia Tejerina y Leandro Núñez, solo los miembros del Club DPD pudieron asistir además al taller práctico impartido por Javier Cao, sobre el análisis de riesgos y las evaluaciones de impacto.  Javier Cao llevó a cabo una ponencia de lo más completa en la que evaluó los diferentes aspectos a tener en cuenta en un análisis de riesgos. Además, compartió con su audiencia la fuente de los materiales que utiliza para este tipo de análisis, así como para las evaluaciones de impacto.

Análisis de riesgos

¿Quién ha hecho posible este encuentro?

Este Insight Exclusivo, así como el resto de encuentros, es una iniciativa del Club DPD de la Asociación Española de la Calidad. Este Club está gestionado por Alberto González, quien organiza los espacios y los pone a disposición de los interesados. Además, para la moderación del encuentro contamos con Eduard Chaveli, CEO de Govertis. Los miembros del Club DPD pueden asistir a estos encuentros, pero para ellos la experiencia no termina una vez que finalizan, porque el Club también pone a su disposición el Club DPD Privado, a través de la red social Linkedin, en el  que sus miembros pueden plantear dudas e intervenir en los temas de debate.

¿Te gustaría disfrutar de todas las oportunidades que el Club DPD pone a disposición del público? ¡Apúntate al Club DPD! y mantente a la vanguardia en lo referente a Protección de Datos.

KEEP READING

El Régimen Sancionador de Derechos Digitales: Primer encuentro del Club DPD

28 febrero, 2019 | DPD DPO | , , ,

Ayer inauguramos el Club DPD de la Asociación Española para la Calidad por todo lo alto. Para tan importante ocasión contamos con diversos ponentes de primer nivel en el ámbito de la Protección de Datos.

Aunque solo algunos miembros del Club DPD tuvieron ocasión de asistir personalmente, todos pudieron presenciar las ponencias vía streaming, y a los no miembros interesados en la materia, se les invitó a disfrutar del mismo modo de las dos primeras ponencias de la jornada.

¿El motivo de celebrar este insight exclusivo? La entrada en vigor el pasado 7 de diciembre de 2018 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

¿Cómo transcurrió la jornada?

El encuentro comenzó con la bienvenida de Alberto González, gestor del Club DPD, quien además de informar a los asistentes sobre lo que estaban a punto de presenciar, habló sobre el Club DPD y dio algunos datos muy positivos, entre los que cabe destacar que ya somos más de 180 miembros. Durante todo el evento contamos con Eduard Chaveli como moderador, uno de los máximos referentes en Seguridad y Protección de Datos, y Socio y CEO en GOVERTIS. Además, los asistentes, tanto presenciales como en streaming, pudieron plantear sus preguntas y debatir de los aspectos de interés con los ponentes.

Alberto González

¿Qué expertos en Derechos Digitales nos acompañaron?

Comenzó rompiendo el hielo Cristina Martínez Garay, abogada especialista en Derecho de las Tecnologías de la Información en ECIJA Law & Technology y profesora en diferentes masters. Cristina analizó las novedades que introduce la nueva Ley en materia de Régimen Sancionador. Lo hizo abordando aspectos de gran relevancia, destacando los motivos por los cuales es importante conocer el Régimen Sancionador, y haciendo hincapié en un aspecto de gran interés general: las infracciones y sanciones. Puedes ver el vídeo completo de la ponencia:

A continuación, Felix Haro, Associate – Legal & Privacy Advisor en GOVERTIS y profesor de diferentes masters, analizó el título X de la LOPDGDD que hace referencia a la Garantía de Derechos Digitales, prestando especial atención al Derecho a la Desconexión Digital en el ámbito laboral. Puedes ver el vídeo de la ponencia:

Tras una pausa para el café y recuperar fuerzas, los miembros del Club DPD pudieron continuar disfrutando de la segunda parte de este insight. Este segundo bloque contó con la participación de Verónica Gutiérrez,  Associate – Legal & Privacy Advisor en GOVERTIS y certificada como DPD de por el AEC-CERPER. Verónica llevó a cabo un taller práctico sobre cómo se debe elaborar una política de Desconexión Digital, con la cual deben contar todas las organizaciones y empresas en aplicación de la nueva normativa.

Para finalizar, contamos con la aportación de Tatiana Espinosa de los Monteros Rosillo, Directora Global de Relaciones Laborales de Telefónica, quien expuso el interesante proyecto de Telefónica “Desconecta para Reconectar”.

Sin duda se trató de un encuentro único dedicado a los Derechos Digitales. Pero para los miembros del club la experiencia no finaliza aquí, a través del Club DPD Privado en la red social Linkedin pueden continuar debatiendo con los ponentes y otros expertos de la materia, plantear sus dudas e inquietudes. Además, recibirán el vídeo completo de la jornada para poder visionarlo cuando gusten, y una infografía del taller práctico que se realizó sobre la política de Desconexión Digital.

¿Te gustaría poder debatir con los expertos y recibir todo el material exclusivo? ¡No lo pienses más! Si todavía no eres miembro, apúntate al Club DPD y disfruta de todo lo que tiene que ofrecerte.

Equipo de Govertis. 

Logotipo de Govertis

KEEP READING

El DPD y el Responsable de Seguridad de la información del ENS ¿figuras compatibles?

5 diciembre, 2018 | GDPR Legal | , , , ,

En artículos anteriores hemos hablado sobre las concretas  funciones que debe desempeñar un  Delegado de Protección de Datos. Sin embargo hoy haremos referencia  a las diferencias e incompatibilidades entre la figura del DPD y el Responsable de Seguridad (RS) en relación al informe recientemente publicado por la Agencia Española de Protección de Datos al respecto,  disponible a través del siguiente enlace:

 

 ¿Cuáles son las principales diferencias entre ambas figuras?

  1. Principio de Independencia de la figura del DPD. Así lo establece en su artículo 38.3 RGPD que determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones.

Sin embargo, el responsable de seguridad, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza de esta independencia.

  1. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.

El RS sin embargo, debe velar por garantizar la seguridad de la información de la  organización.

  1. Otra diferencia reseñable es en el ámbito de actuación de ambas figuras por cuanto respecta a la realización de los análisis de riesgos: mientras que el DPD se centrará en el análisis de riesgos sobre los derechos y libertades de las personas, el  RS realizará un análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.
  2. El DPD supervisará la labor que realiza el responsable de seguridad en sus tres vertientes: información, servicio y seguridad, porque el ENS focaliza y limita las funciones de estos responsables de seguridad, mientras que el RGPD amplía las funciones del DPD.

En este sentido,  unificar la figura del DPD con la del RS generaría un conflicto de intereses al vulnerar el principio de independencia asignado al DPD, y en definitiva no es recomendable que  el DPD sea “juez y parte” en el ámbito interno de una organización.

Respecto a los conflictos de intereses el Grupo de Trabajo sobre Protección de Datos del Artículo 29, revisadas por última vez y adoptadas el 5 de abril de 2017 señala para el DPD:  3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”.

No obstante, y dicho lo anterior, cabría la posibilidad de centralizar ambas figuras  en una sola persona siempre y cuando contara con la formación adecuada para el desempeño de ambas, debiendo separarse claramente las funciones que desempeña como DPD, y evitando cualquier conflicto de intereses.

Para terminar, indicar que en grandes organizaciones lo más recomendable es constituir un Comité de Seguridad que integre ambas figuras independientes. Así lo manifiesta también la norma ISO/IEC 29151:2017 Information technology – Security techniques – Code of practice for personally identifiable information protection.

Equipo de Govertis 

Logotipo de Govertis

 

KEEP READING

Primer encuentro exclusivo de Delegados de Protección de Datos de la AEC

16 noviembre, 2018 | DPD DPO | , , , ,

Una de las medidas más novedosas que ha traído consigo el Reglamento General de Protección de Datos (RGPD) es la exigencia de la figura del Delegado de Protección de Datos (DPD), en determinados supuestos, para garantizar el cumplimiento del RGPD. Tras la consolidación de esta figura emergente, la Asociación Española para la Calidad (AEC) ha asumido la responsabilidad de ayudar a estos profesionales, y sus empresas y organizaciones, a gestionar los cambios a los que deben hacer frente, y para llevar a cabo esta tarea ha creado “El Club de Delegados de Protección de Datos”, del que Govertis es partner estratégico.

Esta iniciativa ya fue anunciada en primicia por Marta Villanueva, Directora General de la AEC,  en el Insight exclusivo DPD sobre RGPD que organizó la entidad el pasado 2 de octubre, moderado por Eduard Chaveli (Socio y CEO en Govertis), en el que se presentó el “Club DPD” como un espacio referente de conocimiento, pertenencia y relación para los profesionales, y en el que ya se comenzaron a intercambiar experiencias de DPD´s de marcas referentes allí presentes.

Tras aquella presentación inicial, ha llegado el momento de dar comienzo a esta iniciativa con un primer encuentro el próximo 28 de noviembre, en el Auditorio Caja de Música del Palacio de Cibeles (Madrid), en el que se reunirán profesionales destacados del ámbito de la privacidad con el objetivo de compartir su conocimiento, experiencias e inquietudes en torno a la figura del DPD

Este primer encuentro comenzará con una presentación de la mano de Marta Villanueva, que inaugurará el Club e informará sobre el Plan de actividades del mismo para el año 2019. Tras la presentación, se abordarán las novedades más importantes introducidas en la Nueva LOPD de la mano de Javier Sempere Samaniego, Letrado del Consejo General del Poder Judicial (CGPJ) y Jefe de Área en el Centro de Documentación Judicial (CENDOJ). A continuación, tendrá lugar la Mesa Redonda, en la que una selección de DPD´s de referencia de diferentes sectores compartirán sus experiencias:  José Antonio Muñoz (Telefónica), María Luisa Muñoz Martínez (ONCE), Alejandro Artetxe (Hospitalarias Provincia de España), y Lluís Sanz i Marco (Ayuntamiento de Barcelona), y que será moderada por Eduard Chaveli, Socio y CEO en Govertis. Para finalizar, Javier Villegas, Lead Advisor Privacidad Sector Salud en Govertis, nos trasladará el punto de vista más operativo y el valor más cotidiano, a través de experiencias prácticas y la documentación más actualizada para el trabajo diario del DPD. Para más información, puedes encontrar la agenda detallada del encuentro en el siguiente enlace.

Si quieres sumarte a este primer encuentro, tan solo debes formalizar la inscripción en el siguiente enlace. ¡No te lo puedes perder!

KEEP READING

El Delegado de Protección de Datos y sus funciones

1 junio, 2018 | DPD DPO | , , , ,

El Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO), es una figura que introduce como obligatoria el Reglamento General de Protección de Datos (RGPD) para supervisar internamente, en cada entidad, el cumplimiento de las obligaciones que impone el RGPD.

El DPD, puede ser un empleado interno de la empresa o puede ser externo, pero debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. El DPD debe participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

En cuanto a las funciones del DPD / DPO, el artículo 39 del RGPD indica que tendrá como mínimo las siguientes:

  1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  4. Cooperar con la autoridad de control;
  5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

El DPD/DPO, podrá asumir otras funciones dentro de la empresa siempre que tengan relación con los tratamientos de datos personales y que no creen un conflicto de intereses entre sus funciones como DPD y las funciones o intereses de otros departamentos.

Para el correcto desempeño de sus funciones, el DPD tiene que prestar atención a los riesgos asociados a las operaciones de tratamiento. El DPD tendrá que tener en cuenta la naturaleza, el contexto, el alcance y las finalidades del tratamiento que se quiera realizar.

En Julio de 2017 la Agencia Española de Protección de Datos presentó su esquema de certificación de delegados de protección de datos. Estas certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD.

El esquema de certificación establece los requisitos de competencia para la persona que pretenda obtener la acreditación como DPD. Para poder acceder a la fase de evaluación, se requiere una experiencia o formación relevante en materia de protección de datos de carácter personal.
La prueba de evaluación permitirá constatar que se tienen los conocimientos teóricos y prácticos, las habilidades personales y la capacidad profesional necesarios. El esquema de certificación exige la sujeción a un código ético que incluye los principios de Legalidad e integridad, profesionalidad, responsabilidad en el desarrollo de la actividad profesional, imparcialidad, transparencia y confidencialidad.

El Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, contempla la figura del Delegado de Protección de Datos en sus artículos 34 a 37.
Destacando en la redacción actual la posición que ocupa el DPD como interlocutor del responsable ante la Agencia Española de Protección de Datos y la relevancia que le otorga la ley al DPD en la organización interna de la empresa conforme a la redacción del artículo 36.2 del Proyecto de Ley.

El equipo de profesionales de Govertis

Logotipo de Govertis

 

 

KEEP READING

El nuevo derecho a la portabilidad de los datos

25 mayo, 2018 | GDPR Legal | , , ,

El legislador europeo, en su voluntad de reforzar el control del interesado sobre sus propios datos, ha incluido en el artículo 20 RGPD, el nuevo derecho a la portabilidad de los datos como una forma avanzada del derecho de acceso. Este derecho a la portabilidad se materializa en la transmisión, al propio interesado o a otro responsable, de sus datos en un formato estructurado, de uso común, de lectura mecánica e interoperable.

Para ejercitar este derecho que incorpora el nuevo Reglamento, deberán darse acumulativamente estos dos requisitos: (1) que sea un tratamiento basado en el consentimiento del interesado o de la ejecución de un contrato del que el interesado es parte y (2) que se efectúe por medios automatizados. Este derecho podría materializarse en la obtención de una lista de reproducción; de los capítulos visionados en una plataforma de reproducción online; el listado de contactos de una aplicación de chat para confeccionar una lista de invitados a una fiesta o el listado de los libros adquiridos en el último año.

No obstante, no puede entenderse de manera absoluta, no aplicándose el mismo si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; y, no podrá afectar negativamente a los derechos y libertades de otros, incluidos los secretos comerciales, la propiedad intelectual y, en particular, a los derechos de autor que protegen los programas informáticos.

Sin embargo, la portabilidad implica también una serie de retos para los responsables del tratamiento entre los que, teniendo en cuenta las directrices del Grupo de Trabajo del Artículo 29, Grupo de Trabajo creado de conformidad con el artículo 29 de la Directiva 95/46/CE, órgano consultivo independiente de la UE en materia de protección de datos y privacidad, destacan los siguientes:

  • Interoperabilidad de los sistemas. El RGPD no exige que los sistemas sean compatibles, pero sí deben resultar interoperables. Al respecto, el GT29 recomienda que las partes interesadas del sector y que las asociaciones comerciales trabajen conjuntamente sobre unas normas y formatos interoperables que permitan portar los datos de un responsable a otro. Una solución aceptable hasta la interoperabilidad de los sistemas sería ofrecer los datos en formato Excel, que nos permita trabajar con los datos; sin embargo, nunca sería aceptable proporcionar los mismos en formato PDF.

 

  • Responsabilidad del tratamiento. Corresponde al «responsable del tratamiento receptor» garantizar que los datos proporcionados que se pueden portar sean pertinentes y no excesivos -principio de minimización de los datos- en relación con el nuevo tratamiento de datos. Así, si la información portada no es relevante en relación con el propósito del nuevo tratamiento, no deberá guardarse ni procesarse. Por ejemplo, si portamos una lista de contactos de una plataforma webmail para enviar una invitación por correo electrónico a una fiesta, deberán omitirse otros datos como el teléfono o la dirección postal.

 

  • Los datos personales que deben portarse no son sólo los directa y conscientemente proporcionados por el interesado, sino que incluye los datos personales que se generan y se recaban a partir de las actividades de los usuarios, por ejemplo, las canciones más escuchadas por un usuario en una plataforma online. De este modo, deben excluirse únicamente los «datos inferidos» y los «datos deducidos», que abarcan los datos personales que genera un proveedor de servicios (por ejemplo, resultados algorítmicos).

 

  • El derecho a la portabilidad de los datos no puede afectar negativamente a los derechos y libertades de terceros (que no han dado su consentimiento). De este modo, los responsables deberán implantar herramientas que permitan a los interesados seleccionar los datos relevantes y excluir (donde proceda) otros datos suyos; así como mecanismos de autorización para otros interesados involucrados a fin de facilitar la transmisión de datos en aquellos casos en los que las partes estén dispuestas a dar su consentimiento.

La complejidad de estos requisitos unido al fomento de la libre competencia que supone el mismo, nos hace sospechar que la aplicación de este derecho tardará aún algún tiempo en ser plenamente efectiva. Es tarea de los responsables y encargados de tratamiento adaptar sus sistemas para poder aplicar este derecho.

KEEP READING

Ya tenemos la autorización provisional para certificar Delegados de Protección de Datos

15 marzo, 2018 | DPD DPO | , , , , ,

La AEC ha obtenido la autorización provisional para certificar a Delegados de Protección de Datos (DPD), según el esquema de certificación elaborado por la Agencia Española de Protección de Datos, en colaboración con la Entidad Nacional de Acreditación (ENAC).

KEEP READING

Las Claves del Delegado de Protección de Datos DPD – DPO

21 noviembre, 2017 | DPD DPO | ,

Tenemos el placer de compartir con vosotros, la ponencia masterclass de Eduard Chaveli, CEO en Govertis y partner referente en materia de Privacidad, impartida en el encuentro Insight AEC “Las claves de la nueva figura del Delegado de Protección de Datos DPD/DPO”, que celebramos el pasado 16 de noviembre.

KEEP READING