Publicación de la nueva LOPD y GDD

14 diciembre, 2018 | GDPR Legal | , , ,

Tras su aprobación por el Pleno del Senado, el pasado jueves, 6 de diciembre, se publicó en el BOE la nueva la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD y GDD), norma que deroga a la anterior Ley Orgánica de Protección de Datos de 1999, y enlaza con el Reglamento General de Protección de Datos (RGPD). Puedes acceder a la norma aquí.

Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, en el que se incorporan diecisiete nuevos derechos, entre los que podríamos destacar el derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc.  en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el reconocimiento específico del derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos.

Además, La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. En el ámbito de internet se podrá optar, específicamente, por un sistema de información por capas, como venía haciéndose hasta ahora, pero eso sí, se permite que sólo se informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos ARSOPL.

En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD.

También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.

Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas.

Equipo de Govertis 

Logotipo de Govertis

KEEP READING

Novedades de la nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales

27 noviembre, 2018 | DPD DPO, GDPR Legal | , , , , , ,

Después de casi un año de trámite parlamentario, el Pleno del Senado aprobó el pasado miércoles día 21 de noviembre, por 221 votos a favor, 21 en contra y ninguna abstención, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que desarrolla en España algunos contenidos del Reglamento General de Protección de Datos, tal y como habilita esta norma al legislador nacional.

Hay diversos aspectos que ya se conocían en versiones anteriores y se han consolidado y otros que se han modificado. A continuación recogemos algunos de los  aspectos más destacables si bien próximamente podremos el zoom en la nueva regulación de materias concretas.

Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, no exento de controversia. Estos derechos podríamos destacar los siguientes:  El derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc.  en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el mal denominado “testamento digital”.

De otro lado, se introducen, respecto a la figura del Delegado de Protección de Datos (DPD), una lista de entidades que deberán designar obligatoriamente DPD: centros docentes que ofrezcan enseñanzas reguladas, en las universidades públicas y privadas, colegios profesionales, en las federaciones deportivas, cuando traten datos de menores de edad, o en los centros sanitarios, salvo en el caso de profesionales de la salud que ejerzan su actividad a título individual.

El DPD cobra especial protagonismo en los procedimientos de investigación y sanción. Así, las reclamaciones que los interesados deseen interponer ante la Agencia Española de Protección de Datos, podrán primero presentarse al DPD. En el supuesto que esto no ocurra, la Agencia Española de Protección de Datos podrá remitir la reclamación al DPD para que en el plazo de un mes pueda resolver la reclamación, por ello la LOPDyGDD apostando por la mediación.

De la misma manera, el hecho de designar un DPD cuando no fuera obligatorio, se incluye como un criterio para graduar las sanciones, además de otros como la afectación a los derechos de los menores o el sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.

También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.

En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD. A partid de ahora, el denunciante que desee poner de manifiesto unos hechos concretos por considerarlos contrarios a la normativa aplicable, podrá hacerlo sin que la expresión de su identidad sea condición para el tratamiento de su denuncia.

También se regulan otros tratamientos sectoriales como, entre otros, videovigilancia, sistemas de información crediticia, sistemas de exclusión publicitaria o monitorización de empleados.

Por último, destacaremos que la información por medios electrónicos puede realizarse en doble capa como venía haciéndose hasta ahora, pero eso sí, se permite que sólo de informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.

KEEP READING

Del registro de incidencias en la LOPD a las notificaciones de violaciones de seguridad en el RGPD

8 noviembre, 2018 | GDPR Legal | , , ,

En el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RDLOPD) se recogía la obligación de llevar un registro de incidencias interno, a diferencia de las obligaciones que introduce el RGPD, que además de disponer de un registro interno, establece la necesidad de analizar  si  la misma constituye un riesgo para los derechos y libertades de las personas físicas para en su caso, notificarla a la Autoridad de Control y/o a los interesados.

Lo que ocurre es que el contenido que debe incluir dicha notificación que debe hacerse a la Agencia Española de Protección de Datos, es muy similar a lo que incluía el contenido del registro de incidencias del RDLOPD. Esto, unido a que actualmente se debe documentar lo relacionado con las violaciones de seguridad, hace que en la práctica deba existir un registro de dichas incidencias/violaciones/brechas, a disposición de la autoridad de control.

A continuación resumimos  las diferencias del contenido  del registro de incidencias LOPD y el contenido de la notificación a la Agencia de las violaciones de seguridad del actual RGPD

1.- Descripción de la incidencia

El RDLOPD  mencionaba que se debe establecer un registro en el que se haga constar el tipo de incidencia y el momento en el que se ha producido y detectado. No entraba en detalle del contenido de la incidencia, pero se entendía que era una explicación de la misma.

Con el RGPD se debe describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

2.- Datos de personas que participan en el registro

Con la LOPD se tenía que registrar la persona que realizaba la notificación y la persona a la que se le comunicaba dentro de la Organización (normalmente era el Responsable de Seguridad).

Con el RGPD se debe comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

3.- Consecuencias derivadas

Con la LOPD se debían registrar los efectos derivados de la incidencia.

Con el RGPD, en términos distintos pero el mismo trasfondo, deben comunicarse las “posibles consecuencias de la violación de seguridad”.

4.- Actuaciones posteriores

Con la LOPD se debían registrar las medidas correctoras y para datos de nivel medio, se debían indicar también, en su caso, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación

Con el RGPD se debe informar a la Agencia de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

De todo lo mencionado, se deduce que en el contenido del antiguo registro de incidencias y el contenido que debe incluirse en la notificación a la Agencia actualmente, hay diferencias terminológicas y muy puntuales, pero en la práctica se sigue registrando lo mismo.

Por otro lado, hay que destacar que el registro de incidencias de la LOPD, era un registro interno (a disposición de la autoridad de control, pero interno), las notificaciones de violaciones de seguridad implican “una salida” de esa información; de la organización a la Autoridad de Control o a los interesados, según el caso.

Un tercer punto diferenciador es que en la LOPD el registro de incidencias (como el resto de obligaciones) recaía sobre los Responsables de Ficheros.

Con el RGPD, la obligación de notificación de violaciones de seguridad afecta, tanto a Responsables como a Encargados.

Finalmente, la LOPD no establecía un plazo para el registro de incidencias, mientras que para la notificación de la existencia de una violación de seguridad a la autoridad de control se establece actualmente un plazo de 72 horas (con sus excepciones) desde que se tuvo constancia de la violación de seguridad.

 

KEEP READING

Medidas de protección de datos en las Administraciones Públicas: Convergencia con Esquema Nacional de Seguridad

23 febrero, 2018 | GDPR Legal | , , ,

El nuevo Reglamento Europeo de Protección de Datos (RGPD) recoge el Principio de Transparencia como un deber para la satisfacción de los derechos del interesado (Considerando 58 y artículo 12 RGPD), y el derecho a la información del interesado (Considerandos 60 a 62 y artículos 13 y 14 RGPD) con unas obligaciones concretas relacionadas con el deber de informar.

KEEP READING

Los 10 puntos clave del RGPD

12 enero, 2018 | GDPR Legal | , , , , ,

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) entrará en aplicación el próximo 25 de mayo de 2018. Estos son algunos de sus puntos clave.

KEEP READING

Quién debe ser DPD (DPO)

10 enero, 2018 | DPD DPO | , , , ,

Las empresas privadas y las administraciones públicas se preguntan a quién deben designar como Delegado de Protección de Datos/Data Protection Officer (DPD – DPO). En estas líneas intentaremos dar algunas pistas para su designación.

KEEP READING

Los principios generales de la protección de datos ¿fundamentos y/o deberes?

8 enero, 2018 | DPD DPO | , , , , , ,

Los principios generales de la protección de datos de carácter personal, no sólo son meros fundamentos por los que se ha de regir la elaboración, interpretación y aplicación de la normativa sobre protección de datos, sino que se trata de un conjunto de reglas que determinan cómo recoger, tratar y ceder los datos.

KEEP READING