Camino al “GDPR Readiness”: los cinco factores que impactan significativamente a las empresas

Desafíos para cumplir  con los requisitos de cumplimiento

Las labores para cumplir con ciertas normativas son, sin duda, tediosas y desalentadoras para algunas empresas. De hecho, el cumplimiento se ve como un objetivo en constante movimiento que puede volverse abrumador si las empresas lo permiten. A pesar de la necesidad de negocio y normativa, las empresas pueden verse inclinadas a evitar proyectos de cumplimiento, dada la compleja combinación de actividades, requisitos cambiantes y expectativas diversas. Por lo tanto, no es sorprendente que una parte importante de las organizaciones todavía estén luchando para cumplir con los requisitos de cumplimiento del RGPD y la reciente LOPD y GDD.

En este sentido, de acuerdo con el resultado de una encuesta realizada por  ISACA en 2018 a 600 profesionales legales, de tecnología de la información y privacidad en los Estados Unidos, el Reino Unido y algunos otros países de la UE, solo el 20 por ciento de estas organizaciones se consideraban compatibles con el RGPD. Aunque se espera que esta cifra mejore en 2019, la encuesta subraya la complejidad para comprender los requisitos de la nueva normativa y también para cumplirlos posteriormente.

Hay varios factores que pueden afectar al camino para cumplir con los requisitos del RGPD, y en particular los más significativos son:

La complejidad de la legislación: Comprender los requisitos y su impacto en el negocio requiere una combinación de competencias tecnológicas, de privacidad y legales que no siempre están disponibles dentro de la organización.  Es por ello que se requiere en muchos casos asesoramiento experto en la materia para encajar los requisitos de la normativa en la propia organización y entender el alcance pero principalmente se requiere un cambio de mentalidad que suponga tener conciencia de la importancia de la materia, así como de las consecuencias que pueden derivarse ante un incumplimiento en materia de protección de datos.

Escasez de recursos: las organizaciones tienen que invertir una gran cantidad de tiempo y de recursos humanos, técnicos, financieros y de infraestructura para implementar, ejecutar y mantener el cumplimiento en materia de protección de datos. Hace poco se publicaba el dato que las compañías de “Fortune Global 500” gastarán aproximadamente 7.8 mil millones de dólares (entre todas ellas) para cumplir con la nueva normativa RGPD. Si bien esta cifra para las organizaciones más pequeñas es menor, el coste para movilizar sus recursos y administrar las actividades para el cumplimiento (como ejemplo la revisión de contratos de terceros, el desarrollo de nuevos formularios de consentimiento, o la adquisición de nuevas herramientas de software), sigue siendo significativo.

Baja madurez previa en materia de privacidad: Antes del RGPD, la gran mayoría de entidades carecían de ciertas medidas que estuviesen ya implantadas en sus operaciones, procesos, políticas o procedimientos, y que ahora son requisitos obligatorios. De hecho, se vio que la mayoría de los proyectos de adecuación de muchas organizaciones aún estaban desarrollando sus avisos y políticas de privacidad, formularios de consentimiento y otros documentos requeridos días antes de la fecha límite del 25 de mayo de 2018. Y como resultado de dejar las cosas para ultima hora, tenemos el bajo nivel de adecuación en las medidas implantadas.

Concienciación y comprensión. Las organizaciones pueden haber leído y/o escuchado mucho sobre el RGPD, pero a menudo carecen de conocimientos clave y de un entendimiento al detalle de los requisitos necesarios para lograr su total adecuación. En esta tarea, las compañías deben desarrollar las responsabilidades de concienciación y capacitación de aquellos de los que depende el éxito de su cumplimiento.

Adjudicación de la responsabilidad. La adecuación al RGPD no sólo compete al departamento de IT y no solo consiste en una única o varias soluciones informáticas mágicas sino a la implantación de una serie de medidas técnicas, legales y organizativas que hacen necesario el uso de una metodología que no pierda de vista toda la complejidad del proyecto.

En definitiva, podemos decir que el RGPD  está transformando la forma en que operan las organizaciones y la forma en que se realizan las transacciones comerciales.

La legislación impacta el ecosistema organizacional al completo. A pesar del desafío, las organizaciones deben adoptar un programa de cumplimiento sólido que tenga en cuenta las personas, los procesos, los procedimientos, las políticas, los sistemas y los servicios que interactúan o se relacionan con el procesamiento de datos personales. Para la adecuación es necesario un programa de cumplimiento marcando los hitos de la ruta para alcanzar los objetivos requeridos de evaluar la preparación del RGPD e implementar medidas técnicas y organizativas adecuadas para garantizar el cumplimiento. Y de esta manera superar los obstáculos de cumplimiento y adecuarse a los requisitos de la normativa, con la plena comprensión de que es un viaje continuo y no un destino. Además, durante este proceso, las organizaciones experimentan una serie de beneficios al adoptar un programa de cumplimiento sólido, como mejorar la confianza del cliente, tener mayores oportunidades comerciales y una postura de privacidad saludable.

Equipo Govertis.

Los datos de contacto de profesionales en la LOPD y GDD

El pasado 5 diciembre de 2018, el Boletín Oficial del Estado publicó la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Aunque el Reglamento 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 fuese aplicable en todos los estados miembros desde el pasado 25 de mayo, esta nueva Ley Orgánica nos ha dado luz en multitud de asuntos que quedaron en interrogante tras la publicación del Reglamento. Uno de ellos, a tenor del artículo de hoy, es aquel relacionado con el tratamiento de los datos de carácter personal de profesionales por cualquier entidad y su regulación actual.

En primer lugar, cabe aclarar que este concepto no es ni mucho menos nuevo y ya fue regulado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que excluyó de su ámbito de aplicación los referidos a personas jurídicas y empresarios individuales. Esta exclusión, patente en los artículos 2.2 y 2.3, tenía su limitación precisamente en que tan solo se tratase de datos de profesionales como su nombre, apellidos, cargo, email corporativo o teléfono de empresa.

El RGPD trajo dudas

 El RGPD no trajo claridad respecto a este tema pues no excluye de manera expresa el tratamiento de datos de empresarios individuales o contactos profesionales relativos a personas jurídicas. Esto provocó que se entendiese que los datos mencionados deben considerarse datos personales siempre que hagan alusión a una persona identificada o identificable.

Esta incertidumbre que ha durado algo más de dos años, ha sido finalmente solventada por la entrada en vigor de la nueva LOPD y GDD que hace mención especial al tema que nos incumbe en su artículo 19, Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales. El tratamiento de datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica estarán habilitados bajo la base jurídica del artículo 6f) del RGPD, es decir, el interés legítimo del Responsable del tratamiento, siempre y cuando se cumplan los siguientes requisitos:

• Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
• Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

Por lo tanto, el legislador español ha seguido con el criterio ya existente en la LOPD de 1999 y, afortunadamente para el tejido empresarial español, este tratamiento de datos tan habitual en el día a día queda amparado por un interés legítimo de la entidad.

Protección de Datos en Operaciones Societarias

El Reglamento (UE) 2016/679 General de Protección de Datos (en adelante RGPD o GDPR) establece los requisitos, obligaciones y derechos relativos al tratamiento de datos de carácter personal.

Teniendo en cuenta que el RGPD define al “responsable del tratamiento” como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”.

En el contexto en que una sociedad mercantil sea el Responsable del tratamiento, se plantea la cuestión sobre la forma en que una modificación estructural (por ejemplo una fusión) que afecte al Responsable y cambie la situación de la persona jurídica influye en los derechos de los interesados.

Las sociedades pueden verse afectadas por diversas operaciones societarias de acuerdo con el Real Decreto Legislativo 1/2010 por el que se aprueba el texto refundido de la Ley de Sociedades de Capital y la Ley 3/2009 sobre modificaciones estructurales de las sociedades mercantiles. Entre estas operaciones se encuentran: (i) Transformación de la sociedad (ii)Fusión (iii)Absorción (iv)Escisión (v) Cesión global de activo y pasivo.

En todas ellas, se produce una modificación de la estructura del responsable del tratamiento por lo que cabe preguntarse ¿Qué ocurre con los datos de carácter personal cuando se lleva a cabo una de estas operaciones? ¿Hay una cesión/comunicación de datos entre la sociedad anterior y la resultante del proceso de modificación estructural?

El artículo 19 de Real Decreto 1720/2007 por el que se aprobó el Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, si preveía esta cuestión al indicar, que no se producía cesión de datos en estos casos, sin perjuicio de la obligación del responsable de cumplir con el deber de información

El mismo criterio se mantiene en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en cuyo art. 21 se recoge:

1. Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.

En conclusión, la sociedad resultante de la operación de modificación estructural que hubiera afectado al Responsable del tratamiento, puede continuar realizando el tratamiento que llevaba a cabo el Responsable, ocupando dicha posición.

Este nuevo responsable, debe cumplir con el deber de información de acuerdo con lo indicado en los artículos 13 y 14 del RGPD y con el resto de obligaciones que le sean de aplicación.

Equipo de Govertis

El DPD y el Responsable de Seguridad de la información del ENS ¿figuras compatibles?

En artículos anteriores hemos hablado sobre las concretas  funciones que debe desempeñar un  Delegado de Protección de Datos. Sin embargo hoy haremos referencia  a las diferencias e incompatibilidades entre la figura del DPD y el Responsable de Seguridad (RS) en relación al informe recientemente publicado por la Agencia Española de Protección de Datos al respecto,  disponible a través del siguiente enlace:

 ¿Cuáles son las principales diferencias entre ambas figuras?

38. Principio de Independencia de la figura del DPD. Así lo establece en su artículo 38.3 RGPD que determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones.

Sin embargo, el responsable de seguridad, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza de esta independencia.

1. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.

El RS sin embargo, debe velar por garantizar la seguridad de la información de la  organización.

1. Otra diferencia reseñable es en el ámbito de actuación de ambas figuras por cuanto respecta a la realización de los análisis de riesgos: mientras que el DPD se centrará en el análisis de riesgos sobre los derechos y libertades de las personas, el  RS realizará un análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.
2. El DPD supervisará la labor que realiza el responsable de seguridad en sus tres vertientes: información, servicio y seguridad, porque el ENS focaliza y limita las funciones de estos responsables de seguridad, mientras que el RGPD amplía las funciones del DPD.

En este sentido,  unificar la figura del DPD con la del RS generaría un conflicto de intereses al vulnerar el principio de independencia asignado al DPD, y en definitiva no es recomendable que  el DPD sea “juez y parte” en el ámbito interno de una organización.

Respecto a los conflictos de intereses el Grupo de Trabajo sobre Protección de Datos del Artículo 29, revisadas por última vez y adoptadas el 5 de abril de 2017 señala para el DPD:  3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”.

No obstante, y dicho lo anterior, cabría la posibilidad de centralizar ambas figuras  en una sola persona siempre y cuando contara con la formación adecuada para el desempeño de ambas, debiendo separarse claramente las funciones que desempeña como DPD, y evitando cualquier conflicto de intereses.

Para terminar, indicar que en grandes organizaciones lo más recomendable es constituir un Comité de Seguridad que integre ambas figuras independientes. Así lo manifiesta también la norma ISO/IEC 29151:2017 Information technology – Security techniques – Code of practice for personally identifiable information protection.

Equipo de Govertis 

Novedades de la nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales

Después de casi un año de trámite parlamentario, el Pleno del Senado aprobó el pasado miércoles día 21 de noviembre, por 221 votos a favor, 21 en contra y ninguna abstención, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que desarrolla en España algunos contenidos del Reglamento General de Protección de Datos, tal y como habilita esta norma al legislador nacional.

Hay diversos aspectos que ya se conocían en versiones anteriores y se han consolidado y otros que se han modificado. A continuación recogemos algunos de los  aspectos más destacables si bien próximamente podremos el zoom en la nueva regulación de materias concretas.

Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, no exento de controversia. Estos derechos podríamos destacar los siguientes:  El derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc.  en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el mal denominado “testamento digital”.

De otro lado, se introducen, respecto a la figura del Delegado de Protección de Datos (DPD), una lista de entidades que deberán designar obligatoriamente DPD: centros docentes que ofrezcan enseñanzas reguladas, en las universidades públicas y privadas, colegios profesionales, en las federaciones deportivas, cuando traten datos de menores de edad, o en los centros sanitarios, salvo en el caso de profesionales de la salud que ejerzan su actividad a título individual.

El DPD cobra especial protagonismo en los procedimientos de investigación y sanción. Así, las reclamaciones que los interesados deseen interponer ante la Agencia Española de Protección de Datos, podrán primero presentarse al DPD. En el supuesto que esto no ocurra, la Agencia Española de Protección de Datos podrá remitir la reclamación al DPD para que en el plazo de un mes pueda resolver la reclamación, por ello la LOPDyGDD apostando por la mediación.

De la misma manera, el hecho de designar un DPD cuando no fuera obligatorio, se incluye como un criterio para graduar las sanciones, además de otros como la afectación a los derechos de los menores o el sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.

También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.

En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD. A partid de ahora, el denunciante que desee poner de manifiesto unos hechos concretos por considerarlos contrarios a la normativa aplicable, podrá hacerlo sin que la expresión de su identidad sea condición para el tratamiento de su denuncia.

También se regulan otros tratamientos sectoriales como, entre otros, videovigilancia, sistemas de información crediticia, sistemas de exclusión publicitaria o monitorización de empleados.

Por último, destacaremos que la información por medios electrónicos puede realizarse en doble capa como venía haciéndose hasta ahora, pero eso sí, se permite que sólo de informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.

Primer encuentro exclusivo de Delegados de Protección de Datos de la AEC

Una de las medidas más novedosas que ha traído consigo el Reglamento General de Protección de Datos (RGPD) es la exigencia de la figura del Delegado de Protección de Datos (DPD), en determinados supuestos, para garantizar el cumplimiento del RGPD. Tras la consolidación de esta figura emergente, la Asociación Española para la Calidad (AEC) ha asumido la responsabilidad de ayudar a estos profesionales, y sus empresas y organizaciones, a gestionar los cambios a los que deben hacer frente, y para llevar a cabo esta tarea ha creado “El Club de Delegados de Protección de Datos”, del que Govertis es partner estratégico.

Esta iniciativa ya fue anunciada en primicia por Marta Villanueva, Directora General de la AEC,  en el Insight exclusivo DPD sobre RGPD que organizó la entidad el pasado 2 de octubre, moderado por Eduard Chaveli (Socio y CEO en Govertis), en el que se presentó el “Club DPD” como un espacio referente de conocimiento, pertenencia y relación para los profesionales, y en el que ya se comenzaron a intercambiar experiencias de DPD´s de marcas referentes allí presentes.

Tras aquella presentación inicial, ha llegado el momento de dar comienzo a esta iniciativa con un primer encuentro el próximo 28 de noviembre, en el Auditorio Caja de Música del Palacio de Cibeles (Madrid), en el que se reunirán profesionales destacados del ámbito de la privacidad con el objetivo de compartir su conocimiento, experiencias e inquietudes en torno a la figura del DPD

Este primer encuentro comenzará con una presentación de la mano de Marta Villanueva, que inaugurará el Club e informará sobre el Plan de actividades del mismo para el año 2019. Tras la presentación, se abordarán las novedades más importantes introducidas en la Nueva LOPD de la mano de Javier Sempere Samaniego, Letrado del Consejo General del Poder Judicial (CGPJ) y Jefe de Área en el Centro de Documentación Judicial (CENDOJ). A continuación, tendrá lugar la Mesa Redonda, en la que una selección de DPD´s de referencia de diferentes sectores compartirán sus experiencias:  José Antonio Muñoz (Telefónica), María Luisa Muñoz Martínez (ONCE), Alejandro Artetxe (Hospitalarias Provincia de España), y Lluís Sanz i Marco (Ayuntamiento de Barcelona), y que será moderada por Eduard Chaveli, Socio y CEO en Govertis. Para finalizar, Javier Villegas, Lead Advisor Privacidad Sector Salud en Govertis, nos trasladará el punto de vista más operativo y el valor más cotidiano, a través de experiencias prácticas y la documentación más actualizada para el trabajo diario del DPD. Para más información, puedes encontrar la agenda detallada del encuentro en el siguiente enlace.

Si quieres sumarte a este primer encuentro, tan solo debes formalizar la inscripción en el siguiente enlace. ¡No te lo puedes perder!

Blockchain y RGPD: ¿Son compatibles?

El blockchain, o cadena de bloques, es una tecnología destinada a tener un impacto enorme en todos los ámbitos de nuestras vidas. Conocida por ser la base tecnológica del bitcoin, este sistema es una base de datos compartida que registra en un libro mayor todas las operaciones entre todos sus usuarios, desde transacciones económicas hasta operaciones de compra-venta. Una de sus características es la inmutabilidad de la información que consta en los bloques ya que garantiza la seguridad y fiabilidad de la información. Precisamente es en sus cualidades donde se encuentran las incompatibilidades con el Reglamento General de Protección de Datos.

A continuación, analizaremos algunos de los puntos que desafían el cumplimiento de la blockchain con el RGPD:

• Derecho de cancelación: La información en la cadena de bloques permanece inalterable y esa es una de las piezas fundamentales de su funcionamiento. El artículo 17 del RGPD regula el derecho a la supresión de los datos personales, pudiendo el interesado solicitar al Responsable del Tratamiento la supresión de los datos personales que le conciernan. Es por esto, que el derecho a la supresión se presenta como un desafío para la tecnología blockchain.
• Plazos de conservación de los datos de carácter personal: El RGPD establece que los datos del interesado serán conservados únicamente durante el tiempo necesario para los fines previstos. Los datos almacenados en la blockchain se almacenan de manera indefinida en su red y por lo tanto resulta imposible cumplir con este aspecto definido en el RGPD.
• Principio de exactitud: Los datos del interesado deberán ser exactos y estar actualizados. Por lo tanto, debido a su inalterabilidad, será un desafío poder modificar la información de la red blockchain en base a este principio.

Son cada vez más las voces discordantes que prevén la incompatibilidad de la Blockchain con el RGPD y abogan por dejar fuera del alcance de la normativa europea a esta nueva tecnología. El pasado 1 de febrero la Comisión Europea puso en marcha el Observatorio y Foro de Blockchain de la Unión Europea con el objetivo de promover su uso y destacar sus avances más significativos. Dado el interés del legislador europeo por la privacidad y la protección de los datos de los ciudadanos, es fácil imaginar que encontrarán una solución a lo que parece una incompatibilidad entre el RGPD y la blockchain.

El equipo de profesionales de Govertis

Responsabilidad Proactiva

A lo largo de distintos post publicados en nuestro Blog del DPD/DPO hemos tratado la responsabilidad en el tratamiento de los datos personales, sin embrago en estas líneas queremos centrarnos en la Responsabilidad Proactiva o accountability.

Antes de entrar a ver el principio de responsabilidad proactiva en el Reglamento General de Protección de Datos (RGPD), cabe indicar que el Grupo de Trabajo del Artículo 29 (GT29), que fue sustituido tras la plena aplicación del RGPD (el 25 de mayo) por el Comité Europeo de Protección de Datos (CEPD), publicó en 2010 el Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, en el que explicaba  su significado y alcance.

El GT29 señalaba que “proviene del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la práctica.” Y también que “el término apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse.”

Como señala la AEPD (Principio Responsabilidad Proactiva) el RGPD, en su artículo 24,  describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Para ello las organizaciones han de analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, para pasar a realizar el Análisis de Riesgos. Pasos que se están dando en la adecuación al Reglamento General de Protección de Datos y que les llevará a determinar la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y, como indica el  RGPD,  que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

Así pues al hablar de Responsabilidad proactiva o accountability nos centrados en dos elementos:

1. La necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos.

¿Qué medidas encontramos en el RGPD cuya aplicación supone que las organizaciones están siendo proactivas en la adopción de medidas de seguridad?

• Nombramiento de un Delegado de Protección de Datos
• Protección de datos desde el diseño y por defecto
• Encargado del tratamiento
• Registro de las actividades del tratamiento
• Notificación de una violación de la seguridad de los datos personales a la autoridad de protección de datos
• Análisis de Riesgos
• Adhesión a Códigos de Conducta y Certificaciones

Medidas técnicas y organizativas que serán revisadas y actualizadas, es decir, el responsable del tratamiento tendrá que evaluar o analizar en todo momento el riesgo, atendiendo también a cualquier cambio en el mismo ya sea, por ejemplo, por nuevos tratamientos de datos personales.

2. La necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces. En este caso se consigue recabando evidencias, documentando actuaciones que podrán ser de prueba ante incidentes

Por último señalar que la responsabilidad proactiva se exige al responsable del tratamiento con independencia de que trate los datos personales por sí mismo o a través de un encargado del tratamiento o subencargados de tratamiento.

El equipo de profesionales de Govertis

Encargados de Tratamiento

Los Encargados de tratamiento, es uno de los aspectos que ha sufrido modificaciones con el Reglamento General de Protección de Datos (RGPD).

Las novedades más importantes son:

1.- Antes no se establecían de forma directa obligaciones para los encargados, centrándose la LOPD y su reglamento de desarrollo en las obligaciones del Responsable del Fichero. Ahora, con el RGPD, se establecen a lo largo de su articulado diversas obligaciones ya dirigidas directamente a los encargados tales como:

• Deben mantener un registro de actividades de tratamiento.
• Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
• Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD

2- Antes existía cierto deber de diligencia a la hora de seleccionar a los encargados de tratamiento, pero ahora se hace énfasis en la necesidad de escoger y estudiar las condiciones de seguridad que ofrecen los encargados de tratamiento al amparo del RGPD, de tal manera de que sólo se han de elegir encargados de tratamiento que puedan demostrar que cumplen con el RGPD.

A manera de comparativa es ejemplificativo el cuadro que expongo a continuación:

3.- Por último, los contratos de encargo de tratamiento tienen nuevas menciones, por lo que hay que redactar nuevos contratos que incluyan dichas novedades.

También creo y, a manera de ejemplo, que el siguiente cuadro deja claro las diferencias de contenidos entre el contenido del contrato exigido por la LOPD y por el RGPD.

El equipo de profesionales de Govertis

El derecho al olvido

La primera vez que se habló del derecho al olvido fue en la Sentencia C-131/12, TJUE, 13/05/2014 y, actualmente el Reglamento (UE) 2016/679 Del Parlamento Europeo y Del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) lo recoge, en el artículo 17 denominado “Derecho de supresión” también conocido como el “Derecho al Olvido”, de ello resulta que no será necesario acogerse a criterios jurisprudenciales para hacer efectivo el “Derecho al Olvido” al encontrarse positivizado en el RGPD.

Haciendo una lectura del mencionado artículo, podemos constatar que el “derecho al olvido” es aquel derecho que tienen los ciudadanos a solicitar que sus datos personales sean suprimidos cuando, entre otros supuestos, estos ya no sean necesarios para la finalidad con la que fueron recabados inicialmente, cuando se haya revocado el consentimiento o, cuando los datos no hayan sido recogidos de forma lícita.

Podríamos afirmar que el “derecho al olvido” es el conocido derecho de cancelación y oposición, pero aplicado exclusivamente a los medios online, por ende, su ejercicio conlleva la posibilidad de impedir la difusión de información personal a través de Internet cuando dicha publicación no sea adecuada y pertinente en virtud de las estipulaciones recogidas en el Reglamento General de Protección de Datos (RGPD). A través del mismo, se incluye la posibilidad de limitar la difusión de información que lleve asociada datos de carácter personal, de forma indiscriminada, cuando ésta ha dejado de ser actual o ya no tiene relevancia pública.

Por otro lado, hemos de tener presente que el ejercicio de los derechos de supresión y oposición frente a buscadores, únicamente aplicará a los resultados obtenidos a través de búsquedas realizadas mediante el nombre de una persona, pero ello no quiere decir que dicha página vaya a ser suprimida de los índices del buscador ni de la fuente original. Es decir, cuando se procede a la búsqueda de un caso a través del nombre de la persona afectada/interesada y, dicha información está obsoleta, el afectado podrá exigir que el enlace que aparece en el buscador deje de ser visible; sin embargo, ello no implica que la información no pueda aparecer si buscamos a través de cualquier otro término o palabra puesto que las fuentes de publicación permanecerán inalteradas.

Por último, a grandes rasgos los pasos a seguir para ejercer el presente derecho, serían los siguiente: en primer lugar, solicitar el derecho al olvido frente a la página web que publicara la información o, frente al buscador. En  el supuesto de recibir respuesta declinando la solicitud, el interesado podrá acudir ante la Autoridad de Control para que tutele el derecho, acompañando la documentación que evidencie la solicitud de supresión ejercida ante la entidad de que se trate y, cuya resolución agotará la vía administrativa, pudiendo el interesado interponer, en el supuesto de disconformidad con la misma, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de la resolución o, recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, en el plazo de dos meses desde el día siguiente a la notificación.

El equipo de profesionales de Govertis