phone 915 752 750 email aec@aec.es

    Responsabilidad Proactiva

    2 agosto, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , , ,

    A lo largo de distintos post publicados en nuestro Blog del DPD/DPO hemos tratado la responsabilidad en el tratamiento de los datos personales, sin embrago en estas líneas queremos centrarnos en la Responsabilidad Proactiva o accountability.

    Antes de entrar a ver el principio de responsabilidad proactiva en el Reglamento General de Protección de Datos (RGPD), cabe indicar que el Grupo de Trabajo del Artículo 29 (GT29), que fue sustituido tras la plena aplicación del RGPD (el 25 de mayo) por el Comité Europeo de Protección de Datos (CEPD), publicó en 2010 el Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, en el que explicaba  su significado y alcance.

    El GT29 señalaba que «proviene del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la práctica.» Y también que «el término apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse.»

    Como señala la AEPD (Principio Responsabilidad Proactiva) el RGPD, en su artículo 24,  describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

    Para ello las organizaciones han de analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, para pasar a realizar el Análisis de Riesgos. Pasos que se están dando en la adecuación al Reglamento General de Protección de Datos y que les llevará a determinar la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y, como indica el  RGPD,  que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

    Así pues al hablar de Responsabilidad proactiva o accountability nos centrados en dos elementos:

    1. La necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos.

    ¿Qué medidas encontramos en el RGPD cuya aplicación supone que las organizaciones están siendo proactivas en la adopción de medidas de seguridad?

    Medidas técnicas y organizativas que serán revisadas y actualizadas, es decir, el responsable del tratamiento tendrá que evaluar o analizar en todo momento el riesgo, atendiendo también a cualquier cambio en el mismo ya sea, por ejemplo, por nuevos tratamientos de datos personales.

    1. La necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces. En este caso se consigue recabando evidencias, documentando actuaciones que podrán ser de prueba ante incidentes

    Por último señalar que la responsabilidad proactiva se exige al responsable del tratamiento con independencia de que trate los datos personales por sí mismo o a través de un encargado del tratamiento o subencargados de tratamiento.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

     

    KEEP READING

    Encargados de Tratamiento

    22 junio, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , ,

    Los Encargados de tratamiento, es uno de los aspectos que ha sufrido modificaciones con el Reglamento General de Protección de Datos (RGPD).

    Las novedades más importantes son:

    1.- Antes no se establecían de forma directa obligaciones para los encargados, centrándose la LOPD y su reglamento de desarrollo en las obligaciones del Responsable del Fichero. Ahora, con el RGPD, se establecen a lo largo de su articulado diversas obligaciones ya dirigidas directamente a los encargados tales como:

    • Deben mantener un registro de actividades de tratamiento.
    • Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
    • Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD

     

    2- Antes existía cierto deber de diligencia a la hora de seleccionar a los encargados de tratamiento, pero ahora se hace énfasis en la necesidad de escoger y estudiar las condiciones de seguridad que ofrecen los encargados de tratamiento al amparo del RGPD, de tal manera de que sólo se han de elegir encargados de tratamiento que puedan demostrar que cumplen con el RGPD.

    A manera de comparativa es ejemplificativo el cuadro que expongo a continuación:

    Obligaciones LOPD RGPD
    Elección del encargado de tratamiento El Reglamento de Desarrollo de la LOPD establecía la necesidad de diligencia debida en la selección de encargados Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa).
    Modo de comprobar que el encargado cumple con las exigencias legales Era una obligación sin mencionar el cómo hacerse, por lo que en la práctica se pedía un comprobante de la empresa que había adaptado o auditado al encargado de tratamiento Para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, éstos podrán adherirse a códigos de conducta o certificarse dentro de los esquemas previstos por el RGPD
    Obligaciones Responsables/Encargados La LOPD se centra en la actividad de los responsables El RGPD, por el contrario, contiene obligaciones expresamente dirigidas a los encargados, tales como:

    ·         Deben mantener un registro de actividades de tratamiento.

    ·         Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.

    ·         Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD

     

    3.- Por último, los contratos de encargo de tratamiento tienen nuevas menciones, por lo que hay que redactar nuevos contratos que incluyan dichas novedades.

     

    También creo y, a manera de ejemplo, que el siguiente cuadro deja claro las diferencias de contenidos entre el contenido del contrato exigido por la LOPD y por el RGPD.

    Contenido del contrato LOPD RGPD
    El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas Se debe hacer mención a esta situación Se debe hacer mención a esta situación
    Se indicarán las medidas de seguridad Se debe hacer mención a esta situación Se debe hacer mención a esta situación
    Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. Se debe hacer mención a esta situación Se debe hacer mención a esta situación
    En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. Se debe hacer mención a esta situación
    Si se permite o no la subcontratación Se debe hacer mención a esta situación Se debe hacer mención a esta situación
    Las personas autorizadas para tratar datos personales por parte de los encargados de tratamiento se han tenido que comprometer a respetar la confidencialidad o estarán sujetas a una obligación de confidencialidad de naturaleza estatutaria No se exigía Se exige
    Respuesta a las solicitudes de los derechos de los titulares: Se debe dejar por escrito si las solicitudes del ejercicio de derechos las responde el encargado o se trasladan al responsable No se exigía Se exige
    Deber de colaboración: Ayudará al responsable a garantizar el cumplimiento de ciertas obligaciones legales (implantación de medidas de seguridad, notificación de violaciones de seguridad y Evaluaciones de Impacto de Privacidad) No se exigía Se exige
    Demostrar el cumplimiento de sus obligaciones: Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. No se exigía Se exige

    El equipo de profesionales de Govertis

    Logotipo de Govertis

     

     

    KEEP READING

    El derecho al olvido

    18 junio, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , ,

    La primera vez que se habló del derecho al olvido fue en la Sentencia C-131/12, TJUE, 13/05/2014 y, actualmente el Reglamento (UE) 2016/679 Del Parlamento Europeo y Del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) lo recoge, en el artículo 17 denominado “Derecho de supresión” también conocido como el “Derecho al Olvido”, de ello resulta que no será necesario acogerse a criterios jurisprudenciales para hacer efectivo el “Derecho al Olvido” al encontrarse positivizado en el RGPD.

    Haciendo una lectura del mencionado artículo, podemos constatar que el “derecho al olvido” es aquel derecho que tienen los ciudadanos a solicitar que sus datos personales sean suprimidos cuando, entre otros supuestos, estos ya no sean necesarios para la finalidad con la que fueron recabados inicialmente, cuando se haya revocado el consentimiento o, cuando los datos no hayan sido recogidos de forma lícita.

    Podríamos afirmar que el “derecho al olvido” es el conocido derecho de cancelación y oposición, pero aplicado exclusivamente a los medios online, por ende, su ejercicio conlleva la posibilidad de impedir la difusión de información personal a través de Internet cuando dicha publicación no sea adecuada y pertinente en virtud de las estipulaciones recogidas en el Reglamento General de Protección de Datos (RGPD). A través del mismo, se incluye la posibilidad de limitar la difusión de información que lleve asociada datos de carácter personal, de forma indiscriminada, cuando ésta ha dejado de ser actual o ya no tiene relevancia pública.

    Por otro lado, hemos de tener presente que el ejercicio de los derechos de supresión y oposición frente a buscadores, únicamente aplicará a los resultados obtenidos a través de búsquedas realizadas mediante el nombre de una persona, pero ello no quiere decir que dicha página vaya a ser suprimida de los índices del buscador ni de la fuente original. Es decir, cuando se procede a la búsqueda de un caso a través del nombre de la persona afectada/interesada y, dicha información está obsoleta, el afectado podrá exigir que el enlace que aparece en el buscador deje de ser visible; sin embargo, ello no implica que la información no pueda aparecer si buscamos a través de cualquier otro término o palabra puesto que las fuentes de publicación permanecerán inalteradas.

    Por último, a grandes rasgos los pasos a seguir para ejercer el presente derecho, serían los siguiente: en primer lugar, solicitar el derecho al olvido frente a la página web que publicara la información o, frente al buscador. En  el supuesto de recibir respuesta declinando la solicitud, el interesado podrá acudir ante la Autoridad de Control para que tutele el derecho, acompañando la documentación que evidencie la solicitud de supresión ejercida ante la entidad de que se trate y, cuya resolución agotará la vía administrativa, pudiendo el interesado interponer, en el supuesto de disconformidad con la misma, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de la resolución o, recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, en el plazo de dos meses desde el día siguiente a la notificación.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

     

    KEEP READING

    El Delegado de Protección de Datos y sus funciones

    1 junio, 2018 |by Macarena Rodriguez | 0 Comments | DPD DPO | , , , ,

    El Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO), es una figura que introduce como obligatoria el Reglamento General de Protección de Datos (RGPD) para supervisar internamente, en cada entidad, el cumplimiento de las obligaciones que impone el RGPD.

    El DPD, puede ser un empleado interno de la empresa o puede ser externo, pero debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. El DPD debe participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

    En cuanto a las funciones del DPD / DPO, el artículo 39 del RGPD indica que tendrá como mínimo las siguientes:

    1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
    2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
    3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
    4. Cooperar con la autoridad de control;
    5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

    El DPD/DPO, podrá asumir otras funciones dentro de la empresa siempre que tengan relación con los tratamientos de datos personales y que no creen un conflicto de intereses entre sus funciones como DPD y las funciones o intereses de otros departamentos.

    Para el correcto desempeño de sus funciones, el DPD tiene que prestar atención a los riesgos asociados a las operaciones de tratamiento. El DPD tendrá que tener en cuenta la naturaleza, el contexto, el alcance y las finalidades del tratamiento que se quiera realizar.

    En Julio de 2017 la Agencia Española de Protección de Datos presentó su esquema de certificación de delegados de protección de datos. Estas certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD.

    El esquema de certificación establece los requisitos de competencia para la persona que pretenda obtener la acreditación como DPD. Para poder acceder a la fase de evaluación, se requiere una experiencia o formación relevante en materia de protección de datos de carácter personal.
    La prueba de evaluación permitirá constatar que se tienen los conocimientos teóricos y prácticos, las habilidades personales y la capacidad profesional necesarios. El esquema de certificación exige la sujeción a un código ético que incluye los principios de Legalidad e integridad, profesionalidad, responsabilidad en el desarrollo de la actividad profesional, imparcialidad, transparencia y confidencialidad.

    El Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, contempla la figura del Delegado de Protección de Datos en sus artículos 34 a 37.
    Destacando en la redacción actual la posición que ocupa el DPD como interlocutor del responsable ante la Agencia Española de Protección de Datos y la relevancia que le otorga la ley al DPD en la organización interna de la empresa conforme a la redacción del artículo 36.2 del Proyecto de Ley.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

     

     

    KEEP READING

    El nuevo derecho a la portabilidad de los datos

    25 mayo, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , ,

    El legislador europeo, en su voluntad de reforzar el control del interesado sobre sus propios datos, ha incluido en el artículo 20 RGPD, el nuevo derecho a la portabilidad de los datos como una forma avanzada del derecho de acceso. Este derecho a la portabilidad se materializa en la transmisión, al propio interesado o a otro responsable, de sus datos en un formato estructurado, de uso común, de lectura mecánica e interoperable.

    Para ejercitar este derecho que incorpora el nuevo Reglamento, deberán darse acumulativamente estos dos requisitos: (1) que sea un tratamiento basado en el consentimiento del interesado o de la ejecución de un contrato del que el interesado es parte y (2) que se efectúe por medios automatizados. Este derecho podría materializarse en la obtención de una lista de reproducción; de los capítulos visionados en una plataforma de reproducción online; el listado de contactos de una aplicación de chat para confeccionar una lista de invitados a una fiesta o el listado de los libros adquiridos en el último año.

    No obstante, no puede entenderse de manera absoluta, no aplicándose el mismo si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; y, no podrá afectar negativamente a los derechos y libertades de otros, incluidos los secretos comerciales, la propiedad intelectual y, en particular, a los derechos de autor que protegen los programas informáticos.

    Sin embargo, la portabilidad implica también una serie de retos para los responsables del tratamiento entre los que, teniendo en cuenta las directrices del Grupo de Trabajo del Artículo 29, Grupo de Trabajo creado de conformidad con el artículo 29 de la Directiva 95/46/CE, órgano consultivo independiente de la UE en materia de protección de datos y privacidad, destacan los siguientes:

    • Interoperabilidad de los sistemas. El RGPD no exige que los sistemas sean compatibles, pero sí deben resultar interoperables. Al respecto, el GT29 recomienda que las partes interesadas del sector y que las asociaciones comerciales trabajen conjuntamente sobre unas normas y formatos interoperables que permitan portar los datos de un responsable a otro. Una solución aceptable hasta la interoperabilidad de los sistemas sería ofrecer los datos en formato Excel, que nos permita trabajar con los datos; sin embargo, nunca sería aceptable proporcionar los mismos en formato PDF.

     

    • Responsabilidad del tratamiento. Corresponde al «responsable del tratamiento receptor» garantizar que los datos proporcionados que se pueden portar sean pertinentes y no excesivos -principio de minimización de los datos- en relación con el nuevo tratamiento de datos. Así, si la información portada no es relevante en relación con el propósito del nuevo tratamiento, no deberá guardarse ni procesarse. Por ejemplo, si portamos una lista de contactos de una plataforma webmail para enviar una invitación por correo electrónico a una fiesta, deberán omitirse otros datos como el teléfono o la dirección postal.

     

    • Los datos personales que deben portarse no son sólo los directa y conscientemente proporcionados por el interesado, sino que incluye los datos personales que se generan y se recaban a partir de las actividades de los usuarios, por ejemplo, las canciones más escuchadas por un usuario en una plataforma online. De este modo, deben excluirse únicamente los «datos inferidos» y los «datos deducidos», que abarcan los datos personales que genera un proveedor de servicios (por ejemplo, resultados algorítmicos).

     

    • El derecho a la portabilidad de los datos no puede afectar negativamente a los derechos y libertades de terceros (que no han dado su consentimiento). De este modo, los responsables deberán implantar herramientas que permitan a los interesados seleccionar los datos relevantes y excluir (donde proceda) otros datos suyos; así como mecanismos de autorización para otros interesados involucrados a fin de facilitar la transmisión de datos en aquellos casos en los que las partes estén dispuestas a dar su consentimiento.

    La complejidad de estos requisitos unido al fomento de la libre competencia que supone el mismo, nos hace sospechar que la aplicación de este derecho tardará aún algún tiempo en ser plenamente efectiva. Es tarea de los responsables y encargados de tratamiento adaptar sus sistemas para poder aplicar este derecho.

     

    El Equipo Govertis 

    Logotipo de Govertis

    KEEP READING

    Más allá del consentimiento, hay legitimación

    11 mayo, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , ,

    El Reglamento General de Protección de Datos, en adelante RGPD, establece un sistema de legitimación compuesto por seis bases jurídicas, de modo que el tratamiento de datos ya no se basa en el consentimiento del interesado y excepciones al mismo, sino que ha de basarse en uno de los seis supuestos que el RGPD establece. Dichas bases de legitimación no son intercambiables ni hay ninguna jerarquía entre ellas.

    Además, la base jurídica de legitimación del tratamiento se incorpora al contenido obligatorio del deber de información (artículo 13.1c) RGPD), por lo que el Responsable del tratamiento deberá facilitar dicha información al interesado, en el momento en que se obtengan los datos personales.

    Analizaremos a continuación los diferentes supuestos que conforman el sistema de legitimación diseñado por el RGPD, diferentes al consentimiento del interesado:

    • Legitimación para la ejecución de un contrato: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales.
    • Legitimación derivada del cumplimiento de una obligación legal: deberá incluirse la referencia a la concreta norma que establece esta obligación al Responsable del tratamiento.
    • Legitimaciónpara el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
    • Legitimación para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero; el interés legítimo podrá constituir la base jurídica para el tratamiento “siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable” (Considerando 47 del RGPD). En cualquier caso, el interés legítimo siempre requerirá de una “evaluación meticulosa” (Considerando 47 del RGPD), que incluya la determinación, necesidad y justificación del interés legítimo, así como todo un análisis de la ponderación de dicho interés y los derechos y libertades del interesado y las medidas adoptadas para garantizar el equilibrio de los intereses en juego.
    • Legitimación para proteger intereses vitales del interesado o de otra persona física; se trata de un supuesto excepcional derivado de las propias circunstancias que harían posible esta causa de legitimación.

    En conclusión, recordar la importancia de la correcta determinación de la base jurídica que legitime el tratamiento de datos, ya que, además de formar parte del contenido del deber de información junto a la finalidad del tratamiento, en aplicación del Principio de responsabilidad proactiva, el Responsable deberá poder demostrar la adecuación de la base jurídica utilizada a las exigencias del RGPD.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

    KEEP READING

    Protección de datos de menores de edad en el marco europeo

    27 abril, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , ,

    El legislador europeo, por primera vez, a través del Reglamento General de Protección de Datos (UE) 2016/679, ha articulado una regulación específica sobre el tratamiento de datos personales de los menores; si bien en España tenemos disposición al respecto. En síntesis, esta es la forma en que se ha regulado a nivel europeo:

    a) Ámbito de protección.- Según el citado Reglamento, “los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño.”

    A pesar de que la norma europea se haya centrado más en los servicios de la Sociedad de la Información, esto no ha de significar que el tratamiento de datos de menores fuera de este ámbito esté desprotegido por la norma. Las prescripciones en él contenidas pueden ser extrapoladas a los tratamientos de datos fuera de Internet. En todo caso, el tratamiento de los datos personales de un menor a efectos contractuales, se regirán por las disposiciones del Estado miembro, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.

    b) Parámetro de la edad.- Ante la disparidad de criterios que encontramos al respecto en los Estados miembros, la norma europea ha optado por fijar una horquilla, entre los 13 y 16 años de edad; entendiéndose que, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. No obstante, los Estados miembros podrán establecer por ley una edad inferior a los 16 años, pero que, en ningún caso, será inferior a 13 años.

    c) Modo de informar.- La información será concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre todo, por estar dirigida específicamente a un niño.

    d) Verificación de la edad.- En la recogida de datos del menor, el Responsable del Tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

    KEEP READING

    Nuevos retos en Protección de Datos: Cloud Computing

    20 abril, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , ,

    Las tecnologías evolucionan y con ello generan retos jurídicos que hace tiempo ni siquiera imaginábamos. El Derecho siempre va detrás de los hechos; y cuando hablamos de hechos tan cambiantes como los que las TIC propician, la necesidad de reacción se vuelve más crítica. Entre los diferentes retos jurídicos que se plantean, vamos a poner el zoom sólo en uno de ellos: la protección de datos de carácter personal.

    Los retos tecnológicos que la protección de datos debe de afrontar son múltiples. El esquema de certificación de DPD incluye algunos como Cloud computing, Smartphones y APPs, RFID, Internet de las cosas, Big Data y profiling, etc…. Pero hay muchos otros que no ha incluido, como por ejemplo el reconocimiento facial, procesamiento de lenguajes naturales, robots, vehículos autónomos o drones que se mencionaron en la 38ª Conferencia internacional de protección de datos y comisionarios de Privacidad que se celebró en octubre de 2016 bajo el título “INTELIGENCIA ARTIFICIAL, ROBÓTICA, PRIVACIDAD Y PROTECCIÓN DE DATOS”.

    En algunos casos las autoridades de protección de datos han publicado guías o existen Directrices; En otros casos (habida cuenta de su novedad) no existen pronunciamientos de las  autoridades o son muy parcos por lo que intentaremos encajarlas en la regulación del RGPD.

    En este primer artículo nos centraremos en uno de ellos (el cloud computing) y posteriormente en futuros artículos iremos desgranando otros.

    Como destaca la AEPD en su Guía en la contratación de estos servicios existen riesgos de falta de transparencia y falta de control:

    Falta de transparencia

    Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la necesidad de conocer el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio. Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de subencargados, los controles de acceso a la información o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados”.

    Falta de control

    Como consecuencia de las peculiaridades del modelo de tratamiento en la nube y en parte también de la ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas”.

     

    Ello obliga a la empresa que desee contratar estos servicios a recabar información previa al prestador sobre determinados aspectos del servicio. Todo ello en virtud del artículo 28.1 del RGPD que obliga a los responsables de tratamiento a elegir prestadores que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas para garantizar que el tratamiento es conforme con el RGPD y respeta la protección de los derechos del interesado.

    Aquí nos gustaría añadir una nota importante, la AEPD dispone de dos guías sobre cloud computing cuya lectura es recomendada. Por ello, la AEPD en su Guía de Cloud Computing recomienda establecer una serie de verificaciones de control previas e incluso cotejar las respuestas facilitadas por varios prestadores: “las condiciones ofrecidas por los proveedores se deben contrastar con una lista de control que incluya, entre otros, elementos relativos a la información proporcionada, ubicación del tratamiento, existencia de sub-encargados, políticas de seguridad, derechos del usuario y obligaciones legales del prestador del servicio”.

     

    Por su parte el actual Instituto Nacional de Ciberseguridad INCIBE en un Informe de 2011 (Instituto Nacional de Ciberseguridad, Riesgos y amenazas del cloud computing”  Madrid 2011), destacaba en relación con los problemas de seguridad e incertidumbre sobre el marco jurídico y la legislación competente, los siguientes aspectos: 

    • Accesos de usuarios con privilegios: al ubicarse la información fuera de las instalaciones existe una pérdida de control de los accesos, por lo que se debe evitar implantando controles y medidas que usuarios sin privilegios o terceros puedan acceder a esa información.
    • Cumplimento normativo: en última instancia los clientes son los responsables de garantizar la confidencialidad, seguridad e integridad de la información, aunque no esté ubicada en sus instalaciones y servidores.
    • Localización de los datos: en entornos cloud no siempre se conoce de forma exacta en qué país está alojada la información y las diferentes copias de seguridad.
    • Aislamiento de datos: los datos en los entornos cloud comparten infraestructura con datos de otros clientes. El proveedor debe garantizar el aislamiento de los datos de los respectivos clientes. El cifrado de los datos es una buena práctica, pero el problema es cómo aislar los datos cuando se encuentran en reposo ya que el cifrado, cuando no se hace uso de los datos, puede resultar una operación costosa.
    • Recuperación: los proveedores de servicio deben tener una política de restauración de la información ante eventos de seguridad. Si se replican copias en otras infraestructuras se garantiza igualmente la disponibilidad de la información.
    • Soporte investigativo: la investigación de actividades ilegales en entornos cloud puede ser una actividad casi imposible, porque los datos y logs (registros de actividad) de múltiples clientes pueden estar juntos e incluso desperdigados por una gran cantidad de equipos y centros de datos.
    •  Viabilidad a largo plazo: en un entorno ideal un proveedor de servicios

    El equipo de profesionales de Govertis

    Logotipo de Govertis

     

     

     

     

     

     

    KEEP READING

    Las causas de legitimación del tratamiento en el RGPD

    13 abril, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , , ,

    Con motivo de la entrada en vigor del nuevo Reglamento Europeo 2016/679 General de Protección de datos Personales (RGPD), se introducen diferentes novedades a abordar con respecto a las obligaciones ya establecidas por la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD). Entre dichas novedades debemos tomar en consideración cuál es la base legitimadora que nos habilita para realizar el tratamiento de los datos personales de nuestros clientes/usuarios.

    Ciñéndonos a lo establecido en el RGPD, podemos visualizar los aspectos esenciales exigidos para que el tratamiento de datos de carácter personal sea lícito; en el art. 6, centrándose el art. 7 del citado Reglamento en las condiciones para que dicho consentimiento sea válido y, por último, el art. 8 hace referencia a las condiciones necesarias para la validez del consentimiento del niño en relación a los servicios prestados a través de medios telemáticos.

    En primer lugar, haciendo hincapié en los requisitos exigidos para que el tratamiento sea lícito, el art. 6 establece lo siguiente:

    1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

    1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
    2. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
    3. c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
    4. d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
    5. e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
    6. f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

    Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”

    Respecto a las condiciones indicadas en dicho artículo, nos centraremos en el consentimiento del interesado e interés legítimo del responsable del tratamiento puesto que pueden ser más conflictivas o generar mayores controversias en cuanto a aplicación se refiere.

    Por otro lado, uno de los mayores cambios que introduce el RGPD con respecto a nuestra normativa de protección de datos es la no contemplación del consentimiento tácito, siendo por consiguiente la satisfacción del interés legítimo, un elemento clave para considerar la existencia de un tratamiento de datos sin consentimiento del interesado (considerandos 47 a 49).

    Otra de las apreciaciones que debemos traer a colación es, el tratamiento de datos de categoría especial entre los que se entienden: datos personales que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos, etc (Vid. Art. 9.1 RGPD).

    Como regla general se prohíbe dicho tratamiento salvo que exista un consentimiento explícito por parte del interesado o, concurran una serie de circunstancias:

    • Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social.
    • Protección de Intereses vitales del interesado
    • Tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical.
    • Tratamiento de datos manifiestamente públicos.
    • Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial.
    • Por razón de interés público en el ámbito de la salud pública.
    • Es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos.

    Por último, en lo concerniente al tratamiento de datos personales procedentes de niños o menores, se considerará válido dicho tratamiento si existe un consentimiento por parte del menor, cuando éste tenga mínimo 16 años y, los servicios recibidos hayan sido catalogados como “servicios procedentes de la sociedad de la información”. No obstante, lo anterior, se estable por el art. 8.1 que los Estados Miembros podrán establecer por ley una edad inferior que en todo caso no podrá sobrepasar el límite de los 13 años, el art. 7 del Proyecto de LOPD establece que “el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de trece años” en contraposición a lo establecido en el AR. 13 del RD 1720/2007 el cual determinaba la edad mínima de 14 años para poder recabar datos de menores con su consentimiento.

    En relación a todo lo anteriormente destacado, podemos concluir que el RGPD puntualiza con mayor precisión los requisitos exigibles para considerar que un tratamiento de datos de carácter personal es legítimo; motivo por el cual todo responsable de tratamiento deberá analizar si es posible continuar con el tratamiento de dichos datos o, si por el contrario es necesario informar y recabar el consentimiento para ajustarnos a las estipulaciones marcadas por el nuevo Reglamento.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

    KEEP READING

    ¿Cómo se concibe el consentimiento para tratar datos personales, según el Reglamento Europeo?

    23 marzo, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , , , ,

    En España, el consentimiento en la legislación en protección de datos de carácter personal se ha concebido como la premisa básica para legitimar un tratamiento o cesión de datos.

    Sin embargo, a partir de ahora, con el Reglamento General de Protección de Datos de la Unión Europea, el consentimiento se ha concebido como una causa o fundamento más para legitimar un tratamiento de datos personales y está estrechamente ligado al principio de finalidad, puesto que la norma pone énfasis en que el consentimiento esté asociado para los fines específicos del tratamiento. Esto es, se ha recoger de forma clara, sencilla y concisa las finalidades de los datos, para que el interesado pueda manifestar el consentimiento respecto de cada una de éstas.

    KEEP READING