915 752 750
aec@aec.es
915 752 750
aec@aec.es
Es posible que sí. Así se desprende del Informe Jurídico 2022/0098 de la Agencia Española de Protección de Datos (AEPD), en el que advierte de un posible cambio de criterio con respecto a la diferenciación de la finalidad de autenticación/verificación versus identificación de los tratamientos de datos biométricos en la que, hasta el momento, ha basado su interpretación de que solo en el segundo caso (identificación) nos encontramos ante tratamientos de categorías especiales de datos.
El Reglamento General de Protección de Datos (RGPD) define en el artículo 4.19 los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. Partiendo de esta definición, el artículo 9.1 incorpora como categoría especial los datos biométricos dirigidos a identificar de manera unívoca a una persona física”.
Para aclarar conceptos y concretar supuestos, la AEPD ha venido interpretando en diferentes informes (entre ellos, 2020/0036 y 2021/0047) y resoluciones de procedimientos sancionadores (como el PS 00218/2021), que los términos “permitan” y “confirmen” la identificación única de una persona física contenidos en la definición de datos biométricos del RGPD pueden entenderse, respectivamente, como “identificación” y “verificación” (o autenticación). Esta diferencia es la que precisamente le ha servido de base, hasta ahora, para interpretar cuándo un dato biométrico, según la definición del artículo 4.19 RGPD, se considera categoría especial de datos, conforme al artículo 9.1 RGPD.
Esta distinción entre identificación y verificación/autenticación biométrica ya se recogía en el Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo del Artículo 29, que distinguía ambos supuestos en función del modo de búsqueda en los registros almacenados y el ingreso previo del registro.
Así, dicho Dictamen considera identificación biométrica el proceso de comparar los datos de un individuo, adquiridos en el momento de la identificación, con una serie de plantillas biométricas almacenadas en una base datos, dando lugar a un “proceso de búsqueda de correspondencias uno-a-varios”.
Por el contrario, se entiende por verificación/autenticación biométrica de un individuo el proceso de comparación entre sus datos biométricos, adquiridos en el momento de la verificación, con una única plantilla biométrica almacenada en un dispositivo. Es por tanto un “proceso de búsqueda de correspondencias uno-a-uno”.
Esta distinción se incorporó también en el Libro Blanco sobre Inteligencia Artificial de la Comisión Europea, de 19 de febrero de 2020, donde se distinguía entre identificación biométrica remota y autenticación biométrica. Esta última constituye “un procedimiento de seguridad basado en las características biológicas exclusivas de una persona que permite comprobar que es quien dice ser (comparación uno-a-uno)”, mientras que la identificación biométrica remota consiste en determinar la identidad de varias personas con ayuda de identificadores biométricos (huellas dactilares, imágenes faciales, iris, patrones vasculares, etc.) a distancia, en un espacio público y de manera continuada o sostenida, “comparándolos con datos almacenados en una base de datos”.
Sobre la base de esta distinción, la AEPD interpreta en el Informe 2020/0036 que el concepto de dato biométrico contenido en el artículo 4 del RGPD incluye tanto la identificación como la verificación/autenticación. Pero también señala en dicho informe que, con carácter general, “solo se consideran categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”.
Esta misma interpretación lleva a la AEPD a afirmar en la resolución recaída en el PS 00218/2021 antes citado que la inclusión en el artículo 9.1 del RGPD los datos biométricos dirigidos a identificar de manera unívoca a una persona física como categoría especial de datos indica que “los datos biométricos, por naturaleza, no son sensibles, sino que dependerá del uso o contexto en que se utilicen, las técnicas empleadas para su tratamiento, y la consiguiente injerencia en el derecho a la protección de datos”.
Como no podía ser de otra manera, tratándose de una materia tan compleja como la protección de datos, la AEPD matiza su interpretación sobre la consideración de la categoría de los datos biométricos como datos sensibles, apelando a la necesaria valoración de las circunstancias de cada caso concreto y huyendo de conclusiones generales que permitan avalar su inclusión dentro de una u otra categoría. Y concluye que, en caso de duda, deberá adoptarse la interpretación más favorable para la protección de los derechos de los afectados “en tanto en cuanto no se pronuncie al respecto el Comité Europeo de Protección de Datos (CEPD) o los órganos jurisdiccionales”.
Este pronunciamiento ha sido recogido por el CEPD en las Directrices 5/2022 (Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement), que están pendientes de adopción definitiva, una vez finalizada su consulta pública el 27 de junio de 2022, y en las que, como es sabido, se aparta de la distinción entre identificación y verificación/autenticación a la hora de determinar si el tratamiento de datos biométricos es una categoría especial de datos. Concluye en el apartado 12 que ambos supuestos suponen un tratamiento de categorías especiales de datos.
¿Y cuál es la situación ahora?
Por un lado, el criterio mantenido hasta el momento por la AEPD ha permitido considerar, aun con carácter restrictivo y basado en el análisis de cada caso concreto, determinados tratamientos de datos biométricos como tratamientos no incluidos en las categorías especiales.
En este escenario, empresas desarrolladoras de aplicaciones y responsables del tratamiento han desarrollado e implementado soluciones y tratamientos que implican el uso de datos biométricos, tomando como base de legitimación alguna de las causas del artículo 6 del RGPD y sin tomar en consideración las excepciones y las medidas que el artículo 9 del RGPD establece para levantar la prohibición del tratamiento de categorías especiales de datos, por no considerarlo aplicable.
Por otro lado, nos encontramos con que la conclusión del CEPD recogida en las Directrices 5/2022 ya ha sido tomada en consideración por la AEPD en el Informe 2022/0098 al que hemos hecho referencia al inicio del artículo, donde advierte que “si dicho criterio se mantiene en el momento en que se proceda a su adopción definitiva, resultará necesario revisar nuestro criterio para adecuarlo al mantenido por el Comité Europeo de Protección de Datos, entendiendo que el tratamiento de datos biométricos, tanto en los supuestos de autenticación/verificación como de identificación implica un tratamiento de categorías especiales de datos, sometido al régimen de prohibición general y excepciones del artículo 9 del RGPD”.
Este aviso implica que, si finalmente el CEPD adopta las Directrices sin modificar su último criterio sobre la naturaleza de los datos biométricos (lo cual constituye una de las demandas de las entidades que han presentado comentarios en la fase de consulta pública), todo tratamiento que incluya este tipo de datos deberá no solo estar basado en, al menos, una de las causas de legitimación del artículo 6 del RGPD y en alguna de las excepciones previstas en el artículo 9, sino también haber realizado previamente una evaluación de impacto conforme al artículo 35 del RGPD, cuya ausencia en este tipo de tratamientos ya está siendo sancionada por la AEPD (PS 002108/2021, PS 00441/2021).
Por tanto, de confirmarse este criterio, cuando se pretenda, por ejemplo, basar la legitimidad del tratamiento de datos biométricos con fines de autenticación/verificación en el consentimiento del interesado o en el cumplimiento de una misión realizada en interés público conforme a los apartados a) y e) del artículo 6 RGPD, deberán concurrir además los requisitos del artículo 9.2.a) y g) que cualifican estas bases. Consecuentemente, el consentimiento deberá ser “explícito” y el interés público “esencial”, estar basado en el Derecho de la Unión o de los Estados miembros, ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
Adicionalmente, habrá que tener en cuenta las características y finalidad específica de cada tratamiento. Pensemos, por ejemplo, en un registro de jornada laboral basado en el uso de datos biométricos para autenticar a los empleados y respecto del que la AEPD ya ha considerado descartadas como aplicables las excepciones previstas en los apartados (b) [pues si bien el registro de jornada es obligatorio para el responsable del tratamiento, no resulta sin embargo obligatorio ni necesario a estos fines el tratamiento de datos biométricos] y (g) del artículo 9.2 RGPD [excepción que no será aplicable en tanto no medie una norma de rango legal que establezca el tratamiento de datos biométricos].
En este caso, únicamente cabrá considerar el consentimiento explícito del apartado 9.2.a) del RGPD, que, dada la propia naturaleza de la relación laboral y el desequilibrio inherente a la posición de las partes, solo podrá entenderse libremente prestado si el empleador ofrece al trabajador un sistema alternativo de registro que no implique el tratamiento de sus datos biométricos.
Así las cosas, y en espera de la adopción definitiva de las Directrices, se hace necesario empezar a revisar el estado actual de todos los tratamientos que incorporen este tipo de datos para adaptarlos a una previsible consideración de los mismos como tratamientos de categorías especiales de datos.
Coral Pelegrín Martínez-Canales
Equipo Govertis
KEEP READING
Recientemente la Agencia Española de Protección de Datos (en adelante AEPD) ha publicado una nueva y esperada Guía sobre las Relaciones Laborales y su impacto en la protección de datos. Esta nueva Guía hace un análisis exhaustivo de cada uno de los tratamientos de datos que podrían darse en las relaciones laborales y como abordar cada uno de los mismos: base de legitimación, deber de información, plazos de conservación etc.
Entre uno de los aspectos destacados de la Guía, la AEPD se ha pronunciado sobre cómo actuar en los procesos de selección respecto al acceso y uso de las redes sociales de los posibles candidatos a un puesto de trabajo. El objetivo de este artículo será conocer este apartado de la Guía para conocer los criterios de la autoridad de control y, de esta forma, dar pautas concretas de cómo deben actuar los responsables del tratamiento en este tema.
¿Puede acceder el empleador a las redes sociales de una persona candidata a un empleo?
“Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía sino cuenta para ello con una base de legitimación”
La posición de la AEPD sobre este punto es que la indagación en los perfiles de redes sociales de las personas candidatas a un empleo, sólo se justifica si está relacionada con fines profesionales, es decir, el tratamiento de los datos obtenidos por esta vía únicamente será posible cuando se demuestre que es necesario y pertinente, y por lo tanto, existe un interés legítimo suficiente para tratar estos datos. Por lo tanto, la empresa podría utilizar información de redes sociales como pudiera ser LinkedIn para evaluar la idoneidad del puesto de trabajo, pero, sin embargo, no estaría legitimado en revisar redes sociales como Facebook o Instagram destinadas a un uso más personal e íntimo.
¿Se debe informar a los interesados sobre estos extremos?
“La persona trabajadora tiene derecho a ser informada sobre ese tratamiento”
Por lo tanto, el responsable del tratamiento deberá encontrar un mecanismo adecuado para informar a los interesados sobre este tratamiento. Por ejemplo, podría incorporar el deber de información recogido en los arts. 13 y 14 del RGPD en el contenido de la publicación de la convocatoria, de modo transparente puede explicar que se comprobarán los perfiles en redes sociales profesionales para ver si cumple con los requisitos que se piden en la convocatoria, y siempre con fines profesionales.
¿Se puede solicitar amistad a un candidato de un puesto de trabajo?
“La empresa no está legitimada para solicitar <<amistad>> a personas candidatas para que estas, por otros medios, proporcionen acceso a los contenidos de sus perfiles”
Por lo tanto, en los casos en los que el interesado no tenga su perfil público, la empresa no estará legitimada para solicitar amistad a personas candidatas para que se pueda acceder al contenido de sus perfiles. Asimismo, la empresa tampoco está legitimada para solicitar a una persona trabajadora o candidata, a un empleo la información que éste comparta con otras personas a través de redes sociales.
¿Qué hacer con estos datos una vez finalizado el proceso de selección?
“Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de los datos”.
Por lo tanto, si la persona candidata no es contratada, una vez finalizado el proceso de selección, desaparece la base jurídica para el tratamiento de los datos, por lo que será necesario su consentimiento para un tratamiento futuro, salvo que el empleador pueda demostrar un interés legítimo. En caso contrario deberá destruir el curriculum y proceder a la supresión y bloqueo de los datos personales.
Marcos Rubiales.
Equipo Govertis
La Agencia Española de Protección de Datos ha publicado la nueva Guía para la gestión del riesgo y evaluación de impacto en tratamiento de datos personales, cuyo objetivo es actualizar conforme a nuevos los nuevos criterios e interpretaciones de la AEPD, el Comité europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos y unificar las guías “Guía práctica de análisis de riesgo para el tratamiento de datos personales” y la “Guía práctica para la evaluación de impacto en la protección de datos personales” publicadas por la AEPD hace tres años.
Esta Guía comienza explicando el concepto de riesgo, primero de forma genérica y luego focalizada en la protección de los datos personales, indicando que el RGPD da total libertad para la gestión del riesgo, ya que debe integrarse con el resto de los recursos de la organización de gestión de riesgos, políticas y gobernanza.
Se especifica que la gestión del riesgo no puede, en ningún caso, sustituirse por el cumplimento normativo, o por una póliza de seguros que cubra la responsabilidad de la organización en caso de que haya una infracción de la normativa de protección de datos, sino que, ante cualquier tratamiento, la organización tiene adoptar medidas técnicas y organizativas que protejan los derechos y libertades de las personas, tanto a nivel individual como social y aunque el riesgo sea escaso. Por ello esta Guía indica que “Si una entidad pretende abordar un tratamiento y no tiene la capacidad para hacer la necesaria la gestión del riesgo, estará obligada a buscar algún tipo de ayuda, como recurrir a la consultoría externa, para realizarlo de la forma apropiada”, ya que el objetivo no es sólo poder actuar ante un hecho que ocasione un perjuicio para los derechos y libertades del interesado, sino haber implementado las medidas adecuadas para poder prevenirlo. En Govertis podemos ayudarte con el cumplimiento de todas las obligaciones de la normativa de protección de datos.
La Guía analiza las fases que debe tener un proceso de gestión del riesgo, haciendo hincapié en la importancia de detallar el tratamiento que se quiere llevar a cabo, describiendo su propósito, su naturaleza, su alcance y su contexto.
Una nueva referencia que se hace en esta Guía, y que no se hacía en las anteriores de forma expresa, es la importancia que tiene la gestión de la seguridad de la información. En concreto se indica que la implementación en la organización de modelos de gestión, como el Sistema de Gestión de la Seguridad de la Información (SGSI) y de directrices como las normas ISO 27000 o el Esquema Nacional de Seguridad, además de políticas de información de la entidad y las políticas de seguridad, son medios para poder gestionar los riesgos de forma efectiva y eficaz y, de esta forma, poder considerar que los sistemas de información de la entidad cumplen con unos mínimos de seguridad que exigen estos modelos, directrices, estándares y políticas. Pero no es suficiente con esto, sino que las medidas de seguridad que se implementen en la organización tienen que revisarse continuamente dado que la actividad de tratamiento, y por ende el riesgo, puede evolucionar por diversos factores como un cambio en el contexto, factores externos, nuevas necesidades, la modificación de los medios tecnológicos utilizados etc.
Otro punto importante que aparece en esta nueva Guía, es el concepto de la “Gobernanza de los riesgos para los derechos y libertades” relacionado con el cumplimiento del principio de responsabilidad proactiva en el que la organización debe implementar políticas de protección de datos que se apliquen de una forma efectiva, práctica y ejecutiva en toda la organización y no se reduzcan a una mera declaración de voluntad de compromiso. Estos documentos relativos a la gestión del riesgo han de estar documentados y deberán contener unos elementos mínimos descritos en la Guía.
En el segundo capítulo se expone una metodología, en concreto unos mínimos, para la descripción del tratamiento, ya esto se considera el punto más importante para poder gestionar los riesgos de forma eficaz. Se propone realizar el estudio del tratamiento para realizar la gestión del riesgo sobre el mismo, hasta en tres niveles de detalle:
Además, se introducen dos nuevos conceptos para el cálculo del nivel del riesgo cuando hay dos o más factores de riesgo que apunten a un determinado nivel de impacto, y cuando haya dos o más indicios que apunten a un determinado nivel de probabilidad: el coeficiente de impacto acumulado y el coeficiente de probabilidad acumulado.
Al igual que la Guía de Evaluaciones de Impacto, la Guía expone una tabla de ejemplos de controles para afrontar los riesgos. Estos controles resultan muy útiles a la hora de determinar qué controles son los más adecuados en nuestro tratamiento.
La tercera sección se reserva para explicar la Evaluación de Impacto: quien la realiza, en qué momento y las excepciones a su realización por no ser legalmente necesario, así como la excepción a su realización antes del inicio de las actividades de tratamiento, por ser necesaria la revisión y adaptación en el ciclo de vida de este. Centrándonos en esta última excepción, la pregunta lógica es: si antes de la entrada en aplicación del RGPD no tenía la obligación de hacer una Evaluación de Impacto sobre un tratamiento que ya venía realizando, ¿lo tengo que hacer ahora? La propia Guía contesta a esto afirmando que, como parte de las obligaciones de responsabilidad proactiva del responsable del tratamiento, es necesario que se realice esta Evaluación de Impacto si fuera necesaria.
Además, se desarrolla la exigencia relativa a la evaluación de la necesidad y proporcionalidad del tratamiento, haciendo una ponderación del juicio de proporcionalidad, del juicio de necesidad y del juicio de proporcionalidad en sentido estricto. Es importante tener en cuenta que el hecho de realizar esta evaluación no sustituye a la realización de la Evaluación de Impacto, ya que el objetivo de ambas es diferente. Lo que si es cierto es que, si no se puede demostrar la necesidad y la proporcionalidad de un tratamiento de alto riesgo, no se recomienda continuar con la Evaluación de Impacto o plantear una consulta previa del artículo 36 RGPD.
Un apunte que realiza la Guía, es que en los casos en los que se realice un análisis de necesidad, y la justificación se base en la exigencia de responder a una situación concreta de urgencia, el responsable tiene que vigilar que esta situación concreta de urgencia sigue estando vigente, ya que, en caso contrario, no estaría justificado seguir realizando este tratamiento.
Por último, se aborda la cuestión de las consultas previas a la AEPD cuando, tras haber realizado una EIPD, el riesgo residual resultante podría poner en riesgo los derechos y libertades de los interesados.
Como se puede observar, la AEPD ha querido compilar toda la información relativa a la gestión de los riesgos y las Evaluaciones de Impacto en una completa Guía.
Si quieres aprender más sobre la gestión de los riesgos y la evaluación de impacto, o en refrendar tus habilidades, la AEC ofrece el siguiente curso de especialización para que puedas fortalecer tus conocimientos, Taller práctico de análisis de riesgos y evaluaciones de impacto en protección de datos.
Ana Vicente Cuesta
Equipo Govertis.
Respecto de si tiene o no potestad de control y vigilancia el empresario o empleador en el ámbito privado, es un tema muy trillado del que se ha hablado en numerosas ocasiones. ¿Pero qué pasa en el ámbito público, concretamente en las entidades locales?
En primer lugar, partimos de la afirmación, que la titularidad de los medios tecnológicos (correo electrónico, equipos de sobremesa, etc..) es titularidad de la Administración Local siempre y cuando, dichos soportes se hayan puesto a disposición del empleado con la finalidad de desempeño de las funciones encomendadas a este. Son muchos los pronunciamientos de la Agencia Española de Protección de Datos al respecto, resaltamos entre ellos, el Informe 0464/2013.
Asentado lo anterior, debemos analizar la base de legitimación para poder llevar a cabo la adopción de medidas de control por parte de la Entidad local.
En el ámbito público, en primer lugar, debemos diferenciar:
Por lo que se debe diferenciar la normativa aplicable a ambos supuestos:
En cuanto a los funcionarios de carrera, dicho control estaría legitimado, en primer lugar atendiendo al artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), que establece como principio de conducta de los empleados públicos, entre otros, el deber de no utilizar los recursos y bienes públicos en provecho propio, por lo que, los Ayuntamientos, y otros entes públicos, podrían realizar actuaciones de control del ordenador de sus trabajadores con el fin de verificar el cumplimiento de este deber.
En segundo lugar, la Administración como Responsable de Tratamiento, tal y como indica el artículo 32.1 RGPD debe, por un lado, implementar medidas de seguridad en el tratamiento;
<< Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (…)>>
Y por otro, medidas de seguridad de forma integral, tal y como recoge el artículo 5 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica: así como el artículo 41.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Es por ello, que una de las medidas de seguridad que está obligado a adoptar el Responsable, son aquellas medidas de control concretas, para poder preservar la seguridad de los sistemas de información.
A mayor abundamiento, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales recoge en el artículo 87 el Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral:
“2. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos (…)
En este punto, la Agencia Catalana de Protección de Datos ya puntualizó, en su Dictamen 49/2009, que el Ayuntamiento, en su condición de “empresario”, también podía ejercer un control cuando tuviera como finalidad verificar el cumplimiento por parte de los trabajadores de sus obligaciones laborales, y lo hace en base al artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), anteriormente referenciado.
Finalmente, pero no menos importante, el Tribunal Constitucional (TC) considera que el ejercicio de cualquier derecho fundamental consagrado en nuestra Constitución no es de carácter absoluto, sino que se debe contraponer con el ejercicio de otros derechos o bienes jurídicos protegidos, siendo la función de los órganos jurisdiccionales y, en concreto del TC, preservar el equilibrio necesario ante una posible colisión de intereses contrapuestos.
Es por ello, que para que una actividad de control sea conforme a la legislación se respeten los principios de Necesidad, Legitimidad, Proporcionalidad y Seguridad.
El Equipo Govertis
El Club DPD de la Asociación Española para la Calidad tiene previsto un total de siete encuentros a lo largo del 2019, y ayer se llevó a cabo el segundo de ellos. El Club DPD, que ya cuenta con 200 miembros, se dio cita para tratar algunas de las temáticas de máxima actualidad en lo que a Protección de Datos se refiere. Algunos de los miembros del Club asistieron en persona a este encuentro y al taller práctico posterior, mientras que el resto de miembros pudo seguir el evento vía streaming. Además, aquellas personas interesadas en las temáticas tratadas pero que no pertenecen al Club DPD, tuvieron la ocasión de seguir vía streaming las dos primeras ponencias.
La primera ponencia de la jornada estuvo en manos de Ofelia Tejerina, abogada, Master en Derecho Informático y Doctora en Derecho Constitucional. Además, fue la ganadora del premio Confilegal 2018 en la categoría LegalTech. Ofelia Tejerina abordó el título X de la LOPD-GDD y la libertad de expresión en relación a otros derechos.
Durante su ponencia analizó el artículo 96 de la nueva ley: derecho al testamento digital. También trató aspectos relacionados de gran interés como la desinformación, la libertad de expresión y la libertad de información. Pero Ofelia tejerina puso especial atención en el derecho de rectificación, e hizo varios apuntes de gran relevancia, como el hecho de que «la veracidad no es la verdad absoluta». No te pierdas la ponencia completa:
Leandro Núñez, abogado y socio de Audens fue el encargado de impartir una interesante ponencia, centrada en la elección y supervisión de los encargados del tratamiento. Leandro Núñez habló de la responsabilidad proactiva y la responsabilidad in vigilando, pero lo que conquistó realmente a la audiencia fue su aportación personal sobre lo que debemos buscar a la hora de elegir un tratamiento, una información muy útil para los asistentes al encuentro. Además, a los largo de su ponencia Leandro Núñez habló sobre la labor del DPD. No te pierdas la ponencia completa:
A partir de esta ponencia se elaboró la infografía ¿Cómo elegir un Encargado del Tratamiento? Una guía con 7 claves para ayudarnos en la decisión.
Aunque cualquiera que estuviera interesado en las temáticas tratadas pudo disfrutar de las ponencias de Ofelia Tejerina y Leandro Núñez, solo los miembros del Club DPD pudieron asistir además al taller práctico impartido por Javier Cao, sobre el análisis de riesgos y las evaluaciones de impacto. Javier Cao llevó a cabo una ponencia de lo más completa en la que evaluó los diferentes aspectos a tener en cuenta en un análisis de riesgos. Además, compartió con su audiencia la fuente de los materiales que utiliza para este tipo de análisis, así como para las evaluaciones de impacto.
Este Insight Exclusivo, así como el resto de encuentros, es una iniciativa del Club DPD de la Asociación Española de la Calidad. Este Club está gestionado por Alberto González, quien organiza los espacios y los pone a disposición de los interesados. Además, para la moderación del encuentro contamos con Eduard Chaveli, CEO de Govertis. Los miembros del Club DPD pueden asistir a estos encuentros, pero para ellos la experiencia no termina una vez que finalizan, porque el Club también pone a su disposición el Club DPD Privado, a través de la red social Linkedin, en el que sus miembros pueden plantear dudas e intervenir en los temas de debate.
¿Te gustaría disfrutar de todas las oportunidades que el Club DPD pone a disposición del público? ¡Apúntate al Club DPD! y mantente a la vanguardia en lo referente a Protección de Datos.
KEEP READINGEl Reglamento (UE) 2016/679 General de Protección de Datos (en adelante RGPD o GDPR) establece los requisitos, obligaciones y derechos relativos al tratamiento de datos de carácter personal.
Teniendo en cuenta que el RGPD define al “responsable del tratamiento” como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”.
En el contexto en que una sociedad mercantil sea el Responsable del tratamiento, se plantea la cuestión sobre la forma en que una modificación estructural (por ejemplo una fusión) que afecte al Responsable y cambie la situación de la persona jurídica influye en los derechos de los interesados.
Las sociedades pueden verse afectadas por diversas operaciones societarias de acuerdo con el Real Decreto Legislativo 1/2010 por el que se aprueba el texto refundido de la Ley de Sociedades de Capital y la Ley 3/2009 sobre modificaciones estructurales de las sociedades mercantiles. Entre estas operaciones se encuentran: (i) Transformación de la sociedad (ii)Fusión (iii)Absorción (iv)Escisión (v) Cesión global de activo y pasivo.
En todas ellas, se produce una modificación de la estructura del responsable del tratamiento por lo que cabe preguntarse ¿Qué ocurre con los datos de carácter personal cuando se lleva a cabo una de estas operaciones? ¿Hay una cesión/comunicación de datos entre la sociedad anterior y la resultante del proceso de modificación estructural?
El artículo 19 de Real Decreto 1720/2007 por el que se aprobó el Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, si preveía esta cuestión al indicar, que no se producía cesión de datos en estos casos, sin perjuicio de la obligación del responsable de cumplir con el deber de información
El mismo criterio se mantiene en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en cuyo art. 21 se recoge:
En conclusión, la sociedad resultante de la operación de modificación estructural que hubiera afectado al Responsable del tratamiento, puede continuar realizando el tratamiento que llevaba a cabo el Responsable, ocupando dicha posición.
Este nuevo responsable, debe cumplir con el deber de información de acuerdo con lo indicado en los artículos 13 y 14 del RGPD y con el resto de obligaciones que le sean de aplicación.
Equipo de Govertis
A lo largo de distintos post publicados en nuestro Blog del DPD/DPO hemos tratado la responsabilidad en el tratamiento de los datos personales, sin embrago en estas líneas queremos centrarnos en la Responsabilidad Proactiva o accountability.
Antes de entrar a ver el principio de responsabilidad proactiva en el Reglamento General de Protección de Datos (RGPD), cabe indicar que el Grupo de Trabajo del Artículo 29 (GT29), que fue sustituido tras la plena aplicación del RGPD (el 25 de mayo) por el Comité Europeo de Protección de Datos (CEPD), publicó en 2010 el Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, en el que explicaba su significado y alcance.
El GT29 señalaba que «proviene del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la práctica.» Y también que «el término apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse.»
Como señala la AEPD (Principio Responsabilidad Proactiva) el RGPD, en su artículo 24, describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Para ello las organizaciones han de analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, para pasar a realizar el Análisis de Riesgos. Pasos que se están dando en la adecuación al Reglamento General de Protección de Datos y que les llevará a determinar la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y, como indica el RGPD, que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
Así pues al hablar de Responsabilidad proactiva o accountability nos centrados en dos elementos:
¿Qué medidas encontramos en el RGPD cuya aplicación supone que las organizaciones están siendo proactivas en la adopción de medidas de seguridad?
Medidas técnicas y organizativas que serán revisadas y actualizadas, es decir, el responsable del tratamiento tendrá que evaluar o analizar en todo momento el riesgo, atendiendo también a cualquier cambio en el mismo ya sea, por ejemplo, por nuevos tratamientos de datos personales.
Por último señalar que la responsabilidad proactiva se exige al responsable del tratamiento con independencia de que trate los datos personales por sí mismo o a través de un encargado del tratamiento o subencargados de tratamiento.
El equipo de profesionales de Govertis
KEEP READING
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD) regula, por primera vez, un supuesto de hecho que ha necesitado respuesta legislativa. Así, es el caso de los tratamientos de datos de carácter personal realizados, de manera conjunta, por dos o más entidades, como es el caso de los grupos empresariales. En la práctica, pueden disponer de una base de datos nutrida por las diferentes sociedades mercantiles del grupo, siendo todas éstas las que, sin distinción, deciden sobre el contenido, uso y finalidad del tratamiento de los datos.
Arreglo a la legislación española, hemos entendido que cada una de estas empresas del grupo ostenta la condición de Responsable de Tratamiento, “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”. Sin embargo, no se establecía, a nivel legislativo, la responsabilidad que adquirían. Tan sólo se limitó a señalar que cada una, en condición de Responsable, debía notificar el fichero, tratado simultáneamente, ante la autoridad de control.
Ahora, entendiéndose pertinente por parte del legislador europeo la atribución clara de responsabilidades, cuando estas empresas del grupo determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados CORRESPONSABLES. Y, en tal caso, deben determinar, de modo transparente y de mutuo acuerdo, sus responsabilidades respectivas en el cumplimiento de las obligaciones en protección de datos; en especial, el deber de información y las relativas a la atención de los derechos de los interesados, a cuyos efectos podrá fijarse a un punto de contacto en común.
El grupo empresarial ha de reflejar, debidamente, en el acuerdo las funciones que asumen cada uno y dará a conocer a los interesados los aspectos esenciales del mismo. No obstante, los interesados, independientemente de los términos del acuerdo, podrán ejercer los derechos en protección de datos frente a, y en contra de, cada uno de los Responsables.
Cabe añadir que, el Reglamento establece que si los responsables participan en el mismo tratamiento, cada responsable debe ser considerado responsable de la totalidad de los daños y perjuicios. No obstante, si se acumulan en la misma causa, de conformidad con el Derecho de los Estados miembros, la indemnización puede prorratearse en función de la responsabilidad de cada responsable por los daños y perjuicios causados por el tratamiento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los daños y perjuicios. Todo responsable que haya abonado la totalidad de la indemnización puede interponer recurso posteriormente contra otros responsables que hayan participado en el mismo tratamiento.
Con esto, los términos en los que se articule el acuerdo por parte del grupo son absolutamente relevantes, a los efectos de delimitar las responsabilidades de cada uno y no verse así en un conflicto desagradable.
El Equipo Govertis
El legislador europeo, por primera vez, a través del Reglamento General de Protección de Datos (UE) 2016/679, ha articulado una regulación específica sobre el tratamiento de datos personales de los menores; si bien en España tenemos disposición al respecto. En síntesis, esta es la forma en que se ha regulado a nivel europeo:
a) Ámbito de protección.- Según el citado Reglamento, “los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño.”
A pesar de que la norma europea se haya centrado más en los servicios de la Sociedad de la Información, esto no ha de significar que el tratamiento de datos de menores fuera de este ámbito esté desprotegido por la norma. Las prescripciones en él contenidas pueden ser extrapoladas a los tratamientos de datos fuera de Internet. En todo caso, el tratamiento de los datos personales de un menor a efectos contractuales, se regirán por las disposiciones del Estado miembro, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.
b) Parámetro de la edad.- Ante la disparidad de criterios que encontramos al respecto en los Estados miembros, la norma europea ha optado por fijar una horquilla, entre los 13 y 16 años de edad; entendiéndose que, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. No obstante, los Estados miembros podrán establecer por ley una edad inferior a los 16 años, pero que, en ningún caso, será inferior a 13 años.
c) Modo de informar.- La información será concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre todo, por estar dirigida específicamente a un niño.
d) Verificación de la edad.- En la recogida de datos del menor, el Responsable del Tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
El equipo de profesionales de Govertis
