Entradas

EL RGPD en Portugal: LEGAL THINGS participa con una ponencia en una jornada organizada por LCG

El Reglamento UE 2016/679 General de Protección de Datos (RGPD) es de directa aplicación en todos los estados miembros de la Unión Europea.

No todos los estados contaban con el mismo nivel de madurez en el cumplimiento de la normativa de protección de datos. Sin embargo, el RGPD ha obligado a todos los países a coger el mismo ritmo. O al menos a intentarlo.

Portugal no ha sido, hasta la fecha, uno de los estados punteros en cumplimiento pero el RGPD está obligando a que grandes y pequeñas empresas se adapten. También las propias autoridades están realizando un enorme esfuerzo por ofrecer soluciones y estructuras acordes con el RGPD.

En este marco, el pasado verano, nuestro despacho fue invitado por nuestros colegas portugueses especialistas en protección de datos LCG . Tuvimos la oportunidad de compartir con un nutrido auditorio nuestra experiencia y visión de cumplimiento como país vecino. Intentamos transmitir todo lo que se ha hecho y todo lo que se está haciendo y se va a hacer para que el cumplimiento del RGPD sea una realidad a todos los niveles. La jornada titulada «Desafios na Implementaçao do RGPD» contó con expertos nacionales de la empresa, la Universidad y de la propia Administración para abordar precisamente los desafíos que la nueva legislación nos ha planteado a todos los ciudadanos de la Unión Europea.

Particularmente nos llamó la atención el hecho de que exista una gran diferencia de cumplimiento entre las grandes compañías y corporaciones y las pymes y los profesionales. Estos últimos tendrán que hacer un doble esfuerzo: reflexionar sobre la privacidad y cumplir con el nuevo RGPD en Portugal. La Autoridad de Control de Protección de Datos en Portugal (Comissão Nacional de Protecção de Dados), ya está trabajando en acercar el RGPD a estos colectivos.

Evidentemente ya ha habilitado los canales obligatorios de notificar tanto los Delegados de Protección de Datos como las violaciones de seguridad.

 

Octubre 2018

 

LEGAL THINGS ABOGADOS imparte formación sobre el RGPD en la Cámara de Comercio de Torrelavega

Seguimos con nuestra apuesta por acercar el RGPD y la protección de datos a las empresas y profesionales explicando y «aterrizando» los conceptos para hacer posible su aplicación práctica

La nueva legislación de protección de datos –RGPD– necesita ser explicada y acercada a las empresas y profesionales que tratan datos personales.

El Reglamento UE 2016/679 General de Protección de Datos o RGPD entró en pleno funcionamiento el pasado 25 de mayo de 2018. Todos los que manejen datos de carácter personal están obligados a cumplirlo.

LEGAL THINGS ABOGADOS ha sido invitado  como despacho especializado, a impartir formación práctica sobre el RGPD en la Cámara de Comercio de Torrelavega en colaboración con SODERCAN.

Con un importante éxito de asistencia y presentada por el Director de la Cámara, durante una mañana nuestra Directora Paz Martín ha expuesto las nuevas obligaciones, los nuevos principios y los derechos que la nueva normativa (el RGPD) conlleva.

Los asistentes han actuado de forma participativa y muy interesados por la materia y se han repasado los aspectos más importantes que afectan sobre todo a empresas y profesionales de Torrelavega:

  • La nueva cultura de la privacidad y de la protección de la información.
  • La importancia de abordar la protección de los datos desde una perspectiva global: jurídica, técnica y organizativa.
  • La necesidad de involucrar a todas las áreas de negocio que manejen datos.
  • La formación del personal.
  • El enfoque desde el riesgo en la adopción de medidas de seguridad.
  • La transparencia en la información.

Estas iniciativas ponen de manifiesto el interés de la empresa cántabra en el cumplimiento y la importancia de acercan normas de esta envergadura al día a día de las actividades de las empresas.

Exponemos el programa y recordamos a nuestros seguidores que la formación a los empleados es una obligación que cualquier sistema de seguridad de la información establece para que el cumplimiento sea real y efectivo:

1.- Introducción a la protección de datos

  • El porqué de una nueva legislación.
  • Diferencias con la normativa anterior.
  • Conceptos básicos

2.- El nuevo Reglamento General de Protección de Datos

  • Principios
  • Derechos
  • Obligaciones

3.- Las obligaciones que todo empresario tiene en materia de protección de datos

  • Registro de actividades de tratamiento
  • Cómo atender los derechos
  • Deber de Información
  • Consentimientos y bases jurídicas de los tratamientos
  • Análisis de riesgos y evaluación de impacto
  • Relaciones con terceros
  • Brechas de seguridad
  • Qué es un Delegado de Protección de Datos

4.- Herramientas y concienciación en materia de seguridad

  • Medidas de seguridad
  • Situaciones de riesgo
  • Qué hacer si…
  • Herramientas, guías y referencias

 

Septiembre de 2018

 

Se aprueban medidas urgentes para cumplir con el RGPD

El RGPD comenzó su andadura el pasado 25 de mayo pero para que se pueda aplicar plenamente, hacen faltan algunas medidas internas.

El lunes 30 de julio y con las maletas a punto para las vacaciones, el Boletín Oficial del Estado ha publicado el Real Decreto-ley 5/2018 de 27 de julio de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, es decir el RPGD.

¿Por qué esto y ahora?

Porque el Reglamento (UE) 2016/679 General de Protección de Datos remite en su articulado a la legislación interna de los estados miembros para determinados aspectos -entre ellos el procedimiento sancionador- y una nueva Ley Orgánica de Protección de Datos (LOPD) recogerá dichos aspectos.

Dicha nueva LOPD está todavía en el horno. Es decir que debiendo haber estado lista el pasado 25 de mayo (ya sabíamos que no llegaba a tiempo) se la espera al menos, para finales de año. Pero mientras tanto la vida sigue y, o aplicábamos antigua LOPD en lo no compatible con el RGPD o nos ponían un «parche» hasta la llegada de la tan ansiada nueva LOPD.

Dicho lo cual, el Real Decreto-ley reseñado recoge básicamente lo siguiente:

1.- Quién tiene competencias para inspección en materia de protección de datos
(artículos 1 y 2)

2.- Régimen sancionador en materia de protección de datos
(artículos 3 a 6)

3.- Procedimientos en caso de posible vulneración de la normativa de protección de datos
(artículos 7 a 14)

Establece igualmente una disposiciones finales entre las que destacan la Disposición transitoria segunda sobre los contratos de encargo de tratamiento (sí esos que las empresas están recibiendo de forma constante en las últimas semanas) y confirma lo que ya decía el proyecto de LOPD: RELAX (esto no lo dice pero se deduce). Los contratos de encargo de tratamiento suscritos antes del 25 de mayo de 2018 bajo el antiguo artículo 12 de la antigua LOPD, mantendrán su vigencia hasta su fecha de vencimiento y si es indefinida hasta el 25 de mayo de 2022.

Dicho lo cual, el que no haya adaptado los contratos, tiene tiempo aunque no conviene dormirse. No obstante, ahí queda y sigue diciendo el artículo que durante estos plazos cualquiera de las partes puede exigir a la otra la modificación del contrato para que se adapte al RGPD, contratos que ahora incluyen más garantías para ambas partes.

Algunas reflexiones:

Al referirse al régimen sancionador se dedica un artículo (el 6) a la prescripción de las sanciones y sorprendentemente se mantiene el baremo de multas que se aplicaba bajo la anterior LOPD aunque sin hacer referencia a su grado (leve, grave o muy grave). ¿Qué lectura podemos hacer? Pues que la Agencia Española de Protección de Datos seguirá aplicando criterios sancionadores similares a los que aplicaba hasta la fecha sólo que sin el techo de los anteriores 600.000 euros. Es una reflexión que tal vez se confirme con la nueva LOPD o no.
Mientras tanto, las infracciones «normales» (es decir las que pueden ser sancionadas con hasta 10 millones de euros) prescribirán en dos años. Y las muy graves (hasta 20 millones en tres años.

Las sanciones prescribirán de la siguiente forma:

a) Hasta 40.000 euros, en un año
b) de 40.001 a 300.000 en dos años
c) Más de 300.001, en tres años.

Ya tenemos procedimiento sancionador para ir tirando con los nuevos procedimientos que se pongan en marcha. La seguridad jurídica es importante.

Necesitamos la nueva LOPD para otras cuestiones para dejar el menor espacio a las interpretaciones sobre la vigencia de la ya obsoleta LOPD anterior.

Superado el «trauma» del 25 de mayo, todos empezamos el rodaje del RGPD. Las empresas empiezan a entender cuáles son sus obligaciones más importantes. Lo importante, que no se nos olvide: proteger los derechos de las personas y el derecho a la privacidad, que hoy en día, es uno de los que más necesitados se encuentra.

Paz Martín
31 de julio de 2018

Cómo analizar los riesgos para cumplir con el RGPD

Todas las empresas (también las pequeñas) deben enfocar el cumplimiento de la privacidad desde el riesgo.

 

Se ha generado una pequeña confusión entre la obligación de hacer análisis de riegos y la obligación de hacer una evaluación de impacto.

Son dos conceptos diferentes: el análisis de riesgos será obligatorio en todo caso. La evaluación de impacto sólo será necesaria en determinados casos.

La Agencia Española de Protección de Datos acaba de publicar dos guías que forman parte del paquete de “ayuda” a los Responsables y Encargados de tratamiento, es decir a empresas, profesionales e instituciones (públicas o privadas) que realizan tratamiento de datos personales y deben cumplir con el Reglamento UE 2016/679 General de Protección de Datos (RGPD).

 

Las guías ayudan, aclaran algunos conceptos y pueden servir como herramientas metodológicas muy muy simples (al menos la de análisis de riesgos) para realizar el análisis de riesgos que en principio todo Responsable de tratamiento debería hacer en cumplimiento de dos principios acuñados por el RGPD: el de accountability o responsabilidad proactiva y el de privacidad desde el diseño y por defecto. Nos ofrece algunas pistas que nos pueden resultar útiles para abordar el cumplimiento del RGPD.

 

En efecto, el RGPD se refiere en diferentes artículos de su texto al riesgo, a la adopción de medidas de seguridad teniendo en cuenta el riesgo y en definitiva a un enfoque completamente distinto al que conocíamos hasta ahora. Enfoque en el que las exigencias de seguridad nos igualaban a todos “por arriba” sin tener en cuenta las circunstancias de una pyme o de una compleja multinacional.

 

Es evidente que hoy en día ninguna actividad se entiende sin la gestión de riesgos: económicos, patrimoniales, de negocio… La protección de datos no podía abstraerse a este escenario y exige que los responsables de tratamiento sean conscientes de lo que tienen entre manos para de esta forma actuar en uno u otro sentido.

 

Para gestionar riesgos (cualesquiera) hay que seguir tres pasos diferenciados:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Digamos que este es el esquema básico de cualquier tratamiento de riesgo.

En materia de protección de Datos podríamos movernos en los dimensiones:

A) Los riesgos asociados a la protección de la información

B) Los riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

A) Riesgos asociados a la protección de la información

 

Todos los esquemas de seguridad de la información suelen identificar las amenazas en tres planos:

  • La confidencialidad
  • La integridad
  • La disponibilidad

 

Es decir, pueden existir amenazas que afecten a la confidencialidad, a la integridad y a la disponibilidad independientemente o a la vez pero en definitiva habrá que adoptar aquellas medidas necesarias para garantizarlas.

 

Un simple ejemplo: una medida que garantiza confidencialidad será, por ejemplo, un acuerdo de confidencialidad que firma un trabajador pero también una política correcta de accesos.

 

La integridad se verá protegida con esa misma política de accesos y de roles en la organización para evitar que los datos sean alterados (imaginemos lo importante que puede ser que en un historial médico no se alteren por ejemplo los miligramos de un medicamento que se le está dispensando a un paciente de un hospital). Las medidas de seguridad que se adopten deberán garantizar el mínimo privilegio, el registro de los mismos y la trazabilidad de los accesos para que se deje constancia, en cada momento, de quién accede a qué.

La disponibilidad implica que el caso de un evento que implique una destrucción imaginemos de los datos, podamos garantizar que el negocio continúa (de ahí la importancia de las copias de seguridad) en el menor tiempo posible. En algunos negocios (cada vez menos) la copia semanal puede ser suficiente pero en la mayoría la copia diaria es imprescindible. También las pruebas periódicas de restauración son importantes no sea que descubramos que las copias de seguridad no se están haciendo correctamente…

 

Y para identificar esta amenazas tenemos que:

  • Conocer el negocio: volviendo al ejemplo no es lo mismo un hospital que una pequeña clínica
  • Conocer el sector
  • Conocer las medidas de seguridad

 

Las amenazas serán esas situaciones, eventos o hechos que puedan afectar a esos tres parámetros y de ellas se derivará un riesgo (con una valoración en términos de probabilidad e impacto) que habrá que tratar. Ni más ni menos.

 

Son especialmente útiles en este sentido los estándares de seguridad de la información (Esquema Nacional de Seguridad, ISO  27001 y similares) que permiten analizar y abordar esta parte de los riesgos desde el rigor y la objetividad.

B) Existirán por otro lado, los riesgos asociados al cumplimiento de requisitos regulatorios relacionados con los derechos y libertades de los interesados.

 

La propia Agencia sugiere dos amenazas en este sentido:

  • Procedimientos de satisfacción de derechos
  • Garantías de los principios:
    • Ausencia de legitimidad para el tratamiento de los datos personales
    • Tratamiento ilícito de los datos personales

 

Pero estas dos amenazas se han de traducir en un haz de cuestiones que todo responsable de tratamiento debe analizar:

 

  • Cómo se recogen los consentimientos
  • Cuáles son las bases jurídicas del tratamiento
  • Sus relaciones con terceros
  • Cómo se informa
  • Cómo se contesta a los derechos
  • Cómo se garantizan los principios recogidos en el artículo 5 RGPD

El análisis de riesgos puede ser tan simple o complejo como se quiera pero desde luego enfocado a un negocio concreto, a unas circunstancias concretas que cada asesor, auditor, responsable o DPO debe tener en cuenta.

 

Y ojo, que el análisis de riesgos puede ser una foto fija pero el tratamiento de los mismos no. Sólo en un proceso de comprobación, verificación y evaluación continua se conseguirá minimizar los riesgos y abordarlos de la forma más adecuada a cada organización.

 

Paz Martín

 

Abogado

CDPP

9 de marzo de 2018

 

 

 

 

El uso de una marca ajena como keyword ¿es infracción?

Las empresas siguen mostrando interés por estas conductas de uso de marcas ajenas como adwords que pueden ser o no ilegales en función de las circunstancias.

Según el perfil del lector que tenga curiosidad por el presente post, el primer pensamiento al leer el titular puede ser: por supuesto que no. Google lo permite y además es legal.

Y de hecho es así: utilizar una marca ajena como palabra clave de búsqueda en un buscador no constituye, en principio, infracción alguna. Con independencia de lo poco «elegante» de la práctica. Sin embargo, la cuestión no es tan sencilla.

Empecemos por el principio: Todos luchamos por posicionar nuestras webs en los primeros lugares de los buscadores, en particular Google. Google tiene además su sistema de anuncios, «Adwords», a través del cuál una empresa puede anunciarse de forma que cada vez que alguien busque, por ejemplo, la palabra «ABOGADOS», aparezca nuestro anuncio (aunque no es el caso, podría ser, LEGAL THINGS ABOGADOS). La cuestión estará en que la palabra «abogados» puede estar siendo utilizada por muchos otros despachos y el que nuestro anuncio aparezca en primer lugar puede costar bastante.

Pero ¿y si decidimos elegir la marca o el nombre de un despacho de nuestra competencia? Es decir, que cada vez que alguien busque por «MICOMPETENCIA» aparezca mi anuncio. Aunque a algunos nos sigue pareciendo una estrategia muy agresiva comercialmente y cercana a las prácticas desleales, esta es una práctica completamente lícita y ha sido abordada por los Tribunales.

Una de las primeras Sentencias al respecto la dictó el Tribunal de Justicia de la Unión Europea en el caso Marks & Spencer vs. Interflora (caso 323/09).

Esta Sentencia es la que ha marcado el criterio a seguir en estos casos. Lo que en realidad establece es que sólo existirá infracción cuando exista confusión en cuanto al origen de la oferta y en tal sentido, citamos literalmente, dice:
«El titular de una marca está facultado para prohibir que un competidor haga publicidad –a partir de una palabra clave idéntica a esa marca que el citado competidor seleccionó en el marco de un servicio de referenciación en Internet sin el consentimiento del titular– de productos o servicios idénticos a aquéllos para los que la marca esté registrada, cuando dicho uso pueda menoscabar una de las funciones de la marca.

Este uso:

a) menoscaba la función de indicación del origen de la marca cuando la publicidad mostrada a partir de la palabra clave no permite o permite difícilmente al consumidor normalmente informado y razonablemente atento determinar si los productos o servicios designados por el anuncio proceden del titular de la marca o de una empresa vinculada económicamente a éste o si, por el contrario, proceden de un tercero;

b) en el marco de un servicio de referenciación de las características del que se trata en el litigio principal, no menoscaba la función publicitaria de la marca, y;

c) menoscaba la función de inversión de la marca si supone un obstáculo esencial para que dicho titular emplee su marca para adquirir o conservar una reputación que permita atraer a los consumidores y ganarse una clientela fiel.»
Es decir, estaríamos ante una infracción cuando el consumidor no sea capaz de saber si la oferta del anuncio está, de alguna forma vinculada con el titular de la marca (cosa que puede suceder con las páginas que ofrecen falsificaciones o réplicas de una marca original).

En cambio, dice la propia Sentencia: cuando la publicidad que aparezca en Internet a partir de una palabra clave correspondiente a una marca de renombre proponga una alternativa frente a los productos o a los servicios del titular de la marca de renombre sin ofrecer una simple imitación de los productos o de los servicios del titular de dicha marca, sin causar una dilución o una difuminación y sin menoscabar por lo demás las funciones de la mencionada marca, procede concluir que este uso constituye, en principio, una competencia sana y leal en el sector de los productos o de los servicios de que se trate y, por lo tanto, se realiza con «justa causa» en el sentido de los artículos 5, apartado 2, de la Directiva 89/104 y 9, apartado 1, letra c), del Reglamento nº 40/94.

Puede no gustarnos la conclusión que además, hasta ahora, no ha sido contradicha por ningún otro tribunal, pero la realidad es que si no hay «dilución o difuminación» de la marca estamos ante una competencia «sana y leal».

Si exploramos en la jurisprudencia en otros países de nuestro entorno más allá de las fronteras de la Unión Europea, el criterio es bastante similar y los tribunales difícilmente restringen el uso de la marca ajena si queda claro que el anuncio resultado de la búsqueda es una «alternativa» a los productos o servicios buscados.

En el mismo sentido se ha pronunciado sin modificar un ápice el criterio, nuestro Tribunal Supremo en diferentes Sentencias, las más conocidas la del caso MASALTOS y la del caso ORONA que aunque con diferentes aproximaciones abordan el mismo tema. La Sentencia del Tribunal Supremo 620/2016 de 26 de febrero (caso MASALTOS), el alto Tribunal afirma:

la sentencia sí repara en dicha circunstancia, al afirmar que la ausencia de tales términos en el anuncio indica claramente a los consumidores que se trata de empresas distintas y competidoras de «Maherlo». Respetándose así la función de indicación del origen de la marca a que hemos hecho referencia cuando hemos compendiado los pronunciamientos del TJUE sobre el uso de marcas en buscadores de internet. Es decir, en los términos de la sentencia «Interflora», antes transcritos, no hay menoscabo de la función de la indicación del origen de la marca.

Por su parte, la Sentencia del Tribunal Supremo 541/2017 de 15 de febrero (caso ORONA), aunque aborda la perspectiva desde la posible deslealtad de la práctica desestimando la acción en aplicación de la doctrina de complementariedad relativa, se pronuncia al respecto del uso de las marcas ajenas en el mismo sentido.
Otras Sentencias ya firmes han admitido, en la línea jurisprudencial marcada, que existe infracción al no superarse esa inexistencia de confunsión en el origen empresarial. Nos referimos, entre otras, a la Sentencia del Juzgado de lo Mercantil num. 3 de Valencia de 30 de junio de 2016 (248/2016) en un conflicto por esta materia entre las compañías GEDESCO y FICOMSA.

Como conclusión debemos añadir que si bien la práctica habitual determina que si aparece la marca ajena en el texto del propio anuncio estamos ante una infracción y si no aparece, no; esta afirmación no puede ni debe ser taxativa al encontrarnos en situaciones en las que no apareciendo la marca ajena en el propio texto del anuncio, el origen empresarial es dudoso y ese usuario medio puede no tener claro dónde está entrando…
Muchas dudas se nos plantean: especialmente si todos los usuarios de los buscadores son «razonablemente atentos» o si este planteamiento favorece a las marcas menos conocidas que a las notorias y renombradas…

Si alguien se decide por esta práctica, no está de más consultar previamente con un abogado (además de con los correspondientes expertos en marketing digital) para determinar si la elección de las marcas de la competencia no le va a salir caro discutiendo su estrategia digital en los tribunales por una posible infracción de marca.

Paz Martín

Febrero 2018

Día Europeo de la Protección de Datos: Quedan 117 días para el RGPD ¿Está preparado para el cambio?

Ahora sí que sí. Este es el año. Y este día nos tiene que servir para reflexionar sobre qué estamos haciendo en nuestras organizaciones para cumplir con la nueva legislación de protección de datos: el nuevo Reglamento UE 2016/679 General de Protección de Datos (RGPD).

Hoy 28 de enero es un día especialmente importante porque en este año asistimos a un cambio normativo sin precedentes en la regulación de la privacidad. Todos, empresas y ciudadanos, debemos conocer su alcance.
La Agencia Española de Protección de Datos ha sido fértil en los últimos meses en la publicación de guías y documentos de ayuda. Con motivo de este día ha preparado, entre otras cosas, una infografía que resume los derechos de los ciudadanos.

Pero ¿y las empresas? ¿saben ya el alcance de las nuevas obligaciones? Recordemos sucintamente algunas de las obligaciones que toda entidad que realice tratamiento debe cumplir:

1.- El registro de actividades de tratamiento: ¿sabemos los datos que tratamos y cómo los tratamos? El RGPD obliga a llevar un registro de actividades de tratamiento con una información mínima.
2.- El cumplimiento del principio de responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que se preocupan de los datos que tratan. No es suficiente un cumplimiento formal: hay que demostrarlo día a día.
3.- La revisión de los consentimientos y de las cláusulas de información: los consentimientos por silencio o por defecto ya no son válidos. Ahora tienen que ser específicos para finalidades concretas. Además, ahora hay que informar de algunos nuevos aspectos del tratamiento. Esto exige una revisión de las cláusulas de información y de las formas de recogida de los consentimientos.
4.- La revisión de las relaciones y contratos con terceros con acceso a datos. La elección de un encargado de tratamiento es, en sí misma, una responsabilidad pues debe reunir unas condiciones mínimas y recogerlas en un contrato. Más que nunca debe revisarse y actualizarse la relación de encargados de tratamiento de las organizaciones.
5.- La realización de análisis de riesgos. El nuevo RGPD se enfoca sobre la base del riesgo de los tratamientos y si bien y según la propia Agencia Española de Protección de Datos, el 75% de las empresas españolas tienen datos de riesgo bajo, éstas tienen que ser conscientes de cuáles pueden ser sus riesgos a la hora de tratar datos (y por cierto, aquí el tamaño no importa sino la categoría de los datos y sus «circunstancias»).
6.- La creación de procedimientos para la notificación de brechas de seguridad. Si la organización sufre una «brecha de seguridad» habrá que notificarla a la Agencia Española de Protección de Datos a las 72 horas de haber tenido conocimiento. Esto exige crear un procedimiento de detección e identificación de las incidencias así como su gestión y comunicación y por supuesto, subsanación.
7.- La satisfacción de los nuevos derechos: limitación y portabilidad (además de los ya existentes). Nuevos derechos cuya petición debe atenderse. ¿Saben las empresas cómo? Tendrán que tenerlo previsto.
8.- La designación de un Delegado de Protección de Datos en los casos que establece el RGPD. No en todos los casos pero sí habrá organizaciones que lo necesiten y a ser posible acreditado.

¿Están las empresas grandes y pequeñas preparadas? Parece que no. Y quedan cuatro meses escasos…

Aunque suene a tópico las multas son muy elevadas (20 millones de euros o el 4% de la facturación mundial en los casos más graves). La propia Agencia Española de Protección de Datos ha afirmado que las nuevas exigencias se «aplicarán con flexibilidad pero con rigor» y es que el 25 de mayo está a la vuelta de la esquina. Ojo, no se trata de «empezar» el 25 de mayo sino que en esa fecha ya se debería estar cumpliendo… No hay régimen transitorio pues desde que se publicó el RGPD (en 2016) hemos tenido dos años para concienciarnos, sensibilizarnos y preparar nuestras organizaciones.

Ya no hay excusas: si hasta ahora en su organización no se ha afrontado el cambio, es necesario abordarlo. Recordemos que el derecho a la privacidad es un derecho fundamental y si cada de uno de nosotros reflexiona a título personal coincidiremos que en estos tiempos que corren agradeceremos que nuestros datos estén un poco más seguros.

Paz Martín

Legal Things Abogados

28 de enero de 2018

Día Europeo de la Protección de Datos

¿Qué va a pasar con los ficheros de datos declarados ante la Agencia Española de Protección de Datos?

Como ya sabemos, el 25 de mayo de 2018 será de plena aplicación el nuevo Reglamento UE 2016/679 General de Protección de Datos (al que nos referimos ya como RGPD). Esta nueva legislación establece nuevas obligaciones y sobre todo exige un cambio de mentalidad en la organizaciones en lo que a la protección de la privacidad se refiere.

Sin embargo, una de las obligaciones que hasta la fecha era casi la «protagonista» del cumplimiento formal de la normativa de protección de datos, desaparece: nos estamos refiriendo a la obligación de declarar los ficheros de datos ante el Registro de la Agencia Española de Protección de Datos.

Esta obligación era considerada para muchos la única y principal en lo que a cumplimiento de la ahora vigente LOPD: nada más lejos de la realidad. Sin embargo sí ha servido durante estos casi dieciocho años para comprobar la estructura de los tratamientos en las organizaciones, la tipología de los datos tratados, las actividades e incluso la propia estructura interna de las organizaciones (si tienen o no canal de denuncias, si tienen o no cámaras de videovigilancia, etc).

El RGPD no contempla esta obligación y por lo tanto, a partir del 25 de mayo, ya no será necesario comunicar los ficheros ante la Agencia Española de Protección de Datos.

Hasta entonces ¿sigue siendo obligatorio declarar ficheros?

La respuesta es sí. La actual LOPD quedará sin efecto con la entrada en vigor del nuevo Reglamento que como sabemos deroga la Directiva 95/46/CE de la que deriva nuestra actual LOPD. Por lo tanto, y mientras tanto, será obligatorio declarar ficheros, actualizar lo que corresponda y cancelar los que ya no existan.

Pero además existe una nueva obligación contemplada en el RGPD para la que la declaración actual de los ficheros es clave: la obligación de registro de las actividad de tratamiento establecida en el artículo 30. Pero ojo, esta obligación no aplica en todos los casos:

  • No se aplica a empresas u organizaciones que emplee a menos de 250 personas
  • A menos que el tratamiento que realice pueda entrañar un reisgo para los derechos y libertades de los intereados
  • No sea ocasional
  • o incluya categorías especiales de datos personales
  • o datos personales relativos a condenas e infracciones penales

¿En qué consiste ese «registro de actividades de tratamiento» que establece la nueva legislación?

Pues se trata de llevar una relación de lo que se hace en materia de datos que incluya, al menos:

a) El nombre y los datos de contacto del responsable así como del Delegado de protección de datos

b) Los fines del tratamiento

c) Una descripción de las categorías de interesados y de las categorías de datos personales

d) Las categorías de destinatarios a quienes se comunicaron o cumunicarán los datos personales, incluidos lo que se encuentren en terceros países u organizaciones internacionales

e) las transferencias internacionales de datos

f) Los plazos previstos para la supresión de las diferentes categorías de datos

g) Una descripción, cuando sea posible, de las medidas técnicas y organizativas adoptadas

También los encargados de tratamiento deberán indicar las actividades de tratamiento realizadas para un responsable.

Al que haya declarado ficheros ante la Agencia Española de Protección de Datos, lo anterior no le resultará completamente ajeno por lo que los actuales ficheros podrán servir, sin lugar a dudas, como base para cumplir con la obligación de llevar un registro de actividades de tratamiento puesto que gran parte de la información ya está recogida.

No en vano, la propia Agencia Española de Protección de Datos acaba de habilitar recientemente una nueva funcionalidad en su sede electrónica precisamente para solicitar copia de los ficheros inscritos que será facilita en formato electrónico.

Lo que pase a partir del 25 de mayo de 2018 con ese registro, es, en principio un misterio pues al dejar de ser obligatoria la declaración, el Registro de la Agencia quedará desactualizado aunque no sabemos si se mantendrá un tiempo para facilitar a los responsables la «reconversión» de sus ficheros o si quedará sin acceso. No obstante, antes de la citada fecha, conviene hacer los deberes en los casos en los que la empresa u organización vengan obligados a llevar ese registro.

Por lo tanto y como recomendación:

1.- Revisar los ficheros actuales, actualizando y modificando lo que proceda pues nos van a servir de base para otras obligaciones que sí establece el RGPD.

2.- Solicitar en su caso a la propia Agencia Española de Protección de Datos esa copia para comenzar a confeccionar el registro de actividades de tratamiento descrita en el artículo 30 del RGPD.

3.- Reflexionar y abordar la transición al nuevo Reglamento para que el cumplimiento, llegada la fecha, sea adecuado y no «entren prisas».

4.- Y sobre todo y no menos importante, no está de más, dejarse asesorar por profesionales cualificados que diseñen planes a medida y ayuden en el cumplimiento más adecuado para cada organización.

Paz Martin