Entradas

El contrato de tratamiento de datos ¿le das la importancia que tiene?

Tanto si manejas datos personales de tus clientes, trabajadores, usuarios, etc como si prestas servicios profesionales o comerciales que impliquen acceder a datos de tus clientes, dale la importancia que se merece a estos contratos.

Invito a los lectores de este post a que hagan un ejercicio de trasladar una cuestión jurídica y de cumplimiento como es el contrato de tratamiento de datos o de «encargo de tratamiento» al ámbito de lo cotidiano.

Imaginemos que estamos buscando a una persona que cuide a nuestro hijo/hija. Difícil elección. A los hijos no los dejamos con cualquiera. Después de descartar las opciones «de casa»: «tú vienes antes del trabajo» o «yo cambio el horario», lo normal, es acudir a amigos y conocidos para preguntar. Algunos inclusos buscan «agencias» especializadas o incluso ludotecas u otras opciones. Empieza la selección.

Lo que tenemos claro es que es una elección delicada: la persona que se quedará con nuestro retoño tendrá margen de acción: le llevará al parque, le preparará o comprará la merienda, decidirá si hace buena tarde para dar un paseo o si se queda jugando con otros niños un rato más a la salida del colegio, si hace frío le pondrá el abrigo y si hace mala tarde se irá a casa donde evitará tenerle frente a la televisión toda la tarde… En definitiva, tomará decisiones y si es una persona responsable, serán acertadas y estaremos encantados.

Pero si esa persona se extralimita de sus «funciones» y en lugar del bocadillo correspondiente le compra a diario chuches y bollería industrial, se lo lleva de «parranda» a hacer cosas no propias de niños o incluso a casa de un conocido, no sólo no nos parecerá bien sino que estará poniendo en peligro a nuestro bien más preciado.

Con los datos y los encargados de tratamiento pasa algo parecido.

Son muchas las gestiones que las empresas y profesionales se ven obligadas a externalizar: sin ir más lejos: la gestión laboral, contable y fiscal, los servicios de hosting, de correo electrónico, de copias de seguridad, de gestión y mantenimiento de la web son servicios más que habituales que se encomiendan a terceros a cambio de una contraprestación.

Esos terceros (los encargados de tratamiento) acceden a datos personales de los que es Responsable la empresa o el profesional (es decir, acceden a nuestro «niño»). Y tienen una obligación de «buen hacer» que debe recogerse en un contrato con unas especificaciones concretas: las descritas en el artículo 28 del Reglamento UE 2016/679 General de Protección de Datos (RGPD o GDPR).

  • No pueden hacer con los datos lo que quieran: sino lo que el Responsable les haya indicado: lleva al niño a judo después de merendar y después a casa.
  • No pueden subcontratar sin autorización (a veces se autoriza la subcontratación de servicios auxiliares pero no del servicio en sí mismo: te dejo que compres la merienda en algún sitio pero no te dejo que sea otra persona distinta de tí la que cuide a mi descendencia…)
  • Por supuesto que tiene que cumplir con el RGPD y adoptar medidas de seguridad suficientes para garantizar la confidencialidad de los datos (¿no le exigimos algo parecido a nuestra persona de confianza niñero/a? ¿Qué menos que no cruce por sitios peligrosos, que sea responsable, que tenga higiene, en definitiva… que sea diligente).
  • Por eso son tan importantes estos contratos. Y antes de su firma, es imprescindible elegir bien al  proveedor. Y cuanto más crítico sea ese proveedor, más exigente debemos ser. Tal es así que el RGPD dice que: el responsable «elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.»
  • Hay que explicar el servicio concreto contratado, el tipo de datos a los que se va a acceder (cuanto más detalle mejor), las operaciones que se realizarán con los datos, dónde estarán los datos, qué se hará con ellos cuando la relación expire…

Si nuestra gestoría, de pronto, pierde los datos (es un caso real) fruto de una brecha de seguridad, es posible que perdamos todos los datos contables (en el caso de las pequeñas empresas, toda la información la suele almacenar la gestoría, al menos en el año fiscal en curso).

Mediante el contrato de tratamiento de datos, la gestoría se compromete a estar preparada para este tipo de contingencias y por ello deberá tener copias de respaldo y medidas de seguridad acordes con el tipo de datos que custodia. Si no lo cumple, se le podrán exigir responsabilidades. También debe restringir el acceso a los datos y formar a su personal….

En lugar de nuestros hijos, tratan nuestros datos, que en una empresa es un bien preciado que se debe proteger y cuidar.

Si la Agencia Tributaria un día nos pide las cuentas y resulta que nuestra gestoría no las tiene… nosotros seremos responsables pero podremos exigir, a su vez, responsabilidades a nuestro proveedor por no haber cumplido lo pactado.

Y si resulta que la gestoría tiene intención de subcontratar servicios auxiliares que estén fuera de la Unión Europea (es decir, nos llevamos al niño fuera del barrio), debe indicarse y autorizarse expresamente e indicar las garantías que tienen dichos servicios.

Firmar sin más un contrato de tratamiento de datos es entregar a nuestro hijo sin poner condiciones ni examinar los detalles del servicio. Los contratos no tienen por qué ser complicados: pueden formar parte del clausulado del propio contrato de servicios, o adjuntarse en anexo o incluso constituir un contrato independiente. Todo vale pero siempre que se haga bien, que lo que se recoge obedezca a la realidad y no se firme un mero «modelo» que nadie se revisa o cuestiona.

¿O es que le dejamos que hagan con los datos cualquier cosa? En todo caso, las relaciones se basan también en la confianza pero ahora que leo lo escrito… ¿no deberíamos firmar también contratos con los cuidadores?

#losdetallesimportan

Paz Martin

Agosto 2021

Diez cosas que toda empresa debe saber ahora sobre protección de datos

28 de enero: DIA EUROPEO DE LA PROTECCIÓN DE DATOS

Llevamos un año extraño, esto es indiscutible. Cualquier actividad económica, empresarial, profesional o personal se ha visto afectada por el Covid19.

En un año han pasado muchas cosas y una de ellas es que la privacidad sigue siendo muy (o más) importante.

La tecnología y los negocios digitales se han convertido en la tabla de salvación de muchos negocios y también de muchas personas que gracias a plataformas, videollamadas y chats se han mantenido conectadas con sus seres queridos a los que no pueden ver.

Por ello la privacidad está, más que nunca, de actualidad.

Y  también actualizados debemos estar los profesionales que no podemos bajar la guardia porque constantemente se producen novedades que afectan a grandes y pequeños. Es nuestra obligación transmitir, de la forma más transparente posible, el alcance de las obligaciones de aquellos que tratan datos. El tamaño no importa.

Proteger los datos y cumplir no admite “suspensiones” ni “confinamientos”. De hecho, es momento, más que nunca para ser ejemplares y transmitir a quienes hacen las cosas bien que este cumplimiento puede ser un plus frente a sus clientes y usuarios.

Ahora mismo hay una serie de aspectos que cualquier empresa -incluimos profesionales- o entidad (grande o pequeña) que trate datos tiene que saber:

1.- Las obligaciones de la normativa de protección de datos están ahí para cumplirlas y no hay excepciones

Muchas empresas simplemente están sobreviviendo. Algunas se están quedando por el camino. Pero ello no es óbice para darle la espalda a los derechos de las personas: trabajadores, clientes, usuarios, proveedores, etc

La pandemia ha convertido el teletrabajo en una alternativa al trabajo presencial (ahora por obligación y en el futuro, por opción) pero ello no puede suponer que se baje la guardia en la seguridad de los datos con las dificultades que para muchas empresas ello supone.

En 2020 se ha producido muchas brechas de seguridad algunas debido a incumplimientos de medidas básicas de seguridad o de una mala gestión de los datos personales. No ha sido fácil pero no hay periodos de gracia que puedan invocarse aquí.

2.- Que las autoridades de protección de datos no han dejado de sancionar

No hay más que echarle un vistazo a las últimas sanciones de la Agencia Española de Protección de Datos pero también de otras autoridades de protección de datos de los estados miembros de la Unión Europea.

Y no sólo se ha sancionado a empresas grandes (dos entidades financieras de primera línea recientemente con una sanción máxima de 6 millones de euros) sino también a empresas pequeñas, startups e incluso a particulares que no han cumplido la normativa.

3.- Que desde julio de 2020, parece que “de repente” existen las transferencias internacionales (no hay mal que por bien no venga)

En el mes de julio el Tribunal de Justicia de la Unión Europea dicta la ya famosa Sentencia Schrems II que declara inválido el Privacy Shield (protocolo que “bendecía” las transferencias internacionales de datos entre la Unión Europea y Estados Unidos).

Ello nos ha obligado a regular esas transferencias internacionales. En la mayoría de las empresas han aflorado transferencias a otros países que ya existían pero que no se había detectado, documentado y comprobado en términos de cumplimiento acorde con el RGPD.

4.- Que estamos hasta el gorro de las cookies pero no nos queda más remedio que hacerlo bien

Ya no hay medias tintas. Las cookies exigen consentimiento expreso. El usuario tiene derecho a saber y a elegir. Las fórmulas “a medias” o poco claras, no valen. La última modificación de la Guía de Cookies de la Agencia Española de Protección de Datos también en julio de 2020 ha obligado a revisar las cookies de todas las webs para identificar perfectamente qué cookies se utilizan y ofrecerle al usuario la posibilidad de seleccionar aquellas que quiere que se instalen.

Aunque ya se habla de un futuro sin cookies (ojo, pero con otros identificadores que hagan funciones similares) de momento las tenemos para rato y la Agencia Española de Protección de Datos es competente para sancionar, no tanto por el RGPD sino en aplicación de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

5.- Que Reino Unido ya no está en la Unión Europea (es decir, en principio que el GDPR no va con ellos…. Con matices)

Reino Unido ya no pertenece al conjunto de los países a cumplir con el RGPD y por lo tanto los datos que viajen a aquel país (por ejemplo el mero hecho de contratar un proveedor tecnológico en aquel país) deberá acogerse a las excepciones contempladas en el propio GDPR (una declaración de adecuación sería lo deseable y es lo esperado pero también existen las cláusulas contractuales tipo y otras alterativas válidas, entre otras soluciones). De momento, se ha concedido un periodo de seis meses adicionales.

6.- Que no sólo se sanciona a los grandes.

Ya lo hemos comentado antes pero conviene insistir. Que sancionen a un banco parece que aleja la preocupación de los pequeños. Pero ojo: ya hay sanciones por no informar adecuadamente en las políticas de privacidad de la web, por enviar correos electrónicos con copia abierta a otros destinatarios, por no haber adoptado medidas de seguridad y en el caso de particulares, por haber difundido contenidos ilícitos sin el consentimiento de los interesados, por poner un ejemplo.

Si bien la cuantía de las sanciones suele ser proporcional y se aprecian muchos «apercibimientos» como medida sancionadora muy utilizada, no es motivo para dejar de trabajar en modelos de cumplimiento normativo y de mejora continua.

7.- Que el Reglamento E-Privacy que va por la no-se-cuantas versiones está en el horno

Llevamos más de cuatro años esperando el texto que actualizará entre otros aspectos la privacidad de las comunicaciones electrónicas, el régimen de las comunicaciones comerciales electrónicas o las cookies.

Recientemente bajo la presidencia portuguesa se ha publicado una última versión que está siendo objeto de debate. Otro texto al que nos tendremos que adaptar y que será (como todo Reglamento) de directa aplicación en todos los países de la Unión Europea. A estos efectos es interesante conocer la declaración que recientemente ha realizado el Comité Europeo de Protección de Datos al respecto.

8.- Que nos hemos vuelto tecnológicamente más dependientes y por ello hay que extremar las cautelas

A veces asusta lo dependientes que somos de la tecnología. Ya hay muchas empresas  sin papeles lo cual medioambientalmente es muy sostenible pero también nos hace más vulnerables.

La seguridad cobra un papel fundamental no sólo como una cuestión prioritaria para proteger la información en general sino como una política «de la casa» que debe transmitir a sus empleados y colaboradores una forma de trabajar y unos hábitos de seguridad «saludable».

No invertir en ciberseguridad, no tener un sistema adecuado de copias, de detección de virus e intrusos, etc puede echar al traste con la información (y con los datos personales) de cualquier organización. Y aquí, el tamaño tampoco importa.

9.- Que los negocios online están triunfando “Digital businesses don´t stop”

Aquí hablamos desde nuestra experiencia. Aquel que ha llevado su negocio tradicional al mundo digital (o al menos su visibilidad) o al menos lo compatibiliza tiene más opciones de sobrevivir.

La pandemia nos ha enseñado que hasta un fisioterapeuta puede «reinventarse» ofreciendo sesiones «virtuales» u otras alternativas. Los bares y restaurantes se han apuntado a plataformas de «delivery» y empresas y profesionales que tradicionalmente sólo atendían presencialmente, han encontrado una alternativa a su negocio. Ello implica cumplimiento normativo trasversal (ecommerce, protección de datos, propiedad intelectual, derecho de los consumidores, etc)

10.- Que a veces somos paranoicos con la privacidad justo cuando menos hace falta: ejemplo, las aplicaciones de rastreo.

La mayor sensibilización poblacional sobre su privacidad siempre es buena pero, en este caso, no se ha puesto el ojo en el lugar correcto.

En la era del selfie y de las fotografías absurdas a todo lo que se mueve (y lo que no), cuando el propio individuo “vende” su alma al diablo tecnológico nos entran los escrúpulos con las aplicaciones de rastreo porque… “vete tú a saber qué se hace con los datos”. Como dice una amiga Meeeecccc, error. Qué útil hubiera sido poder detectar cómo nos estábamos contagiando, en qué lugares y circunstancias.

Tal vez se hubiera podido controlar todo mejor. Las aplicaciones de rastreo tienen sus pegas y pueden ser muy cuestionables en algunos aspectos pero cuando se trata de salud pública nos hemos convertido en los “tikismikis” de la privacidad.

En nuestra opinión, en estos momentos un poquito de solidaridad en este sentido ayudaría mucho a entender mejor un virus y una enfermedad que tampoco distingue entre grandes y pequeños, ricos o pobres, jóvenes y mayores (aunque lamentablemente estos últimos se están llevando la peor parte.

Y sin enrollarnos mucho más, conviene hacer una reflexión sobre el grado de exposición en las redes sociales y su influencia a todos los niveles en las personas, sobre todo en este último año… pero eso será objeto de otro post.

Echando la vista atrás, estamos mejor en privacidad. Queda mucho por hacer pero el GDPR ha calado y en general existe una mayor transparencia y se ha reforzado el poder soberano del individuo sobre sus datos (al menos en la Unión Europea). Felicitémonos por ello en este día europeo de la protección de datos sin dejar de trabajar.

#losdetallesimportan

Paz Martin

28 de enero de 2021

El Reglamento General de Protección de Datos cumple años. ¿Estamos mejor?

Estamos de celebración. El RGPD (o GDPR para los amigos) cumple dos añitos de pleno funcionamiento.

¿Quién nos iba a decir que dos años después media humanidad iba a estar confinada por un virus (no informático) que nos ha cambiado el orden de las prioridades?

Dos años en los que el RGDP tiene ya un cierto recorrido de aprendizaje, de aplicación y también de cuantiosas sanciones. Dos años que culminan con una prueba de fuego a la privacidad: datos de salud, pasaportes de inmunidad, aplicaciones de contacto, teletrabajo, teleenseñanza, sociedades hiperconectadas…

En estos meses, desde que la Organización Mundial de la Salud declaró la pandemia por Covid19 han sido muchos los temas en los que el RGPD ha estado muy presente. Todas las autoridades de control de la UE han emitido informes, documentos, posiciones y recomendaciones sobre temas diversos: desde la posible restricción de derechos en los declarados estados de alarma (o similares en los países de nuestro entorno) hasta la necesidad de recabar los datos de salud para entender cómo se está comportando el virus y poder atajar su propagación.

Pero el RGPD tiene mucho más recorrido y si miramos atrás, podemos decir que el que más o el que menos ha oído hablar de esta norma; que el que más o el que menos ha intentado aplicarla y el que más o el que menos conoce sus derechos.

Sin embargo y a pesar de los esfuerzos de las autoridades de control, en particular de nuestra Agencia Española de Protección de Datos y de los profesionales que nos dedicamos a ello, todavía queda mucho por hacer. ¿Por qué?

  • Porque todavía no todos aquellos que tratan datos conocen bien sus obligaciones
  • Porque los ciudadanos todavía no conocen bien sus derechos.
  • Porque todavía hay profesionales que no asesoran bien.

Respondiendo a la pregunta de nuestro titular y desde nuestro humilde punto de vista hemos obtenido muchos logros en la protección de este derecho fundamental:

  • Hemos ganado en transparencia:
    • Ahora nos informan mejor, sabemos qué hacen con nuestros datos, si están en la UE o fuera. Si hay terceros que acceden a ellos, cuánto tiempo se conservan, a quién nos tenemos que dirigir para ejercitar nuestros derechos y quién está verdaderamente detrás del tratamiento.
    • La figura del Delegado de Protección de Datos ha contribuido a esta transparencia supervisando actividades, velando por el cumplimiento, asesorando a las entidades y en definitiva convirtiéndose en una figura a la que acudir para cualquier cuestión relacionada con la privacidad. Como decía un antiguo compañero abogado del que mucho aprendí: si no hay nadie que específicamente se ocupe del asunto, el asunto no sale. El hecho de contar un DPO, ya en sí mismo, implica que la organización tiene claro que hay “alguien” a quien deben consultarse las cosas. Y ello se traduce en hacer las cosas mejor.
    • El hacer una reflexión sobre las finalidad, las bases de legitimación, los destinatarios, las transferencias internacionales y muy importante, sobre los riesgos, ayuda a las organizaciones a saber lo que tienen entre manos en términos de privacidad.
  • Hemos ganado en concienciación:
    • Es difícil encontrar ya empresas o profesionales que no les “suene” que existe una normativa de protección de datos que tienen que cumplir (todavía se encuentra algún “mirlo blanco” pero es excepcional.
    • En las organizaciones, a poco que hayan hecho los deberes, se sabe que “no todo vale”, especialmente los departamentos comerciales y de marketing que antiguamente eran los auténticos agujeros negros de los datos.
    • Los propios ciudadanos saben que tienen derecho a decidir sobre sus datos, a no recibir información comercial no deseada, a que no se haga tratamiento de sus datos si no lo han consentido…
    • Existe mayor reticencia a descargarse aplicaciones que piden permisos por encima de lo necesario o cuyo uso es dudoso.
  • Hemos ganado en homogeneidad:
    • Antes del RGPD teníamos veintiocho regulaciones de privacidad bajo el paraguas de la antigua Directiva. El RGPD nos igualó a todos. Hablamos el mismo lenguaje de “privacidad”. Los principios son los mismos para todos, las obligaciones, los derechos… Esto ayuda cuando una empresa u organización tiene presencia en varios países. No obstante, aquí todavía existe un principio de “lado oscuro” que exponemos más adelante.

Sin embargo, nuestra opinión es que hay algunos aspectos que quizás, de forma inevitable, van unidos a lo anterior y que podemos considerar como «menos positivos» (el lado oscuro del RGPD):

  • No nos hemos deshecho de documentación sino más bien todo lo contrario
    • Para demostrar el cumplimiento debemos hacer las cosas bien y ser capaces de probarlo. Para ello la documentación es esencial. Y son muchas las obligaciones que hay que probar: procedimientos, políticas, modelos, comunicaciones, instrucciones…. El volumen ha aumentado sin lugar dudas.
  • La responsabilidad proactiva y el enfoque desde el riesgo genera problemas a muchas empresas que no saben muy bien lo que tienen que hacer
    • El trasladar a las empresas la responsabilidad sobre lo que tienen que hacer en lugar de establecer “lo que tienen que hacer” de forma clara en una ley genera problemas. Todavía es difícil hacer entender que en ningún sitio de la Ley pone que hay que hacer copias de seguridad por ejemplo, cada semana y que la periodicidad dependerá de la organización. El “y donde pone eso” exige explicación exhaustiva que pasa por explicar el principio de accountability y la nueva perspectiva de cumplimiento desde el riesgo y desde el diseño y por defecto.
  • Los ciudadanos ejercen sus derechos pensando que la protección de datos es absoluta
    • No es extraño encontrar a un cliente que exige que se borren sus datos a pesar de que su pedido se encuentra pendiente. O que retira su consentimiento cuando la base de legitimación es otra…
    • Todavía al preguntar en las formaciones si los asistentes conocen sus derechos, existe confusión… de todas formas estamos mucho mejor en este punto.
  • A pesar de la homogeneidad en la regulación, cada autoridad de control está adoptando criterios propios que afectan a sus respectivos países y que al final vuelven a parcelar el mercado europeo
    • En estos días de confinamiento, las diferentes autoridades de control se están pronunciando sobre aspectos relativos a la privacidad relacionada con el Covid19 tales como la toma de temperatura, los controles de salud, pasaportes de inmunidad etc. Existen matices según el país y algunos no coinciden.
    • Lo mismo sucede en materia de cookies, sanciones etc. Cada país sigue sus propios criterios (bajo el paraguas del GDPR siempre eso sí) que provoca situaciones curiosas.

En todo caso los avances son indudables. Este derecho fundamental ocupa un lugar importante en la mente de los ciudadanos. Las empresas intentan hacerlo mejor que antes. Dos años de rodaje y el balance es positivo.

Que cumpla muchos más. Y que estemos aquí para ayudar a cumplirlo.

 

25 de mayo de 2020

 

Paz Martin

#losdetallesimportan

El teletrabajo y sus implicaciones legales: seminario online

El teletrabajo se ha convertido, queramos o no, en una forma de continuar la actividad en muchas empresas como consecuencia de la declaración del estado de alarma.

El Círculo de Empresarios de Galicia ha celebrado un seminario titulado «Gestión Legal del teletrabajo: mecanismos para la nueva realidad» en el que hemos abordado este tema desde una doble perspectiva: la laboral y la de la protección de datos. La primera ha corrido a cargo de Fabián Valero, Director y fundador de Zeres Abogados y uno de los profesionales que más sabe de derecho laboral. Nosotros hemos tenido el honor de hablar un poco de la protección de datos y de las obligaciones que la empresa tiene para trabajar correctamente en este entorno cumpliendo con el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos Personales y de Garantía de los Derechos Digitales.

El seminario ha sido grabado y nos complace ponerlo a vuestra disposición.

Abril de 2020

#losdetallesimportan

 

Desayuno #desdecasa, Fabián Valero Moldes, director general de Zeres Abogados y Paz Martín, abogada y directora de Legal Things Abogados, nos hablan sobre la Gestión legal del teletrabajo y los mecanismos para la nueva realidad.

Publicada por Círculo de Empresarios de Galicia en Jueves, 30 de abril de 2020

¿Es obligatoria la auditoría de protección de datos?

Hoy es el Día Europeo de la Protección de Datos. Toca reflexionar. En esta ocasión vamos a analizar una pregunta recurrente en las organizaciones. Vamos a suponer que el que más o el que menos sabe que la legislación de protección de datos cambió hace un par de años.

Vamos a suponer igualmente que el que más o el que menos hizo los deberes e hizo el esfuerzo de «adaptarse» a la nueva normativa es decir el Reglamento UE 2016/679 General de Protección de Datos o RGPD (esto ya es mucho suponer).

Y realizado el esfuerzo (los que lo hicieron) ahora muchos se preguntan ¿hay que hacer auditoría? ¿dónde lo dice? ¿cada cuánto? Y es cuando uno tiene que deshacerse en explicaciones de por qué sin revisión, auditoría o como lo queramos llamar, no existe cumplimiento.

Estamos en enero, mes de buenos propósitos: dietas y matrículas en los gimnasios. La gestión de la privacidad es como el cuerpo humano: hay que cuidarlo y es agradecido. Si te das el atracón y no lo trabajas después, se malogra, se lesiona, enferma y de nada vale apuntarse al gimnasio un mes porque los milagros, por lo menos en este terreno, no existen. Con la privacidad sucede lo mismo. Mayo de 2018 y meses anteriores y posteriores: atracón de privacidad. Algunos desde entonces no han vuelto sobre ello. Craso y grave error. Eso no es cumplir.

Dicen los entrenadores que más vale poco y continuado que no la paliza «de dominguero». Para que el cumplimiento sea eficaz tiene que ser constante y revisable. No hay norma que no requiera ser revisada en el tiempo.

La obligación: Por establecer una base legal nos tenemos que referir de forma obligatoria a una serie de artículos del RGPD:

El artículo 24 dije que las medidas técnicas y organizativas «se revisarán y actualizarán cuando sea necesario». El artículo 32, por su parte obliga a que responsables y encargados apliquen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al reisgo que en su caso incluya, entre otros… un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento».

Ahí tenemos la obligación de «auditoría», sin periodicidad definida pero sí orientativa: cuando sea necesario» y para «garantizar la seguridad del tratamiento».

Si buceamos en sistemas de gestión de la seguridad de la información como la ISO 27001 o el Esquema Nacional de Seguridad comprobaremos que las revisiones son, en general, anuales. Anualmente se revisan partes de los sistemas y cada tres años, se revisan en su totalidad (en el caso de las ISOs para renovar la certificación).

La periodicidad: La normativa anterior establecía una obligación de auditoría al menos cada dos años o cuando existieran cambios en los sistemas de información. Dos años puede ser una orientación pero consideramos que no es suficiente dado el ritmo de las actividades de las entidades: Si en dos años no hacemos nada, es posible que a los dos años tengamos que volver a empezar. Por ello habría que establecer dos pasos:

Procesos de revisión constantes y periódicos, supervisando si se hacen las cosas bien, aplicando el principio de seguridad desde el diseño y por defecto y en definitiva, estando encima. Parece mentira pero con todo y con eso, cuando uno revisa, siempre salen «cosas».

Procesos de auditoría bien globales o parciales (p.e. por actividades de tratamiento estratégicas o críticas para el negocio) que constaten que lo que allí se hace es conforme con la norma y que garantiza adecuadamente la seguridad de los datos personales. Una revisión cada dos años puede estar bien en organizaciones donde no haya grandes cambios y siempre que se realice una revisión constante. En otras, la frecuencia debería ser anual…

Si seguimos con los símiles es algo así como la limpieza diaria y la general. Si uno sólo limpia una vez al año, es posible que lo que encuentre sea algo más que pelusas… E incluso limpiando a diario, la limpieza general es necesaria. Así debe ser la gestión de la privacidad: algo diario, interiorizado en las organizaciones como un elemento más de su gestión empresarial. De esta forma las auditorías no tienen por qué dar miedo sino que serán un instrumento de mejora continua, de reflexión profunda (y más si lo ven «otros» ojos) y de cumplimiento real.

Y muchos nos dicen: «yo soy una pyme, en mí no se fijará nadie». Otro gran error. El incumplimiento acecha a la vuelta de la esquina y el incumplimiento por ignorancia no está recogido como «atenuante».

Por lo tanto, para coger «músculo» en esto de la protección de datos hay que ejercitarlo. Y no hay mejor ejercicio que la revisión permanente y la conciencia de que lo que tenemos entre manos es un derecho fundamental que merece todo nuestra atención y respeto.

Paz Martin

28 de enero de 2020

#losdetallesimportan

Las cookies, el consentimiento y las multas que vienen: si no quieres cookies, no te las comas

O de cómo el RGPD llegó también a las cookies

Desde que entró en funcionamiento el Reglamento General de Protección de Datos (RGPD o GDPR) cualquier recogida de datos personales exige un por qué «legítimo».

Las cookies, además de ser esas galletitas adorables que se comen, son también un medio para recoger datos personales durante la navegación por Internet. Algunas cookies sirven para que no tengamos que elegir idioma cada vez que entramos a una web, por ejemplo. Pero otras, tienen como misión acompañarnos en nuestra navegación y perfilar nuestras preferencias; ahora visitas un periódico, ahora haces la compra, ahora te metes en los deportes, ahora buscas un viaje… Es una forma, bastante eficaz, de conocer los hábitos y preferencias de los usuarios. Pero claro, si de esa monitorización no nos enteramos, parece que la cosa no se está haciendo bien.

¿Por qué? Porque según establece la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) se pueden instalar cookies pero «a condición de que los destinatarios hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular sobre los fines del tratamiento de los datos«.

Ese consentimiento, con el RGPD, ha de ser expreso. Es más debe darse opción a los usuarios para que se opongan a la instalación de las mismas. Es decir, si no quieres cookies, «no te las comas».

La Agencia Española de Protección de Datos está trabajando en una nueva guía de cookies que sustituirá a la anterior. En ella probablemente nos aclararán qué fórmulas de consentimiento son aceptables y cuáles no, cómo rechazar las cookies y cómo configurarlas. Se había anunciado para este verano pero parece que se ha retrasado un poco.

No obstante, se acaba de dictar la primera resolución tras un procedimiento sancionador (PS/00300/2019) que impone una multa de 24000 euros a la compañía VUELING AIRLINES, S.L. . La sanción viene por no dar la opción de oponerse a la instalación de cookies al usuario más allá de remitirle a la configuración de los navegadores para que las bloqueen.

La AEPD afirma: «no se facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva

Es decir que la propia AEPD ya nos está diciendo cómo configurar las cookies:

1.- Consentimiento explícito (como no podía ser de otra forma) con posibilidad de aceptar todas o rechazar todas las cookies.

2.- Consentimiento granular: es decir que sea posible elegir unas sí y otras no (a lo mejor no me importa que se hagan estadísticas de mi navegación pero sí me importa que me inserten cookies de terceros con fines comerciales)

3.- Información y transparencia: informar siempre y dejar claro qué cookies hay y que sea el usuario el que pueda elegir.

Abro aquí un paréntesis: puesto que «Internet somos todos», yo siempre pienso, no ya en los que nos dedicamos a esto, sino en los usuarios que todavía no saben para qué sirven las cookies (que son muchos, ojo). Si hasta la fecha creo que no he conocido a nadie (salvo insisto, los del gremio) que no le dé al «seguir navegando» o «aceptar cookies» sin leer ni una línea, me pregunto cómo explicarles, claramente, qué cookies hay, cuáles son necesarias y cuáles no, cuáles son de terceros y para qué sirven para que, con toda la información puedan aceptarlas o rechazarlas. Más de uno, ante un «pop up» amenazador con tres o cuatro botones saldrá de la página y dirá «quita, quita que me ha salido una cosa muy rara». Una vez más, habrá que ir educando al consumidor.

Hasta la fecha, todas las denuncias sobre el tema habían dado lugar a un «apercibimiento» como mucho por parte de la Agencia Española de Protección de Datos; algo así como un tirón de orejas con propósito de enmienda. Parece que la racha ha terminado y toca ponerse las pilas.

Entre la esperada guía, las sanciones y estas pautas (además de lo que han ido marcando otras autoridades de control de otros países) ya no tenemos excusa para ponernos manos a la obra…

Así que, si no quieres cookies… no te las comas.

Paz Martin

11 de octubre de 2019

#losdetallesimportan

La privacidad en el puesto de trabajo

La seguridad empieza por quienes tratan la información: los empleados

Un día cualquiera, en una oficina cualquiera.

Nos paseamos por los puestos de trabajo. Es la hora de comer pero tenemos una reunión. Los ordenadores están encendidos y se ven las pantallas. Las mesas tienen documentos y papeles. Muchas notas en post its. Nos acercamos: un listado de clientes por aquí, un par de nombres con sus respectivos teléfonos por allá. En algunos casos, incluso alguna contraseña… En alguna esquina, normalmente cerca de la impresora se acumula una pila de «papel sucio»: dicen que les da pena tirarlo y lo utilizan para «notas». Le damos la vuelta, son emails de trabajo, informes, facturas que no valen… En la propia impresora se acumulan documentos que todavía no han sido recogidos…

Lo que acabamos de describir no es extraño. De hecho es bastante frecuente encontrarlo en pequeñas, medianas y grandes empresas. Probablemente en estas empresas hicieron los deberes e iniciaron el camino de adaptación al Reglamento General de Protección de Datos (RGPD). Deseablemente existirán medidas de seguridad para proteger la información. Seguramente exista un responsable informático, de calidad o de seguridad que vea estas cosas y se tire de los pelos…

Y es que cuando hablamos de seguridad, aunque tengamos que hacer planteamientos holísticos que requieren a menudo inversiones y medios, también tenemos que mirar hacia dentro, hacia el último eslabón y erradicar las malas prácticas que se arrastran normalmente por pura comodidad. Como me tengo que levantar muchas veces, no bloqueo el ordenador; es que nos tenemos que aprender tantas contraseñas que se me olvidan; es que nos da pena tirar el papel sucio… En definitiva, sin malas intenciones y sin reparar en las consecuencias, abrimos «agujeros negros» y exponemos la seguridad y la confidencialidad de la información a riesgos innecesarios y fácilmente evitables.

¿Qué hacer?

Podemos hacer muchas cosas, algunas de ellas un poco impopulares porque son incómodas. Aquí algunos consejos:

1.- Concienciar. Si nuestros empleados y colaboradores no entienden que las malas prácticas suponen un riesgo, no moverán un dedo para solucionarlas. Hay que contarlo a través de formación presencial u online. Suena muy reiterativo pero a fuerza de insistir, las personas terminan mentalizándose. Los números son elocuentes: en una plantilla formada y concienciada existe un riesgo mucho menor por ejemplo de que se abran correos maliciosos.

2.- Establecer políticas y normas. Redactar una política que incluya unos mínimos tendrá dos efectos:

  • Transmitir de forma clara cuáles son las normas internas en materia de seguridad.
  • Demostrar en caso de incumplimiento que hemos establecido «reglas»

3.- Automatizar procesos: bloqueo automático a los pocos minutos, cambio de contraseñas periódico, buzones personales en las impresoras, monitores bien orientados en puesto de paso o de atención al público… Pero también poner destructoras y buzones cerrados para la destrucción confidencial de información. Tal vez sea molesto al principio pero son mínimos irrenunciables. Todo aquello que se pueda configurar «por defecto», hágase. Si esperamos que las personas lo hagan voluntariamente, con el tiempo, no se hará.

4.- Vigilar el cumplimiento. Si nadie denuncia estas situaciones, no se corregirán. Y si se producen, insistir en la formación. En el peor de los casos y ante incumplimientos muy graves la legislación laboral tiene respuestas. Probablemente no hará falta, pero habrá que señalar las cosas que se hacen mal y corregirlas.

5.- Suprimir el papel. En la medida de lo posible, ya que no en todos los negocios es viable. El planeta nos lo agradecerá y evitaremos que en la vida de un documento en papel desaparezcan los múltiples riesgos asociados: dónde se guarda, quién accede, cómo se destruye, etc. Si el papel es imprescindible que sea el mínimo, que tenga su lugar de almacenamiento (a ser posible con llave) y normas claras de uso.

Se dice constantemente que, en seguridad, el eslabón más débil de la cadena siempre es el usuario. No lo descuidemos. Ayudemos entre todos a crear un entorno seguro. Todos los días surgen nuevas amenazas: informemos de ellas y demos herramientas para detectarlas.

La responsabilidad proactiva que nos exige el RGPD empieza por aquí…

Madrid, 2 de octubre de 2019

Paz Martin

LEGAL THINGS ABOGADOS

Lo que hemos aprendido en un año de RGPD: la privacidad importa

De la desidia del dato a la catarsis colectiva

25 de mayo de 2018: ni un solo asesor de este país (y seguramente del resto de los países de la Unión Europea) durmió tranquilo. Es más, probablemente ni durmió. Aquello parecía una carrera contra reloj. Parecía que el filo de la guillotina sancionadora caería ese mismo día y el que no estuviera adaptado ardería en los infiernos de las autoridades de control…

Lo curioso fue que aquellos a los que la privacidad no les había importado hasta la fecha, fueron los que más prisa metieron a sus asesores para “adaptarse”.

Acciones masivas de petición de consentimiento (alguna innecesarias) enviadas el 24 de mayo por la noche, cláusulas informativas, contratos, registros de actividades de tratamiento, análisis de riesgos, políticas, procedimientos de brechas y derechos…

Y llegó el día 26, el 27…. Y no pasó nada… Ya lo sabíamos.

Bueno sí paso, pasó que por fin la privacidad importa. Y sólo por eso ha merecido la pena.
Hemos ganado en transparencia: ahora nos informan mejor y más claro (algunos se pasan y han convertido pequeños textos en verdaderos tratados de privacidad.
Hemos ganado en buenas prácticas :nos piden el consentimiento para todo, incluso cuando el consentimiento no es necesario…
El cumplimiento es un poquito más real que antes: ya no hablamos de carpetas y modelos cubiertos de polvo (físico o virtual pues pocas carpetas físicas se ven ahora). Ahora se trata de hacer las cosas bien, de que los datos se respeten, se conserven adecuadamente, se informe bien, se atiendan los derechos. No sólo que conste en algún documento…

Por fin la protección de datos ha trascendido el departamento legal o de informática de las empresas y se ha convertido en cosa de todos. Hemos ganado las personas.

Y más allá de las obligaciones establecidas en el RGPD y posteriormente en la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y de garantía de derechos digitales, las empresas han tomado conciencia que los datos personales hay que protegerlos porque protegen derechos fundamentales: porque en un mundo tan hiperconectado, tan expuesto a través de Internet y redes sociales, donde nuestros datos se cruzan y hasta nuestro banco o Facebook sabe más de nuestros gustos que nosotros mismos… las personas seguimos teniendo nuestro reducto de intimidad que merece y debe ser protegido.

El RGPD también ha servido para concienciar a las personas de que una vez que difundan sus datos, a veces es difícil controlarlos, pero no imposible pues existen derechos. Y estos derechos tienen que ser satisfechos por aquellos que tienen nuestros datos.
No obstante, no cantemos victoria. Somos como somos y muchos hicieron los deberes y se han relajado. Y no, toca estar encima, revisar, controlar, auditar, mejorar.

No hay procedimiento de cumplimiento normativo que se precie que sea estático. Es más, es preferible ir poco a poco. La responsabilidad proactiva nos exige estar encima: no sirve hacer dieta un mes: hay que llevar una alimentación saludable. Los resultados a lo mejor no son inmediatos pero a largo plazo es infinitamente mejor.

Por eso, un año después debemos reflexionar:

1.- ¿Nos sigue importando la privacidad o nos lo tomamos como un trámite que había que cumplir? ¿Fue la dieta del bikini o un plan a largo plazo de cumplimiento real? El propio RGPd exige revisión y mejora continua así que más importante que haber corrido en el 2018 es seguir alerta, revisando y actualizando los tratamientos de datos.

2.- ¿Seguimos concienciando a nuestro personal de forma periódica? Una charla se olvida. Además, siempre hay aspectos de seguridad, de organización o de negocio que afectan a los datos personales sobre los que merece la pena insistir.

3.- ¿Hemos revisado cómo lo estamos haciendo? Un año después es buen momento. Aunque el RGPD ya no establece una periodicidad concreta en las auditorías, todos los sistemas de gestión de la seguridad de la información establecen controles anuales, mejor externos aunque lo importante es la revisión.

4.- ¿Estamos documentando la respuesta a la petición de derechos? Los derechos de las personas son importantes y garantizar su atención, prioritario.

5.- Tal vez es momento de actualizar el Registro de Actividades de Tratamiento. Muchas empresas se basaron en los ficheros que históricamente tenían declarados ante la Agencia Española de Protección de Datos pero probablemente se pueda “profundizar” un poco más. La responsabilidad proactiva también exige reflexionar sobre esto.

6.- ¿Tenemos los mismos riesgos que el año pasado? También tenemos que actualizar el análisis de riesgos pues es posible que los de cumplimiento hayan disminuido pero existan otros nuevos. O incluso que podamos actualizar la valoración.

7.- ¿Hemos tenido alguna brecha de seguridad? En caso afirmativo ¿ha funcionado el procedimiento que establecimos? Si no hemos tenido brechas ¿estamos documentando las incidencias?

8.- ¿Existen tratamientos de datos personales nuevos? En caso afirmativo, ¿se informa desde la recogida y si procede, se solicita el consentimiento explícito? Según el tipo de datos y sus circunstancias, tal vez es necesario realizar una Evaluación de Impacto.

9.- ¿Se han firmado contratos con todos los proveedores con acceso a datos? Aunque si existían antes existe una moratoria hasta 2022, conviene que dichos contratos se actualicen al RGPD y sobre todo, en aquellos proveedores tecnológicos, que especifiquen las medidas de seguridad que van a garantizar la confidencialidad, integridad y disponibilidad de los datos a los que tendrán acceso por el servicio prestado.

10.- En definitiva, ¿nos sentimos cómodos con el sistema de gestión de la privacidad que hemos establecido? A lo mejor tenemos que hacer algunos cambios, actualizar responsabilidades, etc. Nada es inamovible. Lo importante es que…

#laprivacidadimporta

 

Mayo de 2019
Paz Martin
#losdetallesimportan

10 cosas que tienes que saber de la nueva Ley Orgánica de Protección de Datos y de garantía de los derechos digitales

El 7 de diciembre de 2018 ha entrado en vigor la esperada nueva Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales.

En una primera lectura (cuyo contenido ya conocíamos en parte por los proyectos que hemos ido manejando) sobra una buena parte de la ley al remitir en muchos artículos a lo que dice el Reglamento (UE) 2016/679 General de Protección de Datos si bien en la exposición de motivos, se justifica por razones de coherencia.

Como sabemos el RGPD es directamente aplicable y sólo en aquellos puntos que remite al desarrollo de los estados miembros es en lo que se tenía que haber metido la Ley. No obstante, al ser redundante en muchos puntos, no molesta. Peor sería que contradijese el RGPD.

Sin ánimo de ser exhaustivos y en una primera lectura destacamos algunos puntos importantes (ojo que no están todos). En futuros posts desarrollaremos algunos artículos que consideramos lo suficientemente relevantes como para dedicarles un capítulo aparte.

Aquí nuestro decálogo:

1.- No sólo regula el derecho a la privacidad

Una de las cuestiones que más llama la atención es que además de regular el derecho fundamental a la protección de datos, se dedica un capítulo entero a los llamados derechos digitales, algo completamente novedoso y que desde luego darán que hablar en su aplicación práctica.

No obstante, esta Ley tiene una función fundamental: adaptar el ordenamiento jurídico patrio al RGPD. La mayor parte de los artículos y las disposiciones adiciones tienen este cometido.

2.- El tratamiento de datos de los menores de edad

Aquí uno de los puntos en los que el RGPD deja plena libertad a los estados miembros para que entre los 13 y los 16 años fijen la edad a partir de la cual los menores pueden dar su consentimiento sin la intervención de sus padres o tutores.

La edad fijada es de 14 años: nos quedamos como estábamos (y en el fondo lo agradecemos especialmente tras las tentativas de bajarlo a 13 en las redacciones iniciales).

3.- El tratamiento de los datos de contacto, empresarios individuales y profesionales liberales

A este tema dedicamos un post anterior. Que sí. Que sí se pueden utilizar estos datos con base al interés legítimo del responsable pero sólo para contactar con estos destinatarios como contactos de una persona jurídica o en su calidad de profesionales.

Este artículo aclara el RGPD en este punto que para el día a día de las empresas es vital. Ojo, que una cosa es el tratamiento de datos y otra es la publicidad comercial por medios electrónicos… (aquí entra en juego la LSSI. No mezclemos).

4.- Sistemas de información de denuncias internas

Otro punto interesante por cuanto tras la reforma del Código Penal en el año 2015 se “bendicen” los sistemas de prevención de riesgos penales (“compliance” para los amigos) que incluyen canales para comunicar infracciones y otras conductas. Hasta la fecha (aunque se había hecho la vista gorda) en España no se admitían las denuncias anónimas en dichos canales de denuncia internos, criterio de nuestra Agencia Española de Protección de Datos que contradecía lo que el entonces Grupo de Trabajo del Artículo 29 admitía en supuestos excepcionales en los que no se pudiera garantizar la confidencialidad.

Al tratarse de tratamientos de datos específicos, el artículo 24 los regula.

Ojo, que además establece un plazo de conservación de TRES MESES tras los cuales deben suprimirse salvo que la finalidad sea dejar evidencia del funcionamiento del modelo de prevención de riesgos penales. En tal caso, las denuncias a las que no se haya dado curso deberán ser anonimizadas.

5.- Otros tratamientos

Se dedican artículos específicos a los sistemas de información crediticia, los tratamientos relacionados con la realización de determinadas operaciones mercantiles, tratamientos con fines de videovigilancia, sistemas de exclusión publicitaria, tratamientos de datos en el ámbito de la función estadística pública, tratamiento de datos con fines de archivo en interés público por parte de las administraciones públicas y los tratamientos de datos relativos a infracciones y sanciones administrativas.

Iremos desarrollando estos tratamientos por las peculiaridades que presentan.

6.- El Delegado de protección de datos

El Delegado de Protección de Datos (DPD o DPO), figura creada por el Reglamento General de Protección de Datos encuentra en esta Ley algunas respuestas:

– En qué casos concretos es obligatorio designar un DPO (por ejemplo colegios profesionales, los centros docentes, entidades aseguradoras y reaseguradoras, y un largo etc que desarrolla el artículo 34.

– Si no se está obligado pero se designa se considerará como una buena práctica y en caso de procedimiento sancionador, será tenido en cuenta para minorar en su caso la posible sanción.

– Se matizan algunas funciones del Delegado de Protección de Datos como la facultad de inspeccionar los procedimientos relacionados con la ley y emitir, recomendaciones, servir de paso previo a la reclamación ante la Agencia Española de Protección de Datos y por supuesto servir de interlocutor con la Agencia.

7.- La obligación de bloqueo

Una novedad de esta Ley Orgánica y que no contempla el RGPD es la de bloquear los datos cuando se proceda a su rectificación o supresión. El bloqueo consiste en identificar los datos, reservar los mismos con las medidas de seguridad correspondientes para impedir su tratamiento (incluyendo la visualización) excepto para ponerlos a disposición de las Administraciones Públicas, jueces y tribunales etc y sólo durante el plazo de prescripción de las obligaciones.

Con lo cual, aunque se solicite la rectificación o la supresión de los datos, no podremos eliminarlos directamente hasta que prescriba el plazo de prescripción para cumplir con las obligaciones legales. Esos datos no se podrán utilizar por nadie.

8.- Las infracciones

Por fin tenemos un catálogo de infracciones que nos dan pistas de los incumplimientos sancionables. La lista es larga y bastante exhaustiva.

Por decirlo de una forma directa, todo lo que no se cumpla o haga bien es sancionable. Si hacemos una lectura al revés de las infracciones nos sale un catálogo de obligaciones (incluso, por qué no, un check list) que se parece bastante al listado de cumplimiento normativo publicado por la Agencia Española de Protección de Datos hace unos meses.

Las infracciones se clasifican en muy graves, graves y leves.

También se establecen unos plazos de prescripción que curiosamente se supeditan a cuantías lo cual no significa que esas cantidades se vinculen a la gravedad.

9.- Los derechos digitales

Aunque sin categoría de derechos fundamentales, el legislador ha aprovechado la coyuntura para definir los nuevos derechos de las personas en su relación con los entornos digitales: derechos como el de la desconexión, el límite en los entornos laborales, de videovigilancia, en la geolocalización, derechos de los menores, etc.

Lo verdaderamente interesante de estos derechos será cómo van a encontrar su aplicación práctica y cómo los ciudadanos podremos hacerlos valer y cumplir.

10.- Modificación de algunas normas

La nueva LOPD modifica diferentes normas que regulan tratamientos de datos específicos y que hacían referencia a la antigua LOPD (la LO 15/1999):

  • Ley Orgánica 5/1985, de 19 de junio del Régimen Electoral General
  • Ley Orgánica 1/1985, de 1 de julio de, del Poder Judicial
  • Ley 14/1986, de 25 de abril, General de Sanidad
  • Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa
  • Ley 1/2000, de 7 de enero de Enjuiciamiento civil
  • Ley Orgánica 6/2001, de 21 de diciembre de Universidades
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
  • Ley Orgánica 2/2006, de 3 de mayo de Educación
  • Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno
  • Ley 39/2015, de 1 de octubre del Procedimiento Administrativo Común de las Administraciones Públicas
  • Estatuto de los Trabajadores aprobado por Real Decreto Legislativo 2/2015 de 23 de octubre
  • Estatuto Básico del Empleado Público aprobado por Real Decreto Legislativo 5/2015 de 30 de octubre

Este es nuestro modesto resumen en el que nos hemos dejado aspectos polémicos sobre el posible uso que los partidos políticos pueden hacer de los datos u otros interesantes como el uso de los datos con fines de investigación.

De ellos hablaremos en futuros artículos.

En estas fechas, además de los dulces navideños, que no se nos atragante la nueva legislación.

18 de diciembre de 2018

Paz Martín

#losdetallesimportan

Se publica la nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales

Hoy 6 de diciembre, día en que se celebra el 40 Aniversario de la Constitución, tenemos el placer de anunciar la publicación en el BOE de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

La esperada nueva LOPD desarrolla aquellos aspectos del Reglamento General de Protección de Datos que entró en funcionamiento el pasado 25 de mayo e incorpora además nuevos derechos en el entorno digital.

6 de diciembre de 2018