Entradas

10 cosas que tienes que saber de la nueva Ley Orgánica de Protección de Datos y de garantía de los derechos digitales

El 7 de diciembre de 2018 ha entrado en vigor la esperada nueva Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales.

En una primera lectura (cuyo contenido ya conocíamos en parte por los proyectos que hemos ido manejando) sobra una buena parte de la ley al remitir en muchos artículos a lo que dice el Reglamento (UE) 2016/679 General de Protección de Datos si bien en la exposición de motivos, se justifica por razones de coherencia.

Como sabemos el RGPD es directamente aplicable y sólo en aquellos puntos que remite al desarrollo de los estados miembros es en lo que se tenía que haber metido la Ley. No obstante, al ser redundante en muchos puntos, no molesta. Peor sería que contradijese el RGPD.

Sin ánimo de ser exhaustivos y en una primera lectura destacamos algunos puntos importantes (ojo que no están todos). En futuros posts desarrollaremos algunos artículos que consideramos lo suficientemente relevantes como para dedicarles un capítulo aparte.

Aquí nuestro decálogo:

1.- No sólo regula el derecho a la privacidad

Una de las cuestiones que más llama la atención es que además de regular el derecho fundamental a la protección de datos, se dedica un capítulo entero a los llamados derechos digitales, algo completamente novedoso y que desde luego darán que hablar en su aplicación práctica.

No obstante, esta Ley tiene una función fundamental: adaptar el ordenamiento jurídico patrio al RGPD. La mayor parte de los artículos y las disposiciones adiciones tienen este cometido.

2.- El tratamiento de datos de los menores de edad

Aquí uno de los puntos en los que el RGPD deja plena libertad a los estados miembros para que entre los 13 y los 16 años fijen la edad a partir de la cual los menores pueden dar su consentimiento sin la intervención de sus padres o tutores.

La edad fijada es de 14 años: nos quedamos como estábamos (y en el fondo lo agradecemos especialmente tras las tentativas de bajarlo a 13 en las redacciones iniciales).

3.- El tratamiento de los datos de contacto, empresarios individuales y profesionales liberales

A este tema dedicamos un post anterior. Que sí. Que sí se pueden utilizar estos datos con base al interés legítimo del responsable pero sólo para contactar con estos destinatarios como contactos de una persona jurídica o en su calidad de profesionales.

Este artículo aclara el RGPD en este punto que para el día a día de las empresas es vital. Ojo, que una cosa es el tratamiento de datos y otra es la publicidad comercial por medios electrónicos… (aquí entra en juego la LSSI. No mezclemos).

4.- Sistemas de información de denuncias internas

Otro punto interesante por cuanto tras la reforma del Código Penal en el año 2015 se “bendicen” los sistemas de prevención de riesgos penales (“compliance” para los amigos) que incluyen canales para comunicar infracciones y otras conductas. Hasta la fecha (aunque se había hecho la vista gorda) en España no se admitían las denuncias anónimas en dichos canales de denuncia internos, criterio de nuestra Agencia Española de Protección de Datos que contradecía lo que el entonces Grupo de Trabajo del Artículo 29 admitía en supuestos excepcionales en los que no se pudiera garantizar la confidencialidad.

Al tratarse de tratamientos de datos específicos, el artículo 24 los regula.

Ojo, que además establece un plazo de conservación de TRES MESES tras los cuales deben suprimirse salvo que la finalidad sea dejar evidencia del funcionamiento del modelo de prevención de riesgos penales. En tal caso, las denuncias a las que no se haya dado curso deberán ser anonimizadas.

5.- Otros tratamientos

Se dedican artículos específicos a los sistemas de información crediticia, los tratamientos relacionados con la realización de determinadas operaciones mercantiles, tratamientos con fines de videovigilancia, sistemas de exclusión publicitaria, tratamientos de datos en el ámbito de la función estadística pública, tratamiento de datos con fines de archivo en interés público por parte de las administraciones públicas y los tratamientos de datos relativos a infracciones y sanciones administrativas.

Iremos desarrollando estos tratamientos por las peculiaridades que presentan.

6.- El Delegado de protección de datos

El Delegado de Protección de Datos (DPD o DPO), figura creada por el Reglamento General de Protección de Datos encuentra en esta Ley algunas respuestas:

– En qué casos concretos es obligatorio designar un DPO (por ejemplo colegios profesionales, los centros docentes, entidades aseguradoras y reaseguradoras, y un largo etc que desarrolla el artículo 34.

– Si no se está obligado pero se designa se considerará como una buena práctica y en caso de procedimiento sancionador, será tenido en cuenta para minorar en su caso la posible sanción.

– Se matizan algunas funciones del Delegado de Protección de Datos como la facultad de inspeccionar los procedimientos relacionados con la ley y emitir, recomendaciones, servir de paso previo a la reclamación ante la Agencia Española de Protección de Datos y por supuesto servir de interlocutor con la Agencia.

7.- La obligación de bloqueo

Una novedad de esta Ley Orgánica y que no contempla el RGPD es la de bloquear los datos cuando se proceda a su rectificación o supresión. El bloqueo consiste en identificar los datos, reservar los mismos con las medidas de seguridad correspondientes para impedir su tratamiento (incluyendo la visualización) excepto para ponerlos a disposición de las Administraciones Públicas, jueces y tribunales etc y sólo durante el plazo de prescripción de las obligaciones.

Con lo cual, aunque se solicite la rectificación o la supresión de los datos, no podremos eliminarlos directamente hasta que prescriba el plazo de prescripción para cumplir con las obligaciones legales. Esos datos no se podrán utilizar por nadie.

8.- Las infracciones

Por fin tenemos un catálogo de infracciones que nos dan pistas de los incumplimientos sancionables. La lista es larga y bastante exhaustiva.

Por decirlo de una forma directa, todo lo que no se cumpla o haga bien es sancionable. Si hacemos una lectura al revés de las infracciones nos sale un catálogo de obligaciones (incluso, por qué no, un check list) que se parece bastante al listado de cumplimiento normativo publicado por la Agencia Española de Protección de Datos hace unos meses.

Las infracciones se clasifican en muy graves, graves y leves.

También se establecen unos plazos de prescripción que curiosamente se supeditan a cuantías lo cual no significa que esas cantidades se vinculen a la gravedad.

9.- Los derechos digitales

Aunque sin categoría de derechos fundamentales, el legislador ha aprovechado la coyuntura para definir los nuevos derechos de las personas en su relación con los entornos digitales: derechos como el de la desconexión, el límite en los entornos laborales, de videovigilancia, en la geolocalización, derechos de los menores, etc.

Lo verdaderamente interesante de estos derechos será cómo van a encontrar su aplicación práctica y cómo los ciudadanos podremos hacerlos valer y cumplir.

10.- Modificación de algunas normas

La nueva LOPD modifica diferentes normas que regulan tratamientos de datos específicos y que hacían referencia a la antigua LOPD (la LO 15/1999):

  • Ley Orgánica 5/1985, de 19 de junio del Régimen Electoral General
  • Ley Orgánica 1/1985, de 1 de julio de, del Poder Judicial
  • Ley 14/1986, de 25 de abril, General de Sanidad
  • Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa
  • Ley 1/2000, de 7 de enero de Enjuiciamiento civil
  • Ley Orgánica 6/2001, de 21 de diciembre de Universidades
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
  • Ley Orgánica 2/2006, de 3 de mayo de Educación
  • Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno
  • Ley 39/2015, de 1 de octubre del Procedimiento Administrativo Común de las Administraciones Públicas
  • Estatuto de los Trabajadores aprobado por Real Decreto Legislativo 2/2015 de 23 de octubre
  • Estatuto Básico del Empleado Público aprobado por Real Decreto Legislativo 5/2015 de 30 de octubre

Este es nuestro modesto resumen en el que nos hemos dejado aspectos polémicos sobre el posible uso que los partidos políticos pueden hacer de los datos u otros interesantes como el uso de los datos con fines de investigación.

De ellos hablaremos en futuros artículos.

En estas fechas, además de los dulces navideños, que no se nos atragante la nueva legislación.

18 de diciembre de 2018

Paz Martín

#losdetallesimportan

Se publica la nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales

Hoy 6 de diciembre, día en que se celebra el 40 Aniversario de la Constitución, tenemos el placer de anunciar la publicación en el BOE de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

La esperada nueva LOPD desarrolla aquellos aspectos del Reglamento General de Protección de Datos que entró en funcionamiento el pasado 25 de mayo e incorpora además nuevos derechos en el entorno digital.

6 de diciembre de 2018

LEGAL THINGS ABOGADOS imparte formación sobre el RGPD en la Cámara de Comercio de Torrelavega

Seguimos con nuestra apuesta por acercar el RGPD y la protección de datos a las empresas y profesionales explicando y “aterrizando” los conceptos para hacer posible su aplicación práctica

La nueva legislación de protección de datos –RGPD– necesita ser explicada y acercada a las empresas y profesionales que tratan datos personales.

El Reglamento UE 2016/679 General de Protección de Datos o RGPD entró en pleno funcionamiento el pasado 25 de mayo de 2018. Todos los que manejen datos de carácter personal están obligados a cumplirlo.

LEGAL THINGS ABOGADOS ha sido invitado  como despacho especializado, a impartir formación práctica sobre el RGPD en la Cámara de Comercio de Torrelavega en colaboración con SODERCAN.

Con un importante éxito de asistencia y presentada por el Director de la Cámara, durante una mañana nuestra Directora Paz Martín ha expuesto las nuevas obligaciones, los nuevos principios y los derechos que la nueva normativa (el RGPD) conlleva.

Los asistentes han actuado de forma participativa y muy interesados por la materia y se han repasado los aspectos más importantes que afectan sobre todo a empresas y profesionales de Torrelavega:

  • La nueva cultura de la privacidad y de la protección de la información.
  • La importancia de abordar la protección de los datos desde una perspectiva global: jurídica, técnica y organizativa.
  • La necesidad de involucrar a todas las áreas de negocio que manejen datos.
  • La formación del personal.
  • El enfoque desde el riesgo en la adopción de medidas de seguridad.
  • La transparencia en la información.

Estas iniciativas ponen de manifiesto el interés de la empresa cántabra en el cumplimiento y la importancia de acercan normas de esta envergadura al día a día de las actividades de las empresas.

Exponemos el programa y recordamos a nuestros seguidores que la formación a los empleados es una obligación que cualquier sistema de seguridad de la información establece para que el cumplimiento sea real y efectivo:

1.- Introducción a la protección de datos

  • El porqué de una nueva legislación.
  • Diferencias con la normativa anterior.
  • Conceptos básicos

2.- El nuevo Reglamento General de Protección de Datos

  • Principios
  • Derechos
  • Obligaciones

3.- Las obligaciones que todo empresario tiene en materia de protección de datos

  • Registro de actividades de tratamiento
  • Cómo atender los derechos
  • Deber de Información
  • Consentimientos y bases jurídicas de los tratamientos
  • Análisis de riesgos y evaluación de impacto
  • Relaciones con terceros
  • Brechas de seguridad
  • Qué es un Delegado de Protección de Datos

4.- Herramientas y concienciación en materia de seguridad

  • Medidas de seguridad
  • Situaciones de riesgo
  • Qué hacer si…
  • Herramientas, guías y referencias

 

Septiembre de 2018

 

Se aprueban medidas urgentes para cumplir con el RGPD

El RGPD comenzó su andadura el pasado 25 de mayo pero para que se pueda aplicar plenamente, hacen faltan algunas medidas internas.

El lunes 30 de julio y con las maletas a punto para las vacaciones, el Boletín Oficial del Estado ha publicado el Real Decreto-ley 5/2018 de 27 de julio de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, es decir el RPGD.

¿Por qué esto y ahora?

Porque el Reglamento (UE) 2016/679 General de Protección de Datos remite en su articulado a la legislación interna de los estados miembros para determinados aspectos -entre ellos el procedimiento sancionador- y una nueva Ley Orgánica de Protección de Datos (LOPD) recogerá dichos aspectos.

Dicha nueva LOPD está todavía en el horno. Es decir que debiendo haber estado lista el pasado 25 de mayo (ya sabíamos que no llegaba a tiempo) se la espera al menos, para finales de año. Pero mientras tanto la vida sigue y, o aplicábamos antigua LOPD en lo no compatible con el RGPD o nos ponían un “parche” hasta la llegada de la tan ansiada nueva LOPD.

Dicho lo cual, el Real Decreto-ley reseñado recoge básicamente lo siguiente:

1.- Quién tiene competencias para inspección en materia de protección de datos
(artículos 1 y 2)

2.- Régimen sancionador en materia de protección de datos
(artículos 3 a 6)

3.- Procedimientos en caso de posible vulneración de la normativa de protección de datos
(artículos 7 a 14)

Establece igualmente una disposiciones finales entre las que destacan la Disposición transitoria segunda sobre los contratos de encargo de tratamiento (sí esos que las empresas están recibiendo de forma constante en las últimas semanas) y confirma lo que ya decía el proyecto de LOPD: RELAX (esto no lo dice pero se deduce). Los contratos de encargo de tratamiento suscritos antes del 25 de mayo de 2018 bajo el antiguo artículo 12 de la antigua LOPD, mantendrán su vigencia hasta su fecha de vencimiento y si es indefinida hasta el 25 de mayo de 2022.

Dicho lo cual, el que no haya adaptado los contratos, tiene tiempo aunque no conviene dormirse. No obstante, ahí queda y sigue diciendo el artículo que durante estos plazos cualquiera de las partes puede exigir a la otra la modificación del contrato para que se adapte al RGPD, contratos que ahora incluyen más garantías para ambas partes.

Algunas reflexiones:

Al referirse al régimen sancionador se dedica un artículo (el 6) a la prescripción de las sanciones y sorprendentemente se mantiene el baremo de multas que se aplicaba bajo la anterior LOPD aunque sin hacer referencia a su grado (leve, grave o muy grave). ¿Qué lectura podemos hacer? Pues que la Agencia Española de Protección de Datos seguirá aplicando criterios sancionadores similares a los que aplicaba hasta la fecha sólo que sin el techo de los anteriores 600.000 euros. Es una reflexión que tal vez se confirme con la nueva LOPD o no.
Mientras tanto, las infracciones “normales” (es decir las que pueden ser sancionadas con hasta 10 millones de euros) prescribirán en dos años. Y las muy graves (hasta 20 millones en tres años.

Las sanciones prescribirán de la siguiente forma:

a) Hasta 40.000 euros, en un año
b) de 40.001 a 300.000 en dos años
c) Más de 300.001, en tres años.

Ya tenemos procedimiento sancionador para ir tirando con los nuevos procedimientos que se pongan en marcha. La seguridad jurídica es importante.

Necesitamos la nueva LOPD para otras cuestiones para dejar el menor espacio a las interpretaciones sobre la vigencia de la ya obsoleta LOPD anterior.

Superado el “trauma” del 25 de mayo, todos empezamos el rodaje del RGPD. Las empresas empiezan a entender cuáles son sus obligaciones más importantes. Lo importante, que no se nos olvide: proteger los derechos de las personas y el derecho a la privacidad, que hoy en día, es uno de los que más necesitados se encuentra.

Paz Martín
31 de julio de 2018

El Reglamento General de Protección de Datos (RGPD) y los despachos de abogados. 6 de abril. ICAM

LEGAL THINGS ABOGADOS tiene el honor de participar en el evento de APROED (Abogados y ciudadanos pro Estado de Derecho) que tendrá lugar el próximo 6 de abril en el Salón de Actos del Ilustre Coelgio de Abogados de Madrid y que tiene como objetivo abordar las novedades del nuevo Reglamento UE 2016/679 General de Protección de Datos, RGPD en los despachos de abogados. La entrada será gratuita.

Nuestra Directora Paz Martin expondrá los retos a los que se enfrentan los grandes despachos con especial atención en la figura del Delegado de Protección de Datos.

Compartirá mesa con los reputados especialistas D. Carlos Galán y D. Angel Juárez en una jornada de actualidad por la inminencia en la entrada en vigor de la nueva legislación sobre protección de datos.

Abril 2018
#losdetallesimportan

Cómo analizar los riesgos para cumplir con el RGPD

Todas las empresas (también las pequeñas) deben enfocar el cumplimiento de la privacidad desde el riesgo.

 

Se ha generado una pequeña confusión entre la obligación de hacer análisis de riegos y la obligación de hacer una evaluación de impacto.

Son dos conceptos diferentes: el análisis de riesgos será obligatorio en todo caso. La evaluación de impacto sólo será necesaria en determinados casos.

La Agencia Española de Protección de Datos acaba de publicar dos guías que forman parte del paquete de “ayuda” a los Responsables y Encargados de tratamiento, es decir a empresas, profesionales e instituciones (públicas o privadas) que realizan tratamiento de datos personales y deben cumplir con el Reglamento UE 2016/679 General de Protección de Datos (RGPD).

 

Las guías ayudan, aclaran algunos conceptos y pueden servir como herramientas metodológicas muy muy simples (al menos la de análisis de riesgos) para realizar el análisis de riesgos que en principio todo Responsable de tratamiento debería hacer en cumplimiento de dos principios acuñados por el RGPD: el de accountability o responsabilidad proactiva y el de privacidad desde el diseño y por defecto. Nos ofrece algunas pistas que nos pueden resultar útiles para abordar el cumplimiento del RGPD.

 

En efecto, el RGPD se refiere en diferentes artículos de su texto al riesgo, a la adopción de medidas de seguridad teniendo en cuenta el riesgo y en definitiva a un enfoque completamente distinto al que conocíamos hasta ahora. Enfoque en el que las exigencias de seguridad nos igualaban a todos “por arriba” sin tener en cuenta las circunstancias de una pyme o de una compleja multinacional.

 

Es evidente que hoy en día ninguna actividad se entiende sin la gestión de riesgos: económicos, patrimoniales, de negocio… La protección de datos no podía abstraerse a este escenario y exige que los responsables de tratamiento sean conscientes de lo que tienen entre manos para de esta forma actuar en uno u otro sentido.

 

Para gestionar riesgos (cualesquiera) hay que seguir tres pasos diferenciados:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Digamos que este es el esquema básico de cualquier tratamiento de riesgo.

En materia de protección de Datos podríamos movernos en los dimensiones:

A) Los riesgos asociados a la protección de la información

B) Los riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

A) Riesgos asociados a la protección de la información

 

Todos los esquemas de seguridad de la información suelen identificar las amenazas en tres planos:

  • La confidencialidad
  • La integridad
  • La disponibilidad

 

Es decir, pueden existir amenazas que afecten a la confidencialidad, a la integridad y a la disponibilidad independientemente o a la vez pero en definitiva habrá que adoptar aquellas medidas necesarias para garantizarlas.

 

Un simple ejemplo: una medida que garantiza confidencialidad será, por ejemplo, un acuerdo de confidencialidad que firma un trabajador pero también una política correcta de accesos.

 

La integridad se verá protegida con esa misma política de accesos y de roles en la organización para evitar que los datos sean alterados (imaginemos lo importante que puede ser que en un historial médico no se alteren por ejemplo los miligramos de un medicamento que se le está dispensando a un paciente de un hospital). Las medidas de seguridad que se adopten deberán garantizar el mínimo privilegio, el registro de los mismos y la trazabilidad de los accesos para que se deje constancia, en cada momento, de quién accede a qué.

La disponibilidad implica que el caso de un evento que implique una destrucción imaginemos de los datos, podamos garantizar que el negocio continúa (de ahí la importancia de las copias de seguridad) en el menor tiempo posible. En algunos negocios (cada vez menos) la copia semanal puede ser suficiente pero en la mayoría la copia diaria es imprescindible. También las pruebas periódicas de restauración son importantes no sea que descubramos que las copias de seguridad no se están haciendo correctamente…

 

Y para identificar esta amenazas tenemos que:

  • Conocer el negocio: volviendo al ejemplo no es lo mismo un hospital que una pequeña clínica
  • Conocer el sector
  • Conocer las medidas de seguridad

 

Las amenazas serán esas situaciones, eventos o hechos que puedan afectar a esos tres parámetros y de ellas se derivará un riesgo (con una valoración en términos de probabilidad e impacto) que habrá que tratar. Ni más ni menos.

 

Son especialmente útiles en este sentido los estándares de seguridad de la información (Esquema Nacional de Seguridad, ISO  27001 y similares) que permiten analizar y abordar esta parte de los riesgos desde el rigor y la objetividad.

B) Existirán por otro lado, los riesgos asociados al cumplimiento de requisitos regulatorios relacionados con los derechos y libertades de los interesados.

 

La propia Agencia sugiere dos amenazas en este sentido:

  • Procedimientos de satisfacción de derechos
  • Garantías de los principios:
    • Ausencia de legitimidad para el tratamiento de los datos personales
    • Tratamiento ilícito de los datos personales

 

Pero estas dos amenazas se han de traducir en un haz de cuestiones que todo responsable de tratamiento debe analizar:

 

  • Cómo se recogen los consentimientos
  • Cuáles son las bases jurídicas del tratamiento
  • Sus relaciones con terceros
  • Cómo se informa
  • Cómo se contesta a los derechos
  • Cómo se garantizan los principios recogidos en el artículo 5 RGPD

El análisis de riesgos puede ser tan simple o complejo como se quiera pero desde luego enfocado a un negocio concreto, a unas circunstancias concretas que cada asesor, auditor, responsable o DPO debe tener en cuenta.

 

Y ojo, que el análisis de riesgos puede ser una foto fija pero el tratamiento de los mismos no. Sólo en un proceso de comprobación, verificación y evaluación continua se conseguirá minimizar los riesgos y abordarlos de la forma más adecuada a cada organización.

 

Paz Martín

 

Abogado

CDPP

9 de marzo de 2018

 

 

 

 

Las siete cosas que toda pyme debe hacer para cumplir con el nuevo Reglamento de Protección de Datos (RGPD)

Quedan justo tres meses para que el Reglamento UE 2016/679 General de Protección de Datos (RGPD) entre en pleno funcionamiento. El 25 de mayo culmina el proceso que comenzó hace unos años… y también comienza todo: un nuevo cumplimiento, un nuevo enfoque en la privacidad, un nuevo reto para las empresas cualquiera que sea su tamaño.

Las estadísticas dicen que la mayoría de las empresas todavía no han hecho nada al respecto, ni tan siquiera pensar sobre ello. Muchas por desconocimiento, otras porque creen que el RGPD no les afecta y otras muchas porque necesitan todavía ese “tiempo emocional” para asumir que nos encontramos ante un importante cambio, sobre todo, de mentalidad.

Pero elucubraciones aparte, hay siete cosas que sí o sí toda pyme debe hacer sin mucha dilación, aquí las resumimos. Vaya por delante que las obligaciones no son iguales para todos pues el enfoque del RGPD se basa en el riesgo y desde luego no debe abordarse igual una pequeña compañía B2B que una pyme que realiza análisis de perfiles o que trata con datos de salud (ahora incluidas en las llamadas “categorías especiales de datos”). No vamos a describir todas las obligaciones del RGPD pero sí las fundamentales y comunes a prácticamente todas las compañías:

1.- Confeccionar un registro de actividades de tratamiento. El registro se convierte en el verdadero manual interno de los tratamientos de la empresa: debe incluir la descripción de los tratamientos, los fines, los destinatarios, los plazos de supresión y las medidas técnicas y organizativas… ¿no nos recuerda mucho al hasta ahora obligatorio Documento de Seguridad? Lo de menos es cómo lo llamemos, lo importante es tener recogida esta información y todavía más importante, cumplir su contenido.

2.- Crear los procedimientos para satisfacer los nuevos derechos (portabilidad y limitación) además de los ya existentes de acceso, rectificación, oposición y supresión.

3.- Crear un procedimiento de detección y notificación de brechas de seguridad pues ahora las brechas deberán comunicarse a la Agencia Española de Protección de Datos.

4.- Revisar la base que legitima el tratamiento de los datos: en unos casos será el consentimiento (eso sí explícito y por finalidades), en otras la ejecución de un contrato, en otras el cumplimiento de una obligación legal y en otras, el interés legítimo. Habrá que tener claro cada caso.

5.- Actualizar las cláusulas de información a la hora de recoger datos: ahora hay que informar de más cosas. Tan sencillo como modificarlas.

6.- Actualizar los contratos de encargo de tratamiento pues ya no nos podemos despachar con aquellas sencillas cláusulas del artículo 12 de la LOPD… Ahora toca describir las actividades de tratamiento que encargamos al tercero y las medidas que le exigimos…

7.- Reflexionar sobre si necesitamos un Delegado de Protección de Datos (DPO) o es aconsejable o si simplemente es suficiente con tener un responsable que supervise el cumplimiento de la privacidad.

No olvidemos que el principio que destila todo el Reglamento es el de “accountability”, responsabilidad proactiva. Debemos hacer las cosas bien, ser capaces de demostrarlo y buscar la mejora continua en las cuestiones de privacidad.

Siete puntos que si mínimamente se abordan, se puede decir que empezamos a alinearnos con el RGPD… Pero ojo, hay otras cuestiones: evaluaciones de impacto, procedimientos transfronterizos… Seguiremos abordándolas. De momento, manos a la obra. Aquí estamos los profesionales para ayudar en este “tránsito”.

25 de febrero de 2018
Paz Martín

Día Europeo de la Protección de Datos: Quedan 117 días para el RGPD ¿Está preparado para el cambio?

Ahora sí que sí. Este es el año. Y este día nos tiene que servir para reflexionar sobre qué estamos haciendo en nuestras organizaciones para cumplir con la nueva legislación de protección de datos: el nuevo Reglamento UE 2016/679 General de Protección de Datos (RGPD).

Hoy 28 de enero es un día especialmente importante porque en este año asistimos a un cambio normativo sin precedentes en la regulación de la privacidad. Todos, empresas y ciudadanos, debemos conocer su alcance.
La Agencia Española de Protección de Datos ha sido fértil en los últimos meses en la publicación de guías y documentos de ayuda. Con motivo de este día ha preparado, entre otras cosas, una infografía que resume los derechos de los ciudadanos.

Pero ¿y las empresas? ¿saben ya el alcance de las nuevas obligaciones? Recordemos sucintamente algunas de las obligaciones que toda entidad que realice tratamiento debe cumplir:

1.- El registro de actividades de tratamiento: ¿sabemos los datos que tratamos y cómo los tratamos? El RGPD obliga a llevar un registro de actividades de tratamiento con una información mínima.
2.- El cumplimiento del principio de responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que se preocupan de los datos que tratan. No es suficiente un cumplimiento formal: hay que demostrarlo día a día.
3.- La revisión de los consentimientos y de las cláusulas de información: los consentimientos por silencio o por defecto ya no son válidos. Ahora tienen que ser específicos para finalidades concretas. Además, ahora hay que informar de algunos nuevos aspectos del tratamiento. Esto exige una revisión de las cláusulas de información y de las formas de recogida de los consentimientos.
4.- La revisión de las relaciones y contratos con terceros con acceso a datos. La elección de un encargado de tratamiento es, en sí misma, una responsabilidad pues debe reunir unas condiciones mínimas y recogerlas en un contrato. Más que nunca debe revisarse y actualizarse la relación de encargados de tratamiento de las organizaciones.
5.- La realización de análisis de riesgos. El nuevo RGPD se enfoca sobre la base del riesgo de los tratamientos y si bien y según la propia Agencia Española de Protección de Datos, el 75% de las empresas españolas tienen datos de riesgo bajo, éstas tienen que ser conscientes de cuáles pueden ser sus riesgos a la hora de tratar datos (y por cierto, aquí el tamaño no importa sino la categoría de los datos y sus “circunstancias”).
6.- La creación de procedimientos para la notificación de brechas de seguridad. Si la organización sufre una “brecha de seguridad” habrá que notificarla a la Agencia Española de Protección de Datos a las 72 horas de haber tenido conocimiento. Esto exige crear un procedimiento de detección e identificación de las incidencias así como su gestión y comunicación y por supuesto, subsanación.
7.- La satisfacción de los nuevos derechos: limitación y portabilidad (además de los ya existentes). Nuevos derechos cuya petición debe atenderse. ¿Saben las empresas cómo? Tendrán que tenerlo previsto.
8.- La designación de un Delegado de Protección de Datos en los casos que establece el RGPD. No en todos los casos pero sí habrá organizaciones que lo necesiten y a ser posible acreditado.

¿Están las empresas grandes y pequeñas preparadas? Parece que no. Y quedan cuatro meses escasos…

Aunque suene a tópico las multas son muy elevadas (20 millones de euros o el 4% de la facturación mundial en los casos más graves). La propia Agencia Española de Protección de Datos ha afirmado que las nuevas exigencias se “aplicarán con flexibilidad pero con rigor” y es que el 25 de mayo está a la vuelta de la esquina. Ojo, no se trata de “empezar” el 25 de mayo sino que en esa fecha ya se debería estar cumpliendo… No hay régimen transitorio pues desde que se publicó el RGPD (en 2016) hemos tenido dos años para concienciarnos, sensibilizarnos y preparar nuestras organizaciones.

Ya no hay excusas: si hasta ahora en su organización no se ha afrontado el cambio, es necesario abordarlo. Recordemos que el derecho a la privacidad es un derecho fundamental y si cada de uno de nosotros reflexiona a título personal coincidiremos que en estos tiempos que corren agradeceremos que nuestros datos estén un poco más seguros.

Paz Martín

Legal Things Abogados

28 de enero de 2018

Día Europeo de la Protección de Datos

Comienza la cuenta atrás: Aprobado el Proyecto de nueva Ley Orgánica de Protección de Datos de carácter personal

El pasado viernes 10 de noviembre el Consejo de Ministros aprobó la remisión a las Cortes Generales el Proyecto de Ley Orgáncica de Protección de Datos (LOPD), el nuevo texto que sustituirá a la actual LOPD.

El propósito de este proyecto es adaptar la legislación española a las exigencias del Reglamento UE 2016/679 General de Protección de Datos, reglamento que como sabemos entrará en pleno funcionamiento el próximo 25 de mayo de 2018.

Destacamos a continuación algunas novedades significativas en el entendimiento de que esta Ley Orgánica no podrá legislar contraviniendo lo ya regulado en el Reglamento aunque sí matizar algunos aspectos. Recordemos igualmente que los reglamentos comunitarios no precisan de trasposición, por lo que esta nueva LOPD contemplará aspectos que el Reglamento no deja desarrollados o remite a la regulación de los estados miembros.

La mayoría de edad para los datos personales

Se adelanta la edad de consentimiento para el tratamiento de datos a 13 años. Un menor de 13 años podrá facilitar sus datos personales por sí mismo y sin el consentimiento de sus padres o tutores (actualmente la edad es de 14 años).

Tratamiento de datos de las personas fallecidas

Se toma en cuenta especialmente en lo que se refiere a la solicitud de los herederos (pensemos en las nuevas realidades de las redes sociales y la posible cancelación de los datos ejercitada lógicamente por los herederos de las personas fallecidas).

Consentimientos

Siendo este uno de los temas críticos del nuevo RGPD, se contempla igualmente en el proyecto eliminándose el consentimiento tácito y por silencio para dar paso a la acción afirmativa y expresa. Se acabó el “acepto” para múltiples finalidades o el “si no nos dice lo contrario”…

Principio de transparencia

Otro principio acuñado por el RGPD y que se traduce en el derecho de los afectados (los titulares de los datos) a ser informados sobre los tratamientos de una forma clara y sobre más aspectos de los que hasta ahora contemplaba el artículo 5 de la LOPD, además de contemplar los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.

Categorías especiales de datos

Se mantiene la prohibición de almacenar datos de ideología, religión, afiliación sindical, religición, orientación sexcual, origen racial o étnico y creencias. No basta con el consentimiento para el tratamiento de estos datos

Interés legítimo

El tratamiento de datos será lícito si se basa en el consentimiento, en una norma con rango de ley pero también en el interés legítimo de quien trata los datos (en determinadas cuestiones). La nueva LOPD contemplará situaciones en las que prevalece el interés legítimo del responsable del tratamiento como en los sistemas de intervención crediticia y probablemente alineado con el reciente pronunciamiento de la Agencia Española de Protección de Datos a través del Informe 0195/2017 del Gabinete Jurídico aclarando precisamente este aspecto.

El Delegado de Protección de Datos

La nueva LOPD recogerá obligaciones de esta nueva figura así como un catálogo no exhaustivo de responsables de tratamiento que estarán obligados a designar esta figura.

Otras cuestiones

Mecanismos de autorregulaciónnuevos derechos (limitación y portabilidad), la posibilidad de que los canales internos de denuncias puedan ser anónimos, coordinación con otras autoridades tanto autonómicas como de otros estados miembros a través de procedimientos de cooperación, serán algunas cuestiones que abordarán el nuevo texto.

Se nos plantean algunas incógnitas una vez el proyecto avance en sede parlamentaria ante el actual panorama político y la particular configuración parlamentaria. Recordemos que el derecho a la protección de datos es un derecho fundamental, recogido en el artículo 18 de nuestra Constitución y su regulación se hace imprescindible para garantizarlo.

Seguiremos informando pero desde luego es hora, si no lo han hecho ya, de ponerse manos a la obra para adaptarse a la nueva legislación pues la nueva LOPD no va a ampliar el Reglamento europeo sino en todo caso lo va a matizar. Esperar a su aprobación sería una temeridad para las organizaciones pues un cambio legislativo como al que nos enfrentamos no se aborda de un día para otro.

La idea es que la nueva Ley Orgánica de Protección de Datos de Carácter Personal entre en vigor a la vez que el nuevo Reglamento…

Es hora de reflexionar sobre lo que se está haciendo, cómo se tratan los datos, qué novedades nos exige el RGPD y empezar a hacer los cambios para que el 25 de mayo de 2018 estemos tranquilos.

Paz Martin

¿Qué va a pasar con los ficheros de datos declarados ante la Agencia Española de Protección de Datos?

Como ya sabemos, el 25 de mayo de 2018 será de plena aplicación el nuevo Reglamento UE 2016/679 General de Protección de Datos (al que nos referimos ya como RGPD). Esta nueva legislación establece nuevas obligaciones y sobre todo exige un cambio de mentalidad en la organizaciones en lo que a la protección de la privacidad se refiere.

Sin embargo, una de las obligaciones que hasta la fecha era casi la “protagonista” del cumplimiento formal de la normativa de protección de datos, desaparece: nos estamos refiriendo a la obligación de declarar los ficheros de datos ante el Registro de la Agencia Española de Protección de Datos.

Esta obligación era considerada para muchos la única y principal en lo que a cumplimiento de la ahora vigente LOPD: nada más lejos de la realidad. Sin embargo sí ha servido durante estos casi dieciocho años para comprobar la estructura de los tratamientos en las organizaciones, la tipología de los datos tratados, las actividades e incluso la propia estructura interna de las organizaciones (si tienen o no canal de denuncias, si tienen o no cámaras de videovigilancia, etc).

El RGPD no contempla esta obligación y por lo tanto, a partir del 25 de mayo, ya no será necesario comunicar los ficheros ante la Agencia Española de Protección de Datos.

Hasta entonces ¿sigue siendo obligatorio declarar ficheros?

La respuesta es sí. La actual LOPD quedará sin efecto con la entrada en vigor del nuevo Reglamento que como sabemos deroga la Directiva 95/46/CE de la que deriva nuestra actual LOPD. Por lo tanto, y mientras tanto, será obligatorio declarar ficheros, actualizar lo que corresponda y cancelar los que ya no existan.

Pero además existe una nueva obligación contemplada en el RGPD para la que la declaración actual de los ficheros es clave: la obligación de registro de las actividad de tratamiento establecida en el artículo 30. Pero ojo, esta obligación no aplica en todos los casos:

  • No se aplica a empresas u organizaciones que emplee a menos de 250 personas
  • A menos que el tratamiento que realice pueda entrañar un reisgo para los derechos y libertades de los intereados
  • No sea ocasional
  • o incluya categorías especiales de datos personales
  • o datos personales relativos a condenas e infracciones penales

¿En qué consiste ese “registro de actividades de tratamiento” que establece la nueva legislación?

Pues se trata de llevar una relación de lo que se hace en materia de datos que incluya, al menos:

a) El nombre y los datos de contacto del responsable así como del Delegado de protección de datos

b) Los fines del tratamiento

c) Una descripción de las categorías de interesados y de las categorías de datos personales

d) Las categorías de destinatarios a quienes se comunicaron o cumunicarán los datos personales, incluidos lo que se encuentren en terceros países u organizaciones internacionales

e) las transferencias internacionales de datos

f) Los plazos previstos para la supresión de las diferentes categorías de datos

g) Una descripción, cuando sea posible, de las medidas técnicas y organizativas adoptadas

También los encargados de tratamiento deberán indicar las actividades de tratamiento realizadas para un responsable.

Al que haya declarado ficheros ante la Agencia Española de Protección de Datos, lo anterior no le resultará completamente ajeno por lo que los actuales ficheros podrán servir, sin lugar a dudas, como base para cumplir con la obligación de llevar un registro de actividades de tratamiento puesto que gran parte de la información ya está recogida.

No en vano, la propia Agencia Española de Protección de Datos acaba de habilitar recientemente una nueva funcionalidad en su sede electrónica precisamente para solicitar copia de los ficheros inscritos que será facilita en formato electrónico.

Lo que pase a partir del 25 de mayo de 2018 con ese registro, es, en principio un misterio pues al dejar de ser obligatoria la declaración, el Registro de la Agencia quedará desactualizado aunque no sabemos si se mantendrá un tiempo para facilitar a los responsables la “reconversión” de sus ficheros o si quedará sin acceso. No obstante, antes de la citada fecha, conviene hacer los deberes en los casos en los que la empresa u organización vengan obligados a llevar ese registro.

Por lo tanto y como recomendación:

1.- Revisar los ficheros actuales, actualizando y modificando lo que proceda pues nos van a servir de base para otras obligaciones que sí establece el RGPD.

2.- Solicitar en su caso a la propia Agencia Española de Protección de Datos esa copia para comenzar a confeccionar el registro de actividades de tratamiento descrita en el artículo 30 del RGPD.

3.- Reflexionar y abordar la transición al nuevo Reglamento para que el cumplimiento, llegada la fecha, sea adecuado y no “entren prisas”.

4.- Y sobre todo y no menos importante, no está de más, dejarse asesorar por profesionales cualificados que diseñen planes a medida y ayuden en el cumplimiento más adecuado para cada organización.

Paz Martin