Abril 17, 2018

Como adaptar la Web al Reglamento de Protección de Datos — RGPD IX

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 11:26

El próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) que traerá la obligación de adaptarse al mismo a todas las Webs. Porque aunque para entonces no habrá Ley nacional, este será plenamente aplicable y la AGPD ya avisa que empezará a imponer sanciones por su incumplimiento.

Webs obligadas a adaptarse

Básicamente viene obligado quien viene obligado por la ya veterana en este mundo LSSI. Como ya hemos señalado en numerosas ocasiones en este Blog, cualquiera que mantenga una actividad económica relacionada de alguna forma con la Web. (Obligados).

El aviso de Privacidad

Todas las Webs deberán disponer de un texto de aviso de privacidad en que se informe a los usuarios de que se están captando datos personales. Qué datos de se están captando; con qué finalidad; quien los está captando;  cómo y por quien van a ser tratados esos datos; y durante qué plazo se van a conservar. (Tratamiento de los datos)

Además se debería proporcionar al usuario la nueva información obligatoria derivada del RGPD y de los nuevos derechos que le otorga el RGPD.

Pero es que además, de forma previa a la captación de los datos, el usuario debe prestar su consentimiento.

Las Cookies

El nuevo RGPD mantiene en su considerando 30 que en el momento en que la web instale algo en el ordenador (cookies) que permita identificar a una persona entramos en el ámbito de actuación del Reglamento, por ello cabe entender como válida en su práctica totalidad guía de Cookies que en su día publicó la AGPD en aplicación del Art. 22.2 LSSI que nos permite instalar tales cookies.

Por tanto, el  modelo de cookies sigue siendo válido, pero se acabó la mecánica habitual de “si sigue navegando acepta“. El consentimiento ya siempre debe ser expreso siempre y el texto (y la consiguiente consecuencia técnica) debería transformarse de algo del “si quiere seguir navegando con cookies, acepta“.

Las Condiciones de Servicio

Las Condiciones de Servicio integran en muchas ocasiones el mismo “Aviso de Privacidad” porque en muchas ocasiones resulta más práctico y facilita la usabilidad del sitio Web. Pero incluso en los casos en que no se integra, las propias condiciones del servicio y la forma en que se presta este pueden afectar al los datos personales; a como se captan y al uso que se hace de ellos. En este caso sería necesario adaptar también estas Condiciones de Servicio al RGPD.

El consentimiento

El consentimiento es la primera pieza angular del nuevo RGPD  y el que más cambios nos obligará a adoptar en las páginas Web y en la operativa de cualquier presencia online.

Como ya se ha señalado anteriormente, el consentimiento de verá ser siempre expreso y se deberán establecer mecanismos que demuestren que se ha prestado ese consentimiento de forma expresa y una forma segura de almacenar tales consentimientos.

Y la “Actitud”

Los datos no se podrán almacenar, tratar o usar como hasta ahora. Y sobre todo, la actitud no podrá ser la misma que hasta ahora.

Aunque parezca un concepto algo abstracto, el RGPD exige, como segunda piedra angular,  una actitud proactiva en el tratamiento y la protección de los datos personales. Actitud que debe reflejarse en acciones materiales concretas y demostrables que demuestren tal actitud. Algo nada abstracto pero mucho más flexible para los titulares de webs que deberán plantearse en cada caso concreto qué acciones deberían tomar. Y si no las encuentran, consultar a un especialista.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Marzo 16, 2018

Modelo 720: cuestiones y casos especiales

Archivado en: Actualidad, Comercio Electrónico, Economía, Emprender, Medios de pago, Otros — Etiquetas: , , , — legisconsulting @ 20:08

Llegada la hora de presentar el modelo 720 de declaración de bienes en el extranjero, me ha llegado alguna cuestión sobre “intereses” en el extranjero poco convencionales y si debían ser declarados.

Hace ya años, cuando era aún un proyecto de ley, escribimos un post que, aunque fue actualizado con posterioridad, bien merece un repaso y la contestación a cuestiones concretas sobre bienes y/o derechos concretos.

Obligados

Están obligados a presentar el modelo 720 aquellas personas físicas y jurídicas residentes en territorio español, los establecimientos permanentes en dicho territorio de personas o entidades no residentes

No existirá obligación de informar ningún bien de aquellos grupos en los que la suma de los bienes que lo integran no supere los 50.000 euros.

Qué hay que declarar

  • Cuentas situadas en el extranjero abiertas en entidades que se dediquen al tráfico bancario o crediticio de las que sean titulares o beneficiarios o en las que figuren como autorizados o de alguna otra forma ostenten poder de disposición.
  • Cualesquiera títulos, activos, valores o derechos representativos del capital social, fondos propios o patrimonio de todo tipo de entidades, o de la cesión a terceros de capitales propios, de los que sean titulares y que se encuentren depositados o situados en el extranjero, así como de los seguros de vida o invalidez de los que sean tomadores y de las rentas vitalicias o temporales de las que sean beneficiarios como consecuencia de la entrega de un capital en dinero, bienes muebles o inmuebles, contratados con entidades establecidas en el extranjero.
  • Bienes inmuebles y derechos sobre bienes inmuebles de su titularidad situados en el extranjero.

Casos especiales

Cuentas de Paypal

Como ya hemos señalado hasta la saciedad es este blog, en los textos y en las respuestas a cuestiones planteadas a través de comentarios de lectores, las cuentas de PAYPAL no son ‘cuentas‘ en el sentido legal del mismo como ‘depósito‘ (un término más exacto jurídicamente), sino que es sólo un instrumento necesario para que una entidad de crédito como es PAYPAL preste un servicio de pago, que es lo que realmente hace PAYPAL . Y estos ‘instrumentos necesarios para prestar el servicio, hay una ley que dice expresamente que no pueden ser considerados como depósitos. Por lo tanto, según el texto del RD 1065/2007, no estaría dentro de los supuestos obligados a declarar.

No obstante esta interpretación ,hace ya también años que Hacienda, en respuesta a una consulta vinculante hace una interpretación  extensiva de la norma y señala que

“Por su parte, el portal de “PayPal” define el servicio que presta del siguiente modo:

“PayPal permite a las empresas o consumidores que dispongan de correo electrónico enviar y recibir pagos en Internet de forma segura, cómoda y rentable. La red de PayPal se basa en la infraestructura financiera existente de cuentas bancarias y tarjetas de crédito para crear una solución global de pago en tiempo real. Le ofrecemos un servicio especialmente pensado para pequeñas empresas, vendedores por Internet, particulares y otros a los que no satisfacen los mecanismos de pago tradicionales.”

Y concluye la consulta vinculante,

Finalmente, respecto de la declaración de la cuenta PayPal, podría entenderse, en su caso, que dicha cuenta debe tomarse en consideración a efectos del Impuesto sobre el Patrimonio, o de la obligación de declarar bienes situados en el extranjero.”

Por lo tanto, según esta respuesta, sí habría que declarar las ‘cuentas‘  de PAYPAL.

Crowdlending

Como su propio nombre indica, se trata de un préstamo que como es conocido se realiza a empresas o personas, pero siempre entre ‘particulares’, entendiendo como tal la no presencia de institución financiera alguna  en la operación.

En este caso no se trata de una consulta vinculante con la trascendencia legal que ello conlleva, sino de una  de las preguntas frecuentes contenidas en la página de la AEAT que señala textualmente.

-        Pregunta:  ¿Existe obligación de informar sobre: préstamos concedidos a entidades extranjeras, créditos provenientes de operaciones comercial o de servicios, cuentas en participación o cualquier otra modalidad de préstamo o crédito?

-        Respuesta: Solamente existe obligación de informar sobre la cesión a terceros de capitales propios si estos están representados por valores.

Como vemos, la postura general de Hacienda ante los préstamos es que no habría que declararlos. Pero es que además, dada la naturaleza del Crowdlending, sería cuestionable en primer lugar la naturaleza y extensión del derecho de crédito en base a la exigibilidad del mismo a incluso —atendiendo  al límite de los 50.000€— el valor real del derecho.

Crowdfunding

En España está regulado por la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial, pero como hablamos de inversiones en el extranjero, estas no se encuentran sujetas a esa ley y objeto sabemos que puede ser mucho más variado que el establecido por la ley. Por ello la obligación de declarar dependerá de la naturaleza del contrato de crowfunding.

Si se trata de un préstamo participativo, ya hemos visto que no sería obligatorio declararlo.

Si se trata de suscripción de obligaciones, acciones ordinarias y privilegiadas u otros valores representativos de capital, en este caso la inversión sí estaría representada por ‘valores’ de cualquier tipo y sí habría obligación de declararlos.

Si se trata de emisión o suscripción de participaciones de sociedades de responsabilidad limitada, se rataría de participaciones en sociedades y ello sí entra dentro de los supuestos de la Ley y del Real Decreto.

Betfair

Sirva solo como ejemplo de plataformas que para uso en sus servicios mantienen ‘cuentas‘ que pueden llegar a contener por encima del límite legal. Pero como es un caso que conozco profesionalmente de primera mano, de ahí por ejemplo de Betfair en Reino Unido por las importantes cantidades que maneja.

Es cierto que para operar en esta plataforma en reino unido es obligatorio contar con un domicilio allí y no se puede operar desde aquí, pero también es cierto que existen vías más o menos legales para hacerlo, aunque en este caso nos limitaremos a analizar sólo el modelo 720.

La plataforma permite —o no prohíbe— registrar a una sociedad (LTD) como usuario de la plataforma, con lo que sería perfectamente posible dada la facilidad y bajo coste de crear una sociedad en Reino Unido, utilizarla con este fin. Para ello no es necesario que la persona física detrás de la sociedad sea residente en Reino Unido, así que siendo residente en España podría operar allí en la plataforma. En este caso la obligación dependerá del valor de la sociedad (LTD) y no directamente de la cantidad de dinero que la LTD tenga en Betfair.

También cabe la posibilidad —menos legal— de que alguien usando una VPN desde aquí muestre la apariencia de residir en Reino Unido cuando realmente lo hace en España operando desde España. En este caso vendría obligado a cumplir todas las obligaciones fiscales en España por el mero hecho de residir aquí más de 186 días al año, incluyendo la obligación de presentar el modelo 720 si la necesaria cuenta bancaria vinculada a la plataforma supera el límite de los 50.000€. Pero si es la ‘cuenta‘ de Betfair la que supera esa cantidad, al no ser Betfair en Reino Unido una entidad financiera, ni estar representado ese dinero en título o valor alguno, entiendo que no habría obligación de presentar el modelo 720 aún cuando se residiera en España -oficial o extraoficialmente- y se tuvieran más de 50.000€ como ’saldo’ en la plataforma.

Crowdcontent

¿Tiene más casos no estrictamente ‘convencionales’?. Platéelos en los comentarios a este post o en Twitter y haremos crecer su contenido.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Marzo 14, 2018

Gastos de hipotecas: algo que decir por Europa

Archivado en: Gastos Hipotecas, bancos — Etiquetas: , , — legisconsulting @ 10:54

El Tribunal Europeo (TJUE) previsiblemente tendrá algo que decir al Tribunal Supremo (TS) español y los consumidores tal vez podrán volver a reclamar los gastos de sus hipotecas.

¡Paciencia, las cláusulas abusivas no prescriben!

Ya ocurrió con las cláusulas suelo en que el TS decidió que sí, que habían abusado de los consumidores pero que sólo se les devolvía una parte por razones que no entendió nunca nadie. Y llegó el Tribunal Europeo y decidió que el TS no podía decidir no devolver a los consumidores lo que era suyo.

A la torera

En sentencia de Febrero de 2018 publicada en todos los medios, el TS decide esta vez que en las hipotecas será el consumidor el que cargue con el grueso de los gastos. Algo que entendemos que seguirá las mismas vías que en su día siguieron las cláusulas suelo por las siguientes razones legales :

  1. El TS contradice su propia doctrina  de diciembre de 2015 que decidió entonces que los gastos abonados por los consumidores por una cláusula abusiva general de imposición de gastos que está en todas las hipotecas, les deberían ser devueltos en su totalidad. Hoy dice lo contrario.
  2. Se basa para ello en un artículo de un reglamento aprobado por el poder ejecutivo (no el legislativo) que decide que el AJD (Impuesto sobre actos Jurídicos Documentados) los debe pagar el prestatario consumidor.
  3. Contraviene al Art 6.1 de la Directiva que señala textualmente  que “Los Estados miembros establecerán que no vincularán al consumidor, en las condiciones estipuladas por sus derechos nacionales, las cláusulas abusivas que figuren en un contrato celebrado entre éste y un profesional y dispondrán que el contrato siga siendo obligatorio para las partes en los mismos términos, si éste puede subsistir sin las cláusulas abusivas.”
  4. Así como el Art. 7.1 de la misma Directiva que señala que “Los Estados miembros velarán por que, en interés de los consumidores y de los competidores profesionales, existan medios adecuados y eficaces para que cese el uso de cláusulas abusivas en los contratos celebrados entre profesionales y consumidores.”
  5. Y contraviene la interpretación que de ellos da la famosa Sentencia de las Cláusulas Suelo al establecer ‘la declaración del carácter abusivo de la cláusula debe permitir que se restablezca la situación de hecho y de Derecho en la que se encontraría el consumidor de no haber existido tal cláusula abusiva’. Y que impone a ‘los Estados miembros la obligación de prever medios adecuados y eficaces «para que cese el uso de cláusulas abusivas en los contratos celebrados entre profesionales y consumidores»’

Es decir, el TS —que es estado español a efectos de la normativa y la jurisprudencia europea—, declara nula la cláusula de los gastos, pero sin consecuencias prácticas positivas para los consumidores ni coercitivas para los bancos a la hora de imponer cláusulas abusivas. Y eso es manifiestamente contrario al derecho europeo y a lo ordenado por el TJUE.

Pero en particular sobre el importe del AJD, que es con diferencia el que más carga supone para los consumidores, lo hace amparándose en una disposición reglamentaria cuando existe una reserva de Ley de acuerdo con la Constitución posteriormente desarrollada por la Ley General Tributaria que señala que se regularán en todo caso por Ley” … la determinación de los obligados tributarios“.  Esto, en lo que atañe al Tribunal Europeo, vulnera además de las normas, el Principio de Seguridad Jurídica establecido por este que exige de los estados «una expresión inequívoca que permita a los interesados conocer sus propios derechos y obligaciones de modo claro y preciso». Algo que obviamente no ha ocurrido a la vista de los vaivenes del TS y de la consiguiente avalancha de reclamaciones por cláusulas abusivas contra los bancos.

En resumen, el Tribunal Supremo ha fallado en su sentencia de Febrero de 2018 en contra de la ley, su propia jurisprudencia, la jurisprudencia europea y contraviniendo el principio de seguridad jurídica. Y ello en contra de un colectivo particularmente protegido por la ley europea como son los consumidores.

Por lo tanto, entendemos que es altamente previsible que nuestro Tribunal Supremo sea corregido (otra vez) por el Tribunal Europeo.

Qué hacer

Los procedimientos ya iniciados en los tribunales nacionales es más que previsible que la sentencia falle en perjuicio del consumidor. Y una vez que haya sentencia firme, como ocurrió con las cláusulas suelo,  no se podrá volver a reclamar por la diferencia en caso de que el TJUE falle a favor del consumidor. La solución es solicitar al juez, a la vista de las dudas planteadas, que plantee una cuestión prejudicial ante el TJUE. Ello suspenderá el procedimiento y no habrá sentencia hasta que decida el TJUE.

Es cierto que el juez de primera instancia no está obligado a plantearla, aunque sí lo está la sala en última instancia, pero visto lo visto, casi tenemos más fe en los jueces de a pie (al menos en este caso) que en el Tribunal Supremo. Y al plantear la cuestión prejudicial, el procedimiento se suspende hasta la respuesta.

En los procedimientos no iniciados en tribunales, convendría presentar la reclamación prejudicial ante la entidad dado que no implica coste alguno. Esta, como hasta ahora, será rechazada por el banco o simplemente ignorada, pero con ella se cumple el trámite previo necesario para una rápida reclamación (y esperamos que resolución) en cuanto dispongamos de la sentencia del TJUE.

En resumen: ¡Menos mal que tenemos a Europa!

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Marzo 2, 2018

Obligados a la protección de datos — RDPD VIII

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 13:07

El 25 de mayo entra plenamente en vigor en nuevo Reglamento Europeo de Protección de Datos que afecta a PYMES, autónomos y muchas personas que ni se les pasa por la imaginación que pudiesen estar obligados y por lo tanto expuestos a cuantiosas sanciones.

Obligados

En resumen, todo el mundo, ya sean personas físicas o jurídicas, con datos en ficheros personalmente total o parcialmente automatizados, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero de personas físicas, en actividades que no sean  exclusivamente personales o domésticas.

Es decir, cualquier dato personal en cualquier actividad que no esté exclusiva y únicamente relacionado con nuestra vida privada personal.

Artículo 2 Ámbito de aplicación material

2.El presente Reglamento NO se aplica al tratamiento de datos personales:

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

Es casi textualmente lo mismo que señala la vigente LOPD y, como normativa complementaria en el campo que le es propio, la LSSI. Por ello disponemos de un amplio y detallado desarrollo de lo que esto significa. Así, quedarán dentro de las actividades sujetas a la ley todas las actividades económicas, incluidos “los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios“.

Pero esto es sólo el resumen y conviene analizar cada elemento  para ver si realmente se está sujeto a las obligaciones del Reglamento (RGPD).

Que son ‘Datos Personales’

Toda información sobre una persona física identificada o identificable cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Es decir, casi cualquier dato referido a una persona, desde su nombre o número de DNI hasta la dirección IP de su ordenador.

Que es un ‘Fichero’

Fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Es decir, desde las bases de datos en la nube, la agenda del teléfono, hasta la agenda de teléfonos en papel que dejó el abuelo en el cajón del despacho o hasta los Post-it con los teléfonos que pegamos a la pantalla son ‘ficheros‘ a efectos de la Ley .

Que es el ‘Tratamiento de datos’

Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Es decir, desde un punto de vista legal, desde guardas las IP de las personas que visitan nuestra Web hasta tirar el Post-it que decíamos antes a la papelera es ‘tratamiento‘ de datos.

En qué ‘Actividad’

La obligación se extiende a todo tratamiento datos personales independientemente de la actividad u objetivo que se persiga con los datos personales. Sólo existe una excepción general a esa norma si se ‘tratan‘  en un ámbito exclusivamente personal o doméstico.

Soy consciente de que el concepto puede ser lo suficientemente abstracto para que genere dificultad aplicarlo a un caso concreto, por lo que tal vez trasladarlo ejemplos concretos puede facilitar su comprensión.

Ejemplos

  • La agenda que los abuelos guardan en la mesita del teléfono: obviamente no hay nada tan doméstico ni personal como eso y por tanto estaría excluido de las obligaciones del RGPD.
  • El frutero de la abuela (o cualquier tienda física)  que le lleva a la compra a casa porque pesa.  Es igual de obvio que la dirección de la abuela no es una dato personal ni doméstico del frutero y debería cumplir todas las exigencias de la normativa de protección de datos aún cuando tenga la dirección en un papel en la caja.
  • Una Web en la que se venden productos, se ofrecen servicios o funciona como mero ‘escaparate’. En este casi Sí estará obligada a cumplir las disposiciones en materia de protección de datos aún cuando no se venda o contrate nada online. Aunque si a través de la Web no se recaba ningún tipo de dato personal ni se recaban datos ya sea de forma consciente o inconsciente (por uso de cookies por ejemplo). En ese caso NO estaría obligada por el simple hecho de que no hay datos que tratar.
  • Un blog en el que se enseña a diseñar y montar centros de mesa y en el que, como en la mayoría de los blogs, se permite dejar comentarios o hacer consultas con la dirección de Email, que es un dato personal:
  • Si el blog se mantiene -o desde la asociación de vecinos o la biblioteca municipal- y quien lo hace no tiene ninguna actividad profesional relacionada, esta persona NO estaría obligada.
  • Pero si el titular del blog tiene o es socio o trabajador con según qué responsabilidad en algún tipo de negocio relacionado con las flores en el sentido más amplio -desde una floristería; a un salón de banquetes; o a una funeraria, se me ocurre-, en este caso estaría fuera de su esfera estrictamente personal o doméstica y  SÍ estaría obligado a cumplir con todas las obligaciones aunque el único dato personal al que tenga acceso sea el Email de los usuarios con sus comentarios.
  • Un canal de Youtube en que se enseñan a fabricar anzuelos para la pesca. Al igual que en el caso anterior, en tanto se haga por diversión y se realice a titulo estrictamente personal, NO estaría obligado.  Al menos durante el tiempo en que las visitas no se cuenten por miles, porque cuando sea así y se empiece a cobrar, por poco que sea, entonces SÍ se pasará a estar obligado.
  • Médicos, dentistas, fisioterapeutas, etc. Los datos que tratan y a los que acceden están especialmente protegidos y sus obligaciones son mayores que las de resto de interesados y las sanciones por incumplimiento de dichas obligaciones, sustancialmente mayores. SÍ, SIEMPRE están obligados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 27, 2018

La (obligatoria) nueva actitud ante los datos personales — RDPD VII

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , , — legisconsulting @ 15:44

Actitud proactiva real y demostrable del Encargado del tratamiento; tratamiento de datos a medida;  y seguridad creativa a medida. Son las nuevas obligaciones para el tratamiento que nos trae el Reglamento europeo de Protección de datos – RGPD.

Si bien se ha hecho hincapié en los últimos tiempos en la supresión de la obligación de notificación de ficheros ante la AGPD -obligación que efectivamente no recogen ni el RGPD ni el proyecto de Ley- lo cierto es que el Reglamento Europeo (RGPD) trae una  serie de obligaciones concebidas para involucrar directa y activamente en la protección del derecho fundamental que es el tratamiento de datos personales a las tres figuras centrales en este campo: el Encargado del tratamiento; el Responsable del Tratamiento; y el Delegado de Protección de Datos (DPO).

Medidas De Responsabilidad Activa

Es el encabezado que tanto el RGPD como la Ley le dan a este conjunto de medidas.

En ellas, el Responsable de los ficheros pasa de una tener una responsabilidad “pasiva-reactiva” (sólo miro hasta que surja el problema y entonces reacciono) a una responsabilidad “proactiva que mediante la adopción de medidas específicas —tratamiento a medidaa su caso, busque el cumplimiento no sólo de las normas y obligaciones específicas sino del cumplimiento de los principios de protección de datos. Y ello debiendo documentar como medio de prueba a ante la AGPD  toda su actividad en este sentido.

En concreto, y sin que como hemos señalado pueda tratarse de una lista tasada,  crea obligaciones o sugerencias que más vale cumplir en torno a distintas figuras, marcos y de actuación y códigos de conducta.

Encargado del tratamiento

Deberá ofrecer “garantías suficientes” en la aplicación de las medidas técnicas y organizativas necesarias al cada caso concreto.

El tratamiento de los datos que haga se regirá mediante contrato para el cual dispondremos de cláusulas tipo.

Estará subordinado al Responsable del Tratamiento y le proporcionará todo el apoyo técnico y organizativo así como toda la información de que disponga, incluida específicamente cualquier violación de la seguridad de los datos.

Y si llegara a cambiar los fines y medios del tratamiento usándolos en contra de la ley o RGPD, será considerado Responsable del tratamiento a todos los efectos, sobre todos los sancionadores.

Medidas técnicas

Las obligaciones dependerán de las circunstancias concretas de cada caso atendiendo a variables que van desde la naturaleza de los datos a los posibles riesgos o hasta a los costes y disponibilidad técnica que en todo caso puedan incluir entre otras

  1. la seudonimización (y/o tokenización)  y el cifrado de datos personales. Cifrado que no será obligatorio en todos los casos pero cuya implementación o no podrá acarrear distintas obligaciones o consecuencias caso de haber sido o no aplicadas, por lo que la recomendación general es establecer un sistema de cifrado adecuado y específico que además eximirá del deber de notificar en su caso brechas de seguridad ;
  2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.  Esto implica un análisis de los riesgos concretos del tratamiento para los interesados —seguridad a medida , debiéndose tener en consideración a la hora d la evaluación la posibilidad de peligros concretos en su caso como la destrucción, pérdida o alteración de los datos, la comunicación o acceso no autorizados o aquellos cuya vulneración sea susceptible de ocasionar daños y perjuicios físicos, materiales o inmateriales a los interesados.

El proceso de verificación, por supuesto, deberá quedar debidamente documentado.

Además, atendiendo a la inevitable falibilidad humana —por no decir algo peor—, el RGPD insta sin mencionarlo expresamente en el articulado a mitigar riesgos mediante la implementación de otros mecanismos que protejan los datos de acciones de los interesados lamentablemente tan extendidas como la pérdida del papelito donde apuntamos la contraseña, poner la fecha de nacimiento o picar en las extendidas campañas de “phishing” destinadas a obtener acceso a datos o cuentas.

Así, no hay duda cómo mecanismos como por ejemplo el de doble autenticación (2FA), demostrarían la diligencia y el deseo de proteger los principios inspiradores del RGPD. Y ello, como no, mitigaría sustancialmente las consecuencias de posibles infracciones llegado el caso.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 23, 2018

DELEGADO DE PROTECCIÓN DE DATOS (DPO-DPD)—RGPD VI

El DPO -según sus siglas en inglés- ó DPD -en español- es la figura central del sistema de protección de datos de las empresas obligadas a partir del 25 de mayo y estrella indiscutible de la reforma que trae el Reglamento Europeo (RGPD). Y no es para menos.

Es tan importante la figura del DPO que el legislador, en un proyecto de ley que no se ha molestado ni en hacer el tradicional copia/pega con que se trasponen la mayoría de las normas comunitarias haciendo meras menciones a artículos del Reglamento, sí desarrolla de forma más detallada y extensa esta figura.

En primer lugar, vaya por delante antes de nada que NO toda la empresa o profesional tendrá la obligación de disponer de un Delegado de Protección de Datos.

Obligados a tener un DPO

El Reglamento Europeo de Protección de datos RGPD es claro y conciso. Están obligados a tener un Delegado de Protección de Datos (DPO):

a)      Autoridades u organismos públicos;

b)      Cuando se traten  de forma habitual y sistemática datos de interesados a gran escala, o

c)       Se traten datos especialmente protegidos o relativos a condenas e infracciones penales.

Pero es la Ley la que desarrolla un listado más detallado de los obligados:

a)      Los colegios profesionales.

b)      Los centros docentes que ofrezcan enseñanzas reguladas.

c)       Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.

d)      Los prestadores de servicios de la sociedad de la información (*) cuando elaboren a gran escala perfiles de los usuarios del servicio.

e)      Las entidades de crédito.

f)       Los establecimientos financieros de crédito.

g)      Las entidades aseguradoras.

h)      Las empresas de servicios de inversión,.

i)        Distribuidores y comercializadores de energía eléctrica.

j)        Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude (blanqueo).

k)      Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l)        Los centros sanitarios.

m)    Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n)      Los operadores de juego

o)      Empresas de Seguridad Privada.

Como debe ser el DPO (certificación)

El DPO es garante del cumplimiento de la normativa de la protección de datos en las organizaciones e interlocutor con las Autoridades de Control (AGPD). Y como tal, su nombramiento debe ser comunicado a la AGPD.

Para cumplir sus funciones,  el RGPD sólo exige conocimientos especializados en derecho y que sus cualidades profesionales y experiencia le permitan cumplir con las funciones que detallamos más adelante.

“5.El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”

Ante este planteamiento tan poco concreto la AGPD, en su potestad de aportar la mayor seguridad a los titulares de los datos, está procediendo a fijar el detalle de los requisitos que deberá cumplir el Delegado de Protección de Datos y las formas de acceder a la cualificación como tal.

Así ha manifestado la AGPD que en principio, según lo dispuesto en el RGPD, no parece que sea exigible una titulación en Derecho para acceder al puesto, aunque la exigencia de “conocimientos especializados del derecho” parecen aconsejarlo así.

También fija la AGPD el foco buscando las ‘cualidades profesionales’, en la posible experiencia anterior del DPD en Protección de Datos, en su conocimiento del ‘entorno‘ o incluso y en su caso en el conocimiento de idiomas.

Como forma de cumplir o concretar todos esos ‘requisitos’ la propia AGPD, junto con una entidad privada, está fomentando un sistema ‘oficial’ de certificación de Delegados de Protección de Datos que a día de hoy no tiene agentes certificadores que ofrezcan cursos, es posible que sea el germen en un futuro (probablemente lejano) sistema de certificación que venga del desarrollo reglamentario del proyecto de Ley LOPD que ya señala que “el cumplimiento de los requisitos (…) podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación“. Pero eso llegará a muy largo plazo.

Al menos hasta que se apruebe la ley -que comentan en la propia AGPD que no será en este año- no habrá ni cursos oficiales y certificaciones oficiales para los Delegados de Protección de Datos.Y sin embargo, el día 25 de mayo sí habrá obligación de tener un DPO. Si tiene la obligación de tener un DPO, busque experiencia y conocimiento, porque no existen a día de hoy ni cursos ‘homologados‘ ni certificaciones oficiales que habiliten a los Delegados, aunque haya quien los venda como tal.

Funciones del DPO

El DPO deberá:

  • informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de sus obligaciones en relación con los Datos;
  • supervisar el cumplimiento de la Ley. Entendido el asesoramiento de la forma más amplia y extendida a todos los campos y departamentos que alcance el tratamiento de Datos Personales.
  • Asesorar al responsable del tratamiento sobre la evaluación de impacto en el tratamiento que se haga de los Datos.
  • Ser el contacto y cooperar con la autoridad de control. AGPD o autoridades autonómicas, señala el proyecto de ley (nota: ¡viva la multiplicación de la burocracia!).
  • Recibir reclamaciones de interesados sobre los datos personales tratados.

Posición del DPO en la empresa

EL RGPD y la ley colocan al Delegado de Protección de Datos en una posición de poder en ciertos aspectos casi ‘blindada‘, por lo que es posible que muchas empresas obligadas opten por externalizar el servicio aún cuando cuentan en sus plantillas con personal suficientemente preparado y con un conocimiento definitivamente superior de los mecanismos internos.

Así la Ley y el RGPD fijan la siguiente posición para el DPO

  • Participará de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Se le respaldará en el desempeño de sus  funciones, se le facilitarán los recursos necesarios para el desempeño de dichas funciones y el acceso a TODOS los datos personales y a TODAS las operaciones de tratamiento. Si bien sí tiene un deber de confidencialidad.
  • No podrá recibir ninguna instrucción u orden en lo que respecta al desempeño de sus funciones  ni podrá ser destituido ni sancionado por desempeñar sus funciones salvo que incurra en dolo o negligencia grave. Además sólo rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento.
  • Se le permite desempeñar otras funciones y cometidos bajo el control del responsable o encargado del tratamiento, que  garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Entrada en vigor

Me contaba alguien hace unos días que corre el rumor de que la Unión Europea tendrá el detalle de retrasar la entrada en vigor del Reglamento (RGPD) y que tendremos tiempo para adaptarnos más tranquilamente a su exigencias. Pues igual que le dije a esa persona, el RGPD es una norma con rango de Ley de aplicación directa publicada en un documento oficial y no existe ningún mecanismo legal que permita retrasar la entrada en vigor antes del 25 de mayo.

Aunque es previsible que la AGPD sí se comporte de una forma algo más flexible, al menos desde el punto de vista de sancionador, la realidad legal es que las empresas obligadas a tener  un Delegado de protección de datos DPO, el 25 de mayo deberán tener un nombre que notificar a la AGPD.

.

.

.

(*)«Servicios de la sociedad de la información» o «servicios» es todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.

El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:

  1. º La contratación de bienes o servicios por vía electrónica.
  2. º La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
  3. º La gestión de compras en la red por grupos de personas.
  4. º El envío de comunicaciones comerciales.
  5. º El suministro de información por vía telemática.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 21, 2018

Derechos ARCO vs Derechos ARSULIPO—RGPD V

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 13:07

Los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de la LOPD se reinventan, se amplían y nos fastidian el acrónimo.

  • Derecho de Acceso
  • Derecho de Rectificación
  • Derecho de SUpresión (”el derecho al olvido” lo denomina el propio RGPD)
  • Derecho a la LImitación del tratamiento
  • Derecho de Portabilidad
  • Derecho de Oposición

Los nuevos derechos de Supresión y Portabilidad que incorpora el RGPD (Reglamento Europeo de Protección de Datos) nos dejarían el acrónimo en algo así como “Derechos ARSULIPO”. Obviamente nada que ver con la sonoridad y la fuerza semántica de los antiguos “ARCO“, aunque confiamos en que la AGPD no elija esta opción que suena más bien a algún tipo de roedor en peligro de extinción.

Entrando en la cuestión y como planteamiento general previo hay que señalar que el ejercicio de los derechos debe ser para el interesado fácil, accesible y no podrán ser denegados por el hecho de que el interesado opte por un medio distinto al sugerido por el responsable del tratamiento.

Derecho de Acceso

El interesado tendrá derecho a acceder, no ya a los meros datos, sino a toda la  información sobre los mismos.

El nuevo proyecto de LOPD establece que este derecho de acceso se considerará otorgado si el responsable del tratamiento, sin hacer entrega de los datos o la información, facilita una vía de “acceso remoto, directo y seguro” a los mismos.

Asimismo, al amparo del RGPD, establece que el responsable del tratamiento se podrá negar el derecho de Acceso o cobrar por el ejercicio del mismo si, salvo causa legítima para ello que deberá hacerse constar por el interesado,  este se solicita el ejercicio del derecho en más de una ocasión durante el plazo de 6 meses.

Las novedades sobre la antigua LOPD de 1999 es que la nueva LOPD no fija un plazo para la respuesta (hasta ahora 30 días) por parte del Responsable del Tratamiento a la solicitud de acceso.

Derecho de Rectificación

Es el proyecto de LOPD el que desarrolla y limita más este derecho al establecer que el interesado deberá detallar los datos que desea rectificar y, si es necesario, aportar la documentación justificativa del error o el carácter incompleto de los mismos.

Al igual que en el caso del derecho de acceso, el Proyecto de Ley no fija un plazo de respuesta a diferencia de los 10 días que establece la LOPD.

Derecho de SUpresión (derecho al olvido)

El interesado tendrá derecho a obtener “sin dilación indebida” —pero sin plazo concreto ni en el proyecto de LOPD ni en el RGPD— del responsable del tratamiento la supresión de los datos si:

  • los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos
  • el interesado retire el consentimiento
  • el interesado se oponga al tratamiento (derecho de oposición que veremos más adelante)
  • los datos personales hayan sido tratados ilícitamente;

Se podrá denegar el ejercicio de este derecho cuando l tratamiento sea necesario:

  • para ejercer el derecho a la libertad de expresión e información;
  • para el cumplimiento de una obligación legal ;
  • para la formulación, el ejercicio o la defensa de reclamaciones.

Asimismo el Responsable del tratamiento podrá conservar los datos cuando la supresión derive del ejercicio del derecho de Oposición, este podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.

Derecho a la LImitación del tratamiento

La LImitación en el tratamiento cosiste en que los datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento expreso del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando:

a)      el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;

b)      el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c)       el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d)      el interesado se haya Opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

En responsable del tratamiento deberá hacer costar de forma expresa en su Sistema qué datos concretos se encuentran limitados.

Derecho de Portabilidad

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a)      el tratamiento esté basado en el consentimiento ó

b)      el tratamiento se efectúe por medios automatizados.

El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Caso de haber procedido a la Rectificación, a la Supresión de los datos o a la Limitación de los mismos, el Responsable del tratamiento vendrá obligado  a notificar tal hecho al interesado salvo que sea imposible o exija un esfuerzo desproporcionado.

Derecho de Oposición

Se otorga un derecho de oposición al interesado casi absoluto, con contadísimas excepciones y de forma fácil y gratuita. Así, cabe el ejercicio del derecho de Oposición al tratamiento de datos personales:

  • Incluso cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • incluso cuando el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
  • En caso de el tratamiento tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento. En este caso, los datos personales dejarán de ser tratados para dichos fines.
  • En el contexto de la utilización de servicios de la sociedad de la información, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
  • Salvo interés público, cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos.

El ejercicio de todos estos derechos deberá ser atendidos por el Responsable del Tratamiento. Más trabajo para una figura que ha perdido mucha publicidad con la aparición de la figura del Delegado de Protección de Datos que trataremos próximamente en este blog.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 15, 2018

Información y acceso a los datos: RGPD IV

Archivado en: Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 10:41

Una parte esencial en tratamiento de datos es la información que se debe notificar al interesado cuando recabamos los datos o cuando este los solicita.

Tanto la nueva LOPD como el Reglamento (RGPD) hacen una división sobre la información que se debe facilitar en función de la fuente de dichos datos.

Si los datos se obtienen el propio interesado -por ejemplo mediante el registro en una Web- , el responsable del tratamiento le facilitará  en el mismo momento:

a)      la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b)      caso de que exista, los datos de contacto del delegado de protección de datos;

c)       los fines para los que se van a utilizar los datos personales y el modo en que se van a utilizar. Debiéndose solicitar una nueva autorización si se cambia la finalidad a que destinarán los datos.

En particular, si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, se deberá informar de ello.

d)      los intereses legítimos concretos  del responsable del tratamiento o de un tercero para recabar esos datos;

e)      los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f)       en su caso, si se va a producir una transferencia internacional de datos -por ejemplo si se usa un servicio en la nube cuyos servidores se encuentran en el extranjero-.

Si los datos NO se obtienen el propio interesado, el Responsable del Tratamiento le facilitará, además de toda la información precedente:

a)      Las categorías de datos objeto de tratamiento y

b)      las fuentes de la que procedieran los datos  y, en su caso, si proceden de fuentes de acceso público;

c)       el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

d)      la existencia de los derechos de acceso, rectificación o supresión y oposición, así como el derecho a la portabilidad de los datos;

e)      el derecho a retirar el consentimiento en cualquier momento;

f)       el derecho a presentar una reclamación ante la AGPD;

g)      la existencia de decisiones automatizadas, información significativa sobre la lógica aplicada en su caso, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Toda esa información deberá ser proporcionada  por el Responsable del Tratamiento al interesado como máximo en el plazo de un mes. O si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado. O si los datos se van a comunicar a otro destinatario, como máximo en el momento en que los datos personales sean comunicados por primera vez.

Excepciones

Pero como todo no podía ser tan fácil, el RGPD si establece excepciones. Casos en los que el deber de información no es imprescindible y que pueden facilitar mucho la vida a Responsable del Tratamiento. Estas son:

  • que el interesado ya disponga de la información;
  • la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado,;
  • que la obtención o la comunicación esté expresamente establecida por Ley;
  • o cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por Ley.

Acceso

En todo caso, el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a toda la información que le debería -o le fue- comunicada detallada anteriormente además de, caso de haber transferido los datos a un tercer país, las garantías relativas a la transferencia.  Para ello el Responsable del Tratamiento facilitará una copia de los datos personales objeto de tratamiento, pudiendo para ello exigir al interesado un canon razonable basado en los costes administrativos.

Es decir, vendremos obligados a entregar copia de los datos, pero podremos exigir el importe del coste que ello ocasione.

Finalmente sólo queda señalar la obviedad de que es obligatorio entregar o notificar toda la información citada anteriormente, pero es sabio conservar copia o justificante de haberla entregado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 13, 2018

Datos especialmente protegidos – RGPD III

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 12:01

Podemos tratar toda clase de datos siempre que medie consentimiento, pero hay algunas categorías de datos de los que el Reglamento (RGPD) prohíbe el tratamiento. Son datos “especialmente protegidos”, aunque -como casi todo en Protección de Datos- con matices.

Así, el Reglamento prohíbe el tratamiento de Datos:

  • que revelen el origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud
  • datos relativos a la vida sexual o las orientación sexuales de una persona física.

Salvo excepciones (y excepciones a las excepciones):

  • Que el interesado de su consentimiento explícito salvo que lo prohíba expresamente una ley.

Consentimiento que no bastará para levantar la prohibición según la nueva LOPD para datos relativos a la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico… Pura matemática: prohibición x excepción x prohibición de la excepción = prohibido.

  • El tratamiento de los datos es necesario es necesario para el cumplimiento de obligaciones  legales en el ámbito del Derecho laboral y de la seguridad y protección social.

Es decir, que si hay una obligación legal que necesite del tratamiento de esa categoría de Datos, su tratamiento SÍ estará permitido.

  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

Si está capacitado, sí será necesario el consentimiento. O dicho en sentido contrario: según el Reglamento, hasta para salvarle la vida a alguien se necesita su consentimiento para tratar los datos si puede dar dicho consentimiento

  • El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos. Si bien en este caso los datos exigirán de otros deberes de información que se tratarán por su extensión en otro Post.

-        Aviso a empresas de marketing, big data, etc. Los datos manifiestamente públicos podrán ser utilizados

-        Aviso a particulares: cuidado con lo que se cuelga y como se cuelga en Twitter, redes sociales, etc.

  • El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
  • Por razones de Interés público.

Veremos el desarrollo si es que este llega a producirse, pero de momento esta excepción parece cajón de sastre que abre la puerta a posibles actuaciones Orwelianas;

  • El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado.

(Nota: Resuelta la excepción a la excepción: las ambulancias no necesitarán llevar formularios a firmar por el accidentado para poder comunicar al hospital la situación del mismo antes de llegar.)

  • El tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

En resumen, si se trata de una empresa, entidad o profesional podrá tratar datos especialmente protegidos como los datos relativos a la salud, datos genéticos sólo con consentimiento del interesado. Pero en ningún caso podrá tratar datos como la ideología, las convicciones religiosas o políticas, la vida sexual o la afiliación sindical, salvo que la normativa laboral nos obligue a tratarlos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 8, 2018

RGPD II: Tratamiento de los datos

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 12:38

Ya hablamos hace unos meses en este blog del consentimiento para el tratamiento de los datos de carácter personal, así que hoy trataremos qué datos, con qué fines y en qué forma deben ser tratados esos datos de forma legal.

Los datos personales serán:

  • Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)“;  Y será lícito sólo
    • Si medió  consentimiento ó
    • si el tratamiento es necesario para la ejecución de un contrato ó
    • si los datos son necesarios para que el Responsable del tratamiento cumpla una obligación legal -piense por ejemplo en la obligación de algunos profesionales de hacer notificaciones a hacienda- ó
    • si son necesarios para proteger intereses vitales del interesado o de otra persona física -piensen en profesionales médicos por ejemplo-
    • Los datos serán recogidos sólo “con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines“. Es decir, sólo se  utilizarán con la finalidad para la que fueron recogidos. Por ejemplo, si los recogimos para ejecutar un contrato, no podremos utilizarlos para enviar  publicidad posteriormente si no nos han autorizado expresamente y con limitaciones para ello.
  • Y sólo los mínimos datos imprescindibles para cumplir la finalidad para la que se piden. Principio de «minimización de datos», lo llama el RGPD;
  • Exáctos. Con obligación de establecer medidas para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. Es decir, se obliga a mantener mecanismos o planes que permitan tener los datos actualizados
  • Mantenidos exclusivamente durante el periodo que sean necesarios para los fines para los que fueron recabados. «Limitación del plazo de conservación», lo denomina el RGPD
  • Tratados con todas las medidas de seguridad: «integridad y confidencialidad».

El obligado al cumplimiento de todos estos requisitos será  el Responsable del Tratamiento que además deberá ser capaz de demostrar de forma activa que cumple con ellos: «responsabilidad proactiva».

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Entradas más antiguas »