noviembre 22, 2018

Partidos políticos y barra libre de consentimientos LOPD

Filed under: Comercio Electrónico,Protección de Datos,RGPD — legisconsulting @ 13:24

Daños colaterales de la Ley Electoral: ¿Podrá cualquiera tratar datos personales de cuaualquiera sin consentimiento por el mero hecho de haberlos encontrado en Internet?

Ante las noticias aparecidas en medios de comunicación sobre la modificación de la Ley Orgánica del Régimen Electoral General (LOREG) en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, la Agencia Española de Protección de Datos (AEPD) quiere manifestar lo siguiente(*):

«El texto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas.

Tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos.

Sólo permite, conforme al Considerando 56 del Reglamento Europeo de Protección de Datos, la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales. Esta interpretación se fundamenta en la supresión del término “tratamiento” recogido en la enmienda 331 inicialmente presentada en el Congreso.

Este criterio se basa, asimismo, en la supresión del apartado 2 de dicha enmienda, que permitía la difusión de propaganda electoral basada en perfiles ideológicos con determinadas garantías.

El texto permite el envío de propaganda electoral sin que su contenido pueda basarse en los perfiles antes citados, identificando en cualquier caso su naturaleza electoral y garantizando el ejercicio sencillo y gratuito del derecho de oposición.

En todo caso, las previsiones del artículo recogido deben cumplir todas las garantías establecidas en el Reglamento Europeo de Protección de Datos.»

(*)Texto extraido de la web Noticias Jurídicas

Pero al margen de comunicado, veamos las normas:

1.-) REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD)

Considerando (56):  Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

2.-) Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (en tramitación)

Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2.
Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.

5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.

Y  según el RGPD, tienen la consideración de fuentes de acceso público:

  • el censo promocional,
  • las guías telefónicas
  • las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
  • los diarios y boletines oficiales
  • los medios de comunicación… (Internet y las Redes Sociales no lo son, al menos hasta ahora)

Entonces, eso de «páginas Web y otras fuentes de acceso público«: ¿cambia el concepto de fuente de acceso público?; ¿podremos -cualquiera, no solo los partidos- tratar datos de cualquiera que cumpla la LSSI en su Web?; ¿o de cualquiera con un perfil de Linkedin o Facebook?; ¿¡…sin consentimiento expreso!?

Personalmente pienso que no puede ser, pero aquello de la seguridad jurídica parece ser un bien cada vez más escaso…

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

agosto 30, 2013

¿Obliga la LOPD a formatear el ordenador?: PP vs Bárcenas

Filed under: Protección de Datos — legisconsulting @ 10:45

La noticia del los ordenadores de Bárcenas entregados al juez nos da pie a analizar a qué obliga la ley caso de baja de un trabajador.

Antecedentes

Legalmente Bárcenas era un ‘empleado’ que usaba los medios de la empresa entre los que parece que se encontraban dos ordenadores.

El PP, una vez producida la baja del Sr. Bárcenas en el partido, ha procedido a formatear o destruir los discos duros de dichos dispositivos.

¿Es obligatorio el formateo?

La respuesta simple es que NO, aunque SÍ lo es el borrado de datos personales.

El Art 92 del RD obliga a la ‘destrucción o borrado’ del ordenador (de hecho cualquier soporte) caso de ‘desecharse’ el dispositivo, pero en este caso el dispositivo parece que no ha sido desechado (tirado a la basura), sino que el ordenador se la ha asignado a otro trabajador. Y todos los datos personales que no vaya a utilizar el nuevo trabajador dentro de sus funciones deberán ser borrados para que no tenga acceso a los mismos (Art. 91, 1 RD).

El PP borró todos los datos personales mediante el formateo del ordenador o la destrucción del disco duro. Un mecanismo de borrado tan legal y casi tan efectivo como la trituradora o el mechero.

Sin entrar a valorar si el ordenador formaba parte de un procedimiento judicial abierto o sobre las pruebas del mismo porque es mucho más complejo, cabe concluir que el PP cumplió la LOPD en este punto.

Copia de seguridad

Aunque los ordenadores fueran borrados, debe existir una copia de seguridad de esos mismos datos, ya que hay una obligación legal de realizar copias de seguridad de los ficheros que contengan datos personales con una actualización como mínimo semanal (Art. 94.1 RD).

Es decir, el PP debe tener una copia de seguridad de todos los archivos que, en contra de lo oído ayer en algún medio, estará en cualquier sitio menos en la sede del PP (Art. 102 RD)

Pero el problema que surge en este punto son los datos sobre los que se habrá hecho el ‘backup’.

Todo el mundo tiene en el ordenador de la empresa también documentos personales y que van desde la factura del teléfono, las direcciones de los amigos o las fotos de las vacaciones. En este caso la empresa no es titular ni ha obtenido autorización para el almacenamiento ni tratamiento de esos datos, por lo que tales datos, caso de haberse trasladado a la copia de seguridad, deberían también ser borrados.

En definitiva, caso de encontrarse documentos personales del Sr. Bárcenas en la copia de seguridad, el PP debería, para cumplir la ley, borrarlos sin que pudieran ser recuperados. Otra cuestión es que tales documentos no sean personales, sino referidos al partido o no contener ‘datos personales’. Pero una vez borrados sin posibilidad de recuperación, ¿quién podrá demostrar que no eran personales o estaban en el ordenador?.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 18, 2013

Cámaras y LOPD: cazador cazado

Filed under: Protección de Datos,Uncategorized — Etiquetas: , , — legisconsulting @ 12:14

La AGPD establece que la grabación de vídeos para ser utilizadas como base de una denuncia es contraria a la ley y susceptible de ser castigada con una sanción.

Partiendo de una consulta sobre si es posible grabar a empleados públicos en su puesto de trabajo con el fin de denunciarles por el incumplimiento de sus obligaciones, la AGPD dicta un informe que, a pesar de no ser novedoso, sí resulta muy clarificador sobre los límites a las grabaciones en un sentido que va mucho más allá que el que plantea tal consulta.

Límites a la grabación

En caso de grabar a una persona física, existe una limitación que parte de la propia Constitución que busca proteger el derecho a la propia imagen de las personas. Limitación a la que el Tribunal Constitucional atribuye mayor relevancia si la grabación se realiza en el lugar de trabajo.

Así, las grabaciones realizadas de personas físicas identificadas o identificables entran dentro del marco de protección de la LOPD. Y ello con la única excepción recogida en la Directiva europea de las grabaciones realizadas “por una persona física en el ejercicio de actividades exclusivamente personales o domésticas” afectando a la “esfera más íntima de la persona”. Entendiendo como tales sólo las correspondientes a la vida privada o familiar de los particulares.

Y considerando que ni un lugar de trabajo, ni una oficina o establecimiento público puede formar parte de la esfera personal o doméstica más estricta, para cualquier grabación serán de aplicación todas las exigencias de información y autorización expresa previas de la LOPD.

En definitiva, que una grabación sólo podrá efectuarse –o casi– sin las exigencias que para ella exige la LOPD si se realiza por un sujeto en el salón de su propia casa y de sus niños.

Uso de la grabación

La LOPD dedica buena parte de su contenido al tratamiento de los datos –las grabaciones en este caso– y a su almacenamiento. Situaciones para las que la ley establece una serie de exigencias y requisitos. Pero también excluye de tales exigencias a las grabaciones realizadas exclusivamente en el ámbito privado.

Así, quedaran excluidas de tales exigencias sólo si la utilización de la grabación se realiza exclusivamente dentro del ámbito “de las relaciones familiares o de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos”

Podemos grabar el cumpleaños de las niñas, pero sólo para verlo en casa con los amigos­–o casi–. Nada de exhibirlo en el cine del barrio por guapas que estuvieran las niñas.

Cazador cazado

O lo que es lo mismo, denunciante denunciado.

Lo que viene a decir la AEPD es que las grabaciones sólo se pueden realizar en el ámbito estrictamente doméstico y ser utilizadas en el mismo ámbito. Y ni un puesto de trabajo, ni una oficina, ni un tan siquiera un juzgado en que presentáramos una denuncia pertenecen a tal ámbito.

Quien realice una grabación de alguien para denunciarle por incompetente, ya avisa la AGPD que se puede encontrar con una denuncia por incumplimiento de las numerosísimas exigencias de la Ley de Protección de datos. Y con una importante sanción.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

diciembre 4, 2012

Guía de uso seguro del Cloud: LOPD

Filed under: Comercio Electrónico,Informática,Protección de Datos — Etiquetas: , , — legisconsulting @ 11:34

El almacenamiento en la nube (en adelante Cloud) es una solución fácil, eficiente y práctica. Pero es una herramienta con unos requisitos y condicionantes –exigidos por la LOPD y controlados por la AEPD– que hay necesariamente que conocer y seguir para un uso seguro de la misma.

Las condiciones y requisitos exigidos por la Ley no deben entenderse como para ser negociados punto por punto, sino para elegir de entre los proveedores de servicios de almacenamiento Cloud, al que los ofrezca directamente sin –prácticamente– más trámites.

¿Como se cumplen todas las exigencias?

Se mostrarán más adelante la gran cantidad de requisitos exigidos por la Ley par este tipo de contratos, ¿pero como se cumplen?: pues, en resumen, eligiendo un proveedor de Servicios Cloud que incluya en sus condiciones todas las exigencias legales en lugar de exigir cada punto.

Obviamente, si nos planteamos negociar con el prestador de los servicios punto por punto y requisito por requisito cada uno de los extremos legalmente exigidos, la contratación de estos servicios sería imposible. Pero eso no es así.

Se ha manifestado reiteradamente en este blog que las condiciones que ponemos en las Web son contratos por los que las partes vienen obligados (el contrato obligatorio para este servicio). Y si el proveedor nos muestra el resto de condiciones exigidas, pues cumplimos con la ley.

Sirva como ejemplo un conocido proveedor de estos servicios que ni tan siquiera está radicado en España ni en la UE, sino que es simplemente una de las entidades adheridas al mencionado acuerdo Safeharbour. Y como para cumplir la práctica totalidad de las exigencias sólo hay que ver su Web.

No se trata de elegir el contrato de almacenamiento y todas sus exigencias, sino elegir al proveedor que las ofrezca sin prácticamente más trámites.

Involucrados en el Cloud

En términos de la LOPD, en un contrato de almacenamiento de datos en la nube, además de los titulares de los datos, hay una actividad que es el Tratamiento de dichos datos y dos personas involucradas:

  • Tratamiento de los datos: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.
  • El contratante de servicios Cloud: es lo que la LOPD llama el ‘Responsable del Fichero’. Es decir, quien decide sobre la finalidad, contenido y uso del tratamiento. Y a quien corresponde exigir a su proveedor de servicios Cloud que articule las medidas de seguridad que correspondan
  • El prestador de servicios Cloud: o lo que la LOPD llama el ‘Encargado del Tratamiento’, que es la persona que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Es su obligación articular las medidas necesarias para dotar a los datos del nivel de seguridad que proceda.

En este marco, es el contratante de los servicios Cloud –el usuario de los servicios– el responsable de que el prestador de los servicios cumpla la normativa española. Y para ello es esencial la formalización del Contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros cuyo contenido se detalla más adelante en este artículo.

En ningún caso cabe legalmente el pacto de que la normativa a aplicar sea la de otro país.

Almacenamiento de datos (localización)

Resulta esencial para la seguridad del contratante saber en qué condiciones y en que país se almacenarán físicamente los datos. Y como lo más normal es que los datos no se almacenen en España, cabe señalar que la transferencia internacional de datos sólo se podrá dar a países que tengan lo que la ley llama un nivel de protección adecuado (lista).

Para el almacenamiento de datos en países que no se incluyan en esa lista de países con un nivel de protección adecuado será necesaria, previa aportación de las garantías adecuadas, la autorización del Director de la AEPD.

Por el contrario, no será necesaria esa autorización del director de la AEPD:

  • Si la transmisión se realiza dentro del Espacio Económico Europeo, porque ello no se considera una transferencia internacional de datos
  • En Países a los que la Comisión Europea considera con un nivel de protección de los datos equiparable al Europeo
  • Servicios prestados por Entidades radicadas en los EEUU que se hayan adherido voluntariamente para la prestación de estos servicios al acuerdo Safeharbor (entidades adheridas). Si bien, si estas entidades van a transferir los datos personales a un tercer país, deberá aportar garantías por escrito para ofrecer al menos el mismo nivel de protección que se le haya requerido.

También será posible contratar con un proveedor de servicios Cloud de un tercer país –de los de un nivel de protección no adecuado– cuando este proveedor haya obtenido previamente del Director de la AEPD la autorización para realizar transferencias internacionales de datos.

De cualquier forma, en todos los casos –sea o no necesaria autorización– será necesaria la formalización de un contrato. Y en este sentido cabe señalar que los contratos que se celebren de acuerdo con “Las Cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países” (Decisión CE 2010/87/UE), se considera que ofrecen las garantías adecuadas.

Contenido mínimo del (obligatorio) Contrato

En todo caso, y sean cuales sean las circunstancias, la LOPD exige la formalización de un contrato entre proveedor de servicios de Cloud y el usuario de los mismos.

Art. 12.2 LOPD. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar

Al margen de lo exigido por el artículo trascrito, en el preceptivo contrato que debe existir entre Prestador del servicio de almacenamiento y el Usuarios, hay una serie de cláusulas que considero esenciales

  • Cumplimiento de la legislación en materia de Protección de datos: El prestador del servicio debe asumir de forma expresa su condición de Encargado del Tratamiento en los términos y con todas las obligaciones establecidas por la Ley española y europea. Incluidas las autorizaciones y requisitos citados anteriormente si los datos se almacenaran en países con un nivel de protección NO adecuado en los términos expuestos en el apartado anterior.
  • Datos: Es imprescindible la mención expresa de que el uso de los datos que haga el prestador del servicio será única y exclusivamente el autorizado por el contratante, y de que en ningún caso podrá disponer de los datos que le hayan sido proporcionados
  • Acceso a los datos: El prestador del servicio debe garantizar en el contrato que la información aportada sólo será accesible para el contratante del servicio.
  • Caso de que alguno de los datos aportados sea de los calificados por la ley como de especial protección, se exigirá que consten las medidas de seguridad exigibles en función de los mismos.
  • Integridad y conservación. El prestador del servicio deberá disponer y hacer constar en el contrato los mecanismos disponibles para recuperación de la información y copias de seguridad que garanticen la conservación íntegra de la información y datos aportados.
  • Disponibilidad: Se deberá hacer constar un elevado porcentaje de tiempo en que el servicio estará disponible, así como la obligación de notificar las paradas programadas del mismo.
  • Resolución y Portabilidad: Plazo y forma en que se podrá rescindir el contrato por alguna de las partes, así como el plazo y la forma en que se hará entrega al contratante de los datos almacenados, su formato y la debida integridad de los mismos.
  • Mecanismo de borrado: para datos una vez hayan sido migrados o transferidos al Usuario de los servicios Cloud
  • Penalizaciones para el prestador del servicio caso de incumplimiento de las obligaciones tanto legales como de los términos del contrato.
  • Exclusión de responsabilidad: Que el cumplimiento diligente de las obligaciones por parte del contratante del servicio de Cloud le eximirá de sus responsabilidades.
  • Cláusulas contractuales tipo elaboradas por la AEPD que permiten la subcontratación de los servicios (Art. 21 RLOPD) de Cloud con un proveedor de dichos servicios que, de acuerdo con dichas cláusulas, tenga autorizada la transferencia internacional de datos
  • Sometimiento a la jurisdicción del estado del Usuario: caso de conflicto en que estén envueltos tanto prestador del servicio como usuario, como ambos o cualquiera de los dos con un tercero titular de datos, cabe establecer este sometimiento.
  • Medidas de seguridad: Si bien deben ser parte del contrato, entiendo que es una materia que necesita de un apartado propio dada su extensión e importancia.

Seguridad de los Datos

Artículo 9.1 LOPD. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Condiciones mínimas de seguridad a incluir en el contrato:

  • Mención a la diligencia debida, tanto del prestador del servicio como del usuario en cuanto a la custodia de los datos. Y en este sentido, también mención de las medidas concretas que vayan a implementar para su seguridad. Y dado que no todos los datos necesitan del mismo nivel de protección,  información expresa sobre la naturaleza de los datos a fin de poder establecer el nivel de seguridad que en función de los mismos, proceda.
  • Mención a los mecanismos de seguridad, tanto físicos como lógicos, establecidos para preservar los datos. Así como a las copias de seguridad, la periodicidad en su realización y su mecanismo.
  • Los mecanismos de autenticación para el acceso a la información en los términos y en la forma que el usuario determine.
  • Cifrado de los datos y nivel de seguridad ofrecido por las técnicas de cifrado de la información que se aplique en los sistemas del proveedor.
  • Procedimiento de recuperación y migración de los datos y mecanismos de borrado.
  • Caso de tratarse de datos especialmente protegidos de acuerdo con la legislación española, será necesario que el proveedor de los servicios establezca un registro de los accesos realizados a los datos.
  • Caso de que sea materialmente imposible verificar en persona las medidas de seguridad del prestador del servicio –imposible en este tipo de contrato ir a ver si el servidor está cerrado con llave– se podrá designar a un tercero independiente que las audite. Y es este un extremo que también debería ser incluido en el contrato dado que la ley exige el control del Encargado del tratamiento por parte del Encargado del Fichero.
  • La obligación de poner en conocimiento del Usuario del servicio cualquier incidencia que se produzca en el mismo y las medidas adoptadas para su subsanación.

Además, para todo ello y en cumplimiento del deber de diligencia exigido al Usuario de los servicios Cloud en el control del Encargado del tratamiento (el proveedor de los servicios), el Responsable del Fichero deberá exigir y tener acceso a toda la documentación técnica o auditorías externas que garanticen que se cumplen las todas las exigencias legales para el almacenamiento de datos de carácter personal.

Un contrato complejo

Es efectivamente un contrato complejo con gran cantidad de variables y exigencias cuyo incumplimiento puede traer graves consecuencias de acuerdo con la Ley. Y es que en tanto no se apruebe un método más ágil y acorde con el medio en que se desenvuelven este tipo de contratos, la normativa que hay es esta y lo más seguro es cumplirla.

Hay en proyecto un nuevo Reglamento de Protección de Datos que sin duda cambiará las condiciones y los intervinientes en este tipo de contratos, pero de momento no lo tenemos, y lo expuesto en este artículo a grandes rasgos, es sólo una breve guía a tener en cuenta para contratar este tipo de servicios para el almacenamiento de datos personales.

Como ha visto, si va a almacenar son datos personales, lo más razonable es contar con un asesoramiento profesional. A ello invita un régimen sancionador de la LOPD que hace que, sin duda, el coste-beneficio compense.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 7, 2012

Los peligros de la Web: LOPD y LSSI

Es la historia del turista que va de safari a África y pregunta al guía:

¿Qué animales deberían darme más miedo?; ¿De cuales debería alejarme?; ¿Cuáles son peligrosos?

A lo que el guía responde:

Todos

Pues si tenemos o nos planteamos tener un negocio de Comercio Electrónico o una Web que preste servicios –aunque estos sean gratuitos–, la pregunta a hacer es

¿Qué ley debo cumplir?. ¿Con cuál corro más riesgos?

A lo que el guía responde:

Todas

Las Leyes de los peligros

Obviamente la normativa dependerá de la actividad y los servicios, y aparte de la normativa ‘analógica’, en el sector del Comercio Electrónico hay dos normas a las que hay que prestar especial atención:

  • LSSI (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico) -> en adelante ‘el hipopótamo’
  • LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) -> en adelante ‘el leon’

Si le preguntamos al turista nos dirá que el león es mucho más peligroso que el pesado hipopótamo. Pero si le preguntamos al guía –o a cualquiera aficionado a los documentales de La 2– nos contará que el hipopótamo es el animal que más muertes causa en África.

Pues con las leyes pasa más o menos lo mismo: la mala fama –merecida en parte– de la LOPD y de su brazo armado, la AEPD, no quiere en absoluto decir que el turista deba despreocuparse de esos otros aparentemente pacíficos vecinos para con los que poner los datos del titular de la web y poco más, se cree que ya habremos cumplido.

Los peligros

Pero vayamos por partes: ¿Cuál es el importe de las sanciones previstas en cada una de la normas?

LOPD:

Artículo 45. Tipo de sanciones.

  1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros
  3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

LSS:

Artículo 39. Sanciones.

a. Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros.

b. Por la comisión de infracciones graves, multa de 30.001 hasta 1 50.000 euros.

c. Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Como se ve, el importe de las sanciones no varía tanto en una u otra ley, entonces ¿cual nos debería dar más miedo?

Bajarse del coche para la foto

El problema del la LSSI (el hipopótamo que decíamos) es la fama. Y es que al no estar tan claro quién puede imponer la sanción como en el caso de la LOPD, las repercusiones mediáticas de estas no son tan espectaculares como las de la AEPD.

Atendiendo a quien puede imponer la sanción, las sanciones por incumplimiento de la LSSI podrán ser impuestas:

  • por la autoridad que dictó la resolución incumplida,
  • o por el órgano al que estén adscritos los inspectores,
  • o por el órgano correspondiente de consumo de las Comunidades Autónomas,
  • o por el ministro de industria caso de infracciones graves,
  • o por el Secretario de Estado en infracciones y leves,
  • o por la autoridad competente en función de la materia de que se trate,
  • o por la AEPD,
  • ¡… o por varios de ellos!

Ello genera una inseguridad que ya se trató en este blog recientemente y de forma más detallada en un post sobre las infracciones y sanciones en las web.

Evidentemente, el león (LOPD) tiene una reputada fama, rapidez y poderosos colmillos (AEPD), pero el hipopótamo (LSSI) protege con fiereza su territorio y puede salir en cualquier momento de debajo del agua.

Las fotos, tras el cristal

Tal como empezábamos este post

¿Qué ley debo cumplir?. ¿Con cuál corro más riesgos?

Todas

Y no conviene ponerse a juguetear ni con el león ni con el hipopótamo, porque el E-commerce sin asesoramiento legal es como ir de safari con un tirachinas. La broma, sin duda, saldrá cara.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 12, 2019

Partidos políticos, uso de ficheros ideológicos y privacidad

Filed under: Actualidad,Protección de Datos,RGPD — Etiquetas: — legisconsulting @ 13:24

Cualquiera (¡sí, cualquiera!) podrá estudiar, almacenar, y usar como le parezca opiniones políticas. Incluso para cambiarlas como ya hizo Cambridge Analytica.

Evidentemente a los partidos (todos) están encantados de poder almacenar las preferencias y opiniones políticas de sus votantes y de los que no los son. Y si las opiniones son personalizadas y no meras tendencias de opinión, pues mejor que mejor. Para tratar esos datos persona por persona solo necesitan un programa de ordenador. Y si son datos de millones de personas, pues sólo un ordenador algo más potente.

A pesar de que el RGPD lo prohíbe expresamente (Art 9. 1.Quedan prohibidos el tratamiento de datos personales que revelen (…) las opiniones políticas), se ha venido a crear una estructura que permitirá a cualquiera tener un archivo con las opiniones políticas de sus vecinos.

Permiso para recabar opiniones políticas

Abre la puerta a ello el RGPD bajo el argumento de que sí que está prohibido pero poquito. Se permite recabar opiniones políticas de personas físicas, primero porque quienes las recaban son partidos políticos (apartado ‘d’), porque son datos que el interesado podría haber hecho públicos (apartado ‘e’) y, según un Dictamen Jurídico de la AGPD, por un supuesto ‘interés público esencial’ (apartado ‘g’). (Considerando nº 56 y Art 92.2, letras d), e) y g)).

Y en base a la normativa Europea se crea un Artículo a medida de la Ley Electoral General (Art. 58 bis):

2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

De donde sacar esa información

Como andar preguntando puerta a puerta por opiniones políticas sería carísimo para los partidos, estaría mal visto y además está prohibido por la Constitución, se abre la puerta también a que esa información se pueda recoger simplemente de la Red  cambiando fuentes de acceso público.

Así cualquier comentario publicado en Facebook o Twitter, cualquier foto en Instagram o cualquier comentario que haya hecho en un blog será una fuente legítima para que por partidos políticos puedan recabar datos sobre pautas (o monitorizar la actividad de individuos concretos) y utilizarlos para enviar publicidad personalizada ..o directamente manipular las opiniones como ya hizo Cambridge Analytica.

Un Gran Hermano en toda regla, pero el del 1984 de Orwel, no el de la TV.

La postura de la AGPD

Los partidos, en periodo electoral, podrán bombardearnos con publicidad personalizada, adaptada a las necesidades, opiniones y comportamiento de cada persona. Y eso generó un escándalo que hizo a la AGPD emitir un Dictamen Jurídico justificando la legalidad del Art 58. Bis

Basa la AGPD su argumentación en:

  • –        El «Interés Púbico Esencial» que traduce como que el tratamiento de opiniones políticas se enmarca dentro las actividades legítimas de los partidos y con el límite de informar al electorado, pero en ningún caso de influir o condicionar su voto.
  • –        El Sujeto que puede recabar los datos: sólo partidos políticos o agrupaciones electorales.
  • –        El Marco del tratamiento: La circunscripción exclusiva a ‘actividades electorales’.
  • –        La Finalidad: siempre en relación (que no directa ni exclusivamente) con su actividad electoral
  • –        Los Datos Personales Objeto del tratamiento: “opiniones políticas de las personas” obtenidas “en páginas web y otras fuentes de acceso público
  • –        El Tipo de Tratamiento: En resumen, cualquier tipo de operación realizado con los datos o con ‘conjuntos de datos’, pero siempre ‘proporcional al objetivo perseguido’
  • –        Con Garantías Adecuadas: Estableciendo básicamente las exigencias propias de datos sujetos al máximo nivel de protección.

Fija como límite temporal para el tratamiento de los datos la presentación de candidaturas.

Excluye la Propaganda Electoral del requisito previo indispensable de pedir autorización para su envío de la LSSI al no considerarla como ‘comunicaciones comerciales‘.

E insiste reiteradamente en la prohibición de utilizar técnicas como el ‘micro-targeting’ y en dar la posibilidad a los damnificados de oponerse de forma fácil e inmediata al envío de propaganda.

Los Derechos de los Ciudadanos

Como se ha insistido en numerosas ocasiones en este Blog, los Datos Personales constituyen un Derecho Fundamental consagrado tanto por la Constitución, como por la Carta  De  Los  Derechos  Fundamentales de  La  Unión  Europea, y es por ello que cabe preguntase si están en este campo suficientemente protegidos.

En primer lugar cabe destacar el fundamento del «Interés Público» como justificación suficiente para este tratamiento.

Es sabido que el  interés público es un concepto jurídico indeterminado con una doble función según la doctrina legal: por una parte dar cobertura legitimadora por una parte a la actuación de la Administración; y por otra como una de las formas de limitar las potestades administrativas.

En este campo, la utilización del término «Interés Público» tal vez no haya sido el más adecuando atendiendo por un lado al bien general que parece perseguir que es el derecho de los ciudadanos a acceder a toda la información necesaria para poder emitir su voto de forma fundada; y por otro a que la otra parte afectada por la normativa son los partidos políticos, que evidentemente no son Administración Pública.

En segundo lugar se establece la exclusión del consentimiento previa. Los partidos no necesitarán del consentimiento de ningún ciudadano para catalogarle como de una determinada opinión política y utilizar esos datos con los fines electorales que estimen convenientes, pero parece dudoso que algo así encaje con el espíritu del RGPD o incluso con la doctrina del Tribunal Constitucional.

Así, el Tribunal Constitucional, en su Sentencia 94/1998, de 4 de mayo establece que el Art. 18.4 de la CEno sólo entraña un específico instrumento de protección de los derechos del ciudadano frente al uso torticero de la tecnología informática, sino que consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona«. Y la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.

Un paraguas legal en que el ciudadano solo tiene conocimiento de que se están tratando sus datos cuando recibe propaganda electoral, sin que pueda conocer como se han obtenido dichos datos o con qué fines se están usando, no parece ser muy acorde con la doctrina del tribunal constitucional en esta materia.

Y en tercer lugar, parece más que cuestionable un sistema por el que cualquier persona física mayor de edad no incapacitada (Art 2 Ley Orgánica 6/2002, de 27 de junio, de Partidos Políticos.) pueda recabar y tratar datos sobre opiniones políticas de sus vecinos.

A nivel personal, a un ciudadano tal vez le pueda dar igual manifestar públicamente su apoyo al Partido Independentista de los Pueblos del Fuero de Baylio, pero ese ciudadano tiene el derecho fundamental a que nadie use esa información en su beneficio, porque es una información que vale millones… o si no que se lo pregunten a Facebook, Google, PSOE, PP, Ciudadanos, Podemos, Vox o los pacenses.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 5, 2018

Entender el RGPD como paso previo para adaptarse

Filed under: Comercio Electrónico,Informática,Protección de Datos,RGPD — Etiquetas: , , — legisconsulting @ 12:08

El RGPD es un ladrillo. Ya asustan de entrada los 173 considerandos en sus primeras 32 páginas antes de llegar al artículo 1. Pero en la práctica, implementarlo no es para tanto si se ha entendido…

«Efecto Reglamento»

Para quien tenga edad y memoria, con el RGPD ha pasado lo mismo que con el principio del milenio con ‘el efecto 2000‘.  Los ordenadores colapsarían y las consecuencias sería impredecibles.

Han pasado ya varios días desde la entrada en vigor del RGPD  y aún no ha pasado de moda. Siguen llegando los emails pidiendo consentimientos o comunicando unas condiciones de privacidad «adaptadas al reglamento» que dejan la enciclopedia británica como relato breve. Parece que aquello de que la información debe ser «en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo« no debe venir en todas las ediciones del reglamento.

Las consultas que entran son básicamente del tipo: «¿qué papeles debo tener en el cajón  para cumplir con el RGPD?«. Y en respuesta a tal pregunta surgen la ofertas para adaptarse al RGPD con un simple sistema informático que prometen cumplir con todas las exigencias y hasta notificar los ficheros a la AGPD. Cuando hasta la AGPD facilita la documentación para bajo nivel de riesgo.

A esta confusión contribuyen hasta las televisiones con expertos que dicen cosas cuando menos extrañas: como el alto responsable de una empresa informática que vi el otro día que, simplificando el RGPD hasta el extremo, mantenía que lo importante era el consentimiento. Que había que pedirlo de nuevo y que si el interesado lo denegaba, pues que tocaba volver a pedirlo hasta que se consiguiera… Pero muchos de los consentimientos que todo el mundo tenía antes del viernes 25 de mayo de 2018 eran válidos. La operativa de aquellos que lo venía haciendo bien sigue siendo válida; y el tratamiento de los datos de quien cumplía la LOPD necesitará de pocas adaptaciones al RGPD.

Pero muy pocos lo hacían bien porque lo limitaban a una lista de formalismos y papeles.

Qué es el RGPD

Si se ha entendido y se hace bien, la adaptación en la inmensa mayoría de los casos debería ser fácil y rápida. Pero para ello es necesario asimilar lo que NO es el RGPD

  • –        El RGPD NO es un caos: los requisitos y exigencias no son tantos si se hace debidamente.
  • –        NO es una lista de papeles: Sí hay documentos que hay que tener (que no depositar ante ala AGPD), pero no más de los que se exigían antes.
  • –        NO es una lista de formalismos
  • –        Y NO es algo que pueda hacer cualquiera

Y sí entender lo que Sí es el RGPD.

«La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal…»

  • –        Es una forma de pensar
  • –        Es una forma de actuar
  • –        Es sentido común y empatía

Obviamente, como no puede ser de otra manera, el RGPD establece una serie de formalismos concretos, pero junto a ellos plantea una serie de obligaciones, requisitos, formas de actuar e incluso conceptos jurídicos mucho menos concretos y detallados pero que sí exige que sean demostrables: «sé proactivo en la ‘protección de datos por la protección de datos’ y demuéstrame que lo eres«.

Y la única forma de hacer eso y realmente cumplir con el reglamento es entendiendo el reglamento.

Entender el Reglamento

Legalmente, prestar servicios de asesoramiento jurídico sólo lo podemos hacer los abogados. Como profesión regulada que es, el ordenamiento jurídico entiende que para prestar tales servicios se necesita de unos estudios y conocimientos específicos. Pero el Reglamento (RGPD) fija algo que parece contradictorio: El Delegado de protección de datos es por ejemplo el máximo responsable de informar, asesorar y supervisar el cumplimiento de las disposiciones del reglamento, pero no se le exige ser jurista.

Ello es porque la primera exigencia del Reglamento es entender  el entorno para saber cómo proteger los datos. Y entiende -desde mi punto de vista erróneamente- que los conocedores del entorno serán los que mejor podrán protegerlos. Y quien vive en y por esos entornos, normalmente no son juristas.

Pero el paso previo es leer y entender el Reglamento para poder aplicarlo en un entorno concreto. Y leer y entender el Reglamento es algo propio de juristas. No porque seamos más listos o menos, sino porque nuestra mente funciona de forma distinta en un ecosistema propio. Es conocido por un estudiante de primero de Derecho -y lo entiende uno de matemáticas o de informática-, que el Ordenamiento es un sistema con capacidad de auto y hetero-integración en el que todo está conectado.

(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental.

(2) … El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.

Por ello parece que en un tema tan particularmente complejo y tan lleno de pequeños matices sean los juristas los más apropiados, aunque siempre necesitaremos de otros profesionales para cualquier adaptación plena.

Se acabaron las notificaciones de archivos a la AGPD y la tenencia de papeles en un cajón colocados allí el día antes de la anunciada visita de los inspectores de la Agencia. El Reglamento establece ahora una gestión activa de los datos, unas obligaciones en la operativa diaria del tratamiento de los datos y unas funciones de autocontrol a través de órganos internos que antes estaban reservadas a la agencia. Igual que hacienda externaliza el cobro del IVA en manos de los empresarios, el reglamento externaliza la gestión y control de los datos en manos de todo el que trate datos personales con cualquier fin fuera del ‘ejercicio de actividades exclusivamente personales o domésticas‘. Y la AGPD controlará que se hace igual que hacienda controla que se cargue el IVA en las facturas.

Adaptación al RGPD

Como decía antes, la adaptación al RGPD debería ser en la mayoría de los casos fácil y rápida. Y si bien es posible crear herramientas que faciliten la labor y/o aporten un valor añadido, estas sólo pueden ser a día de hoy una solución parcial. Se requiere más: siempre serán necesarias acciones adicionales específicas sobre todo en (y en función de) la operativa.

Aprenderse de memoria el RGPD no basta. Hay que entender qué bien está protegiendo y los objetivos y límites de tal protección. La inteligencias artificial tiene un grandísimo futuro, pero para la adaptación al RGPD, la inteligencia mejor Emocional.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 2, 2018

Obligados a la protección de datos — RDPD VIII

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 13:07

El 25 de mayo entra plenamente en vigor en nuevo Reglamento Europeo de Protección de Datos que afecta a PYMES, autónomos y muchas personas que ni se les pasa por la imaginación que pudiesen estar obligados y por lo tanto expuestos a cuantiosas sanciones.

Obligados

En resumen, todo el mundo, ya sean personas físicas o jurídicas, con datos en ficheros personalmente total o parcialmente automatizados, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero de personas físicas, en actividades que no sean  exclusivamente personales o domésticas.

Es decir, cualquier dato personal en cualquier actividad que no esté exclusiva y únicamente relacionado con nuestra vida privada personal.

Artículo 2 Ámbito de aplicación material

2.El presente Reglamento NO se aplica al tratamiento de datos personales:

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

Es casi textualmente lo mismo que señala la vigente LOPD y, como normativa complementaria en el campo que le es propio, la LSSI. Por ello disponemos de un amplio y detallado desarrollo de lo que esto significa. Así, quedarán dentro de las actividades sujetas a la ley todas las actividades económicas, incluidos «los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios«.

Pero esto es sólo el resumen y conviene analizar cada elemento  para ver si realmente se está sujeto a las obligaciones del Reglamento (RGPD).

Que son ‘Datos Personales’

Toda información sobre una persona física identificada o identificable cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Es decir, casi cualquier dato referido a una persona, desde su nombre o número de DNI hasta la dirección IP de su ordenador.

Que es un ‘Fichero’

Fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Es decir, desde las bases de datos en la nube, la agenda del teléfono, hasta la agenda de teléfonos en papel que dejó el abuelo en el cajón del despacho o hasta los Post-it con los teléfonos que pegamos a la pantalla son ‘ficheros‘ a efectos de la Ley .

Que es el ‘Tratamiento de datos’

Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Es decir, desde un punto de vista legal, desde guardas las IP de las personas que visitan nuestra Web hasta tirar el Post-it que decíamos antes a la papelera es ‘tratamiento‘ de datos.

En qué ‘Actividad’

La obligación se extiende a todo tratamiento datos personales independientemente de la actividad u objetivo que se persiga con los datos personales. Sólo existe una excepción general a esa norma si se ‘tratan‘  en un ámbito exclusivamente personal o doméstico.

Soy consciente de que el concepto puede ser lo suficientemente abstracto para que genere dificultad aplicarlo a un caso concreto, por lo que tal vez trasladarlo ejemplos concretos puede facilitar su comprensión.

Ejemplos

  • La agenda que los abuelos guardan en la mesita del teléfono: obviamente no hay nada tan doméstico ni personal como eso y por tanto estaría excluido de las obligaciones del RGPD.
  • El frutero de la abuela (o cualquier tienda física)  que le lleva a la compra a casa porque pesa.  Es igual de obvio que la dirección de la abuela no es una dato personal ni doméstico del frutero y debería cumplir todas las exigencias de la normativa de protección de datos aún cuando tenga la dirección en un papel en la caja.
  • Una Web en la que se venden productos, se ofrecen servicios o funciona como mero ‘escaparate’. En este casi Sí estará obligada a cumplir las disposiciones en materia de protección de datos aún cuando no se venda o contrate nada online. Aunque si a través de la Web no se recaba ningún tipo de dato personal ni se recaban datos ya sea de forma consciente o inconsciente (por uso de cookies por ejemplo). En ese caso NO estaría obligada por el simple hecho de que no hay datos que tratar.
  • Un blog en el que se enseña a diseñar y montar centros de mesa y en el que, como en la mayoría de los blogs, se permite dejar comentarios o hacer consultas con la dirección de Email, que es un dato personal:
  • Si el blog se mantiene -o desde la asociación de vecinos o la biblioteca municipal- y quien lo hace no tiene ninguna actividad profesional relacionada, esta persona NO estaría obligada.
  • Pero si el titular del blog tiene o es socio o trabajador con según qué responsabilidad en algún tipo de negocio relacionado con las flores en el sentido más amplio -desde una floristería; a un salón de banquetes; o a una funeraria, se me ocurre-, en este caso estaría fuera de su esfera estrictamente personal o doméstica y  SÍ estaría obligado a cumplir con todas las obligaciones aunque el único dato personal al que tenga acceso sea el Email de los usuarios con sus comentarios.
  • Un canal de Youtube en que se enseñan a fabricar anzuelos para la pesca. Al igual que en el caso anterior, en tanto se haga por diversión y se realice a titulo estrictamente personal, NO estaría obligado.  Al menos durante el tiempo en que las visitas no se cuenten por miles, porque cuando sea así y se empiece a cobrar, por poco que sea, entonces SÍ se pasará a estar obligado.
  • Médicos, dentistas, fisioterapeutas, etc. Los datos que tratan y a los que acceden están especialmente protegidos y sus obligaciones son mayores que las de resto de interesados y las sanciones por incumplimiento de dichas obligaciones, sustancialmente mayores. SÍ, SIEMPRE están obligados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 23, 2018

DELEGADO DE PROTECCIÓN DE DATOS (DPO-DPD)—RGPD VI

El DPO -según sus siglas en inglés- ó DPD -en español- es la figura central del sistema de protección de datos de las empresas obligadas a partir del 25 de mayo y estrella indiscutible de la reforma que trae el Reglamento Europeo (RGPD). Y no es para menos.

Es tan importante la figura del DPO que el legislador, en un proyecto de ley que no se ha molestado ni en hacer el tradicional copia/pega con que se trasponen la mayoría de las normas comunitarias haciendo meras menciones a artículos del Reglamento, sí desarrolla de forma más detallada y extensa esta figura.

En primer lugar, vaya por delante antes de nada que NO toda la empresa o profesional tendrá la obligación de disponer de un Delegado de Protección de Datos.

Obligados a tener un DPO

El Reglamento Europeo de Protección de datos RGPD es claro y conciso. Están obligados a tener un Delegado de Protección de Datos (DPO):

a)      Autoridades u organismos públicos;

b)      Cuando se traten  de forma habitual y sistemática datos de interesados a gran escala, o

c)       Se traten datos especialmente protegidos o relativos a condenas e infracciones penales.

Pero es la Ley la que desarrolla un listado más detallado de los obligados:

a)      Los colegios profesionales.

b)      Los centros docentes que ofrezcan enseñanzas reguladas.

c)       Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.

d)      Los prestadores de servicios de la sociedad de la información (*) cuando elaboren a gran escala perfiles de los usuarios del servicio.

e)      Las entidades de crédito.

f)       Los establecimientos financieros de crédito.

g)      Las entidades aseguradoras.

h)      Las empresas de servicios de inversión,.

i)        Distribuidores y comercializadores de energía eléctrica.

j)        Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude (blanqueo).

k)      Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l)        Los centros sanitarios.

m)    Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n)      Los operadores de juego

o)      Empresas de Seguridad Privada.

Como debe ser el DPO (certificación)

El DPO es garante del cumplimiento de la normativa de la protección de datos en las organizaciones e interlocutor con las Autoridades de Control (AGPD). Y como tal, su nombramiento debe ser comunicado a la AGPD.

Para cumplir sus funciones,  el RGPD sólo exige conocimientos especializados en derecho y que sus cualidades profesionales y experiencia le permitan cumplir con las funciones que detallamos más adelante.

«5.El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.»

Ante este planteamiento tan poco concreto la AGPD, en su potestad de aportar la mayor seguridad a los titulares de los datos, está procediendo a fijar el detalle de los requisitos que deberá cumplir el Delegado de Protección de Datos y las formas de acceder a la cualificación como tal.

Así ha manifestado la AGPD que en principio, según lo dispuesto en el RGPD, no parece que sea exigible una titulación en Derecho para acceder al puesto, aunque la exigencia de «conocimientos especializados del derecho» parecen aconsejarlo así.

También fija la AGPD el foco buscando las ‘cualidades profesionales’, en la posible experiencia anterior del DPD en Protección de Datos, en su conocimiento del ‘entorno‘ o incluso y en su caso en el conocimiento de idiomas.

Como forma de cumplir o concretar todos esos ‘requisitos’ la propia AGPD, junto con una entidad privada, está fomentando un sistema ‘oficial’ de certificación de Delegados de Protección de Datos que a día de hoy no tiene agentes certificadores que ofrezcan cursos, es posible que sea el germen en un futuro (probablemente lejano) sistema de certificación que venga del desarrollo reglamentario del proyecto de Ley LOPD que ya señala que «el cumplimiento de los requisitos (…) podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación«. Pero eso llegará a muy largo plazo.

Al menos hasta que se apruebe la ley -que comentan en la propia AGPD que no será en este año- no habrá ni cursos oficiales y certificaciones oficiales para los Delegados de Protección de Datos.Y sin embargo, el día 25 de mayo sí habrá obligación de tener un DPO. Si tiene la obligación de tener un DPO, busque experiencia y conocimiento, porque no existen a día de hoy ni cursos ‘homologados‘ ni certificaciones oficiales que habiliten a los Delegados, aunque haya quien los venda como tal.

Funciones del DPO

El DPO deberá:

  • informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de sus obligaciones en relación con los Datos;
  • supervisar el cumplimiento de la Ley. Entendido el asesoramiento de la forma más amplia y extendida a todos los campos y departamentos que alcance el tratamiento de Datos Personales.
  • Asesorar al responsable del tratamiento sobre la evaluación de impacto en el tratamiento que se haga de los Datos.
  • Ser el contacto y cooperar con la autoridad de control. AGPD o autoridades autonómicas, señala el proyecto de ley (nota: ¡viva la multiplicación de la burocracia!).
  • Recibir reclamaciones de interesados sobre los datos personales tratados.

Posición del DPO en la empresa

EL RGPD y la ley colocan al Delegado de Protección de Datos en una posición de poder en ciertos aspectos casi ‘blindada‘, por lo que es posible que muchas empresas obligadas opten por externalizar el servicio aún cuando cuentan en sus plantillas con personal suficientemente preparado y con un conocimiento definitivamente superior de los mecanismos internos.

Así la Ley y el RGPD fijan la siguiente posición para el DPO

  • Participará de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Se le respaldará en el desempeño de sus  funciones, se le facilitarán los recursos necesarios para el desempeño de dichas funciones y el acceso a TODOS los datos personales y a TODAS las operaciones de tratamiento. Si bien sí tiene un deber de confidencialidad.
  • No podrá recibir ninguna instrucción u orden en lo que respecta al desempeño de sus funciones  ni podrá ser destituido ni sancionado por desempeñar sus funciones salvo que incurra en dolo o negligencia grave. Además sólo rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento.
  • Se le permite desempeñar otras funciones y cometidos bajo el control del responsable o encargado del tratamiento, que  garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Entrada en vigor

Me contaba alguien hace unos días que corre el rumor de que la Unión Europea tendrá el detalle de retrasar la entrada en vigor del Reglamento (RGPD) y que tendremos tiempo para adaptarnos más tranquilamente a su exigencias. Pues igual que le dije a esa persona, el RGPD es una norma con rango de Ley de aplicación directa publicada en un documento oficial y no existe ningún mecanismo legal que permita retrasar la entrada en vigor antes del 25 de mayo.

Aunque es previsible que la AGPD sí se comporte de una forma algo más flexible, al menos desde el punto de vista de sancionador, la realidad legal es que las empresas obligadas a tener  un Delegado de protección de datos DPO, el 25 de mayo deberán tener un nombre que notificar a la AGPD.

.

.

.

(*)«Servicios de la sociedad de la información» o «servicios» es todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.

El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:

  1. º La contratación de bienes o servicios por vía electrónica.
  2. º La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
  3. º La gestión de compras en la red por grupos de personas.
  4. º El envío de comunicaciones comerciales.
  5. º El suministro de información por vía telemática.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 21, 2018

Derechos ARCO vs Derechos ARSULIPO—RGPD V

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , — legisconsulting @ 13:07

Los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de la LOPD se reinventan, se amplían y nos fastidian el acrónimo.

  • Derecho de Acceso
  • Derecho de Rectificación
  • Derecho de SUpresión («el derecho al olvido» lo denomina el propio RGPD)
  • Derecho a la LImitación del tratamiento
  • Derecho de Portabilidad
  • Derecho de Oposición

Los nuevos derechos de Supresión y Portabilidad que incorpora el RGPD (Reglamento Europeo de Protección de Datos) nos dejarían el acrónimo en algo así como «Derechos ARSULIPO». Obviamente nada que ver con la sonoridad y la fuerza semántica de los antiguos «ARCO«, aunque confiamos en que la AGPD no elija esta opción que suena más bien a algún tipo de roedor en peligro de extinción.

Entrando en la cuestión y como planteamiento general previo hay que señalar que el ejercicio de los derechos debe ser para el interesado fácil, accesible y no podrán ser denegados por el hecho de que el interesado opte por un medio distinto al sugerido por el responsable del tratamiento.

Derecho de Acceso

El interesado tendrá derecho a acceder, no ya a los meros datos, sino a toda la  información sobre los mismos.

El nuevo proyecto de LOPD establece que este derecho de acceso se considerará otorgado si el responsable del tratamiento, sin hacer entrega de los datos o la información, facilita una vía de «acceso remoto, directo y seguro» a los mismos.

Asimismo, al amparo del RGPD, establece que el responsable del tratamiento se podrá negar el derecho de Acceso o cobrar por el ejercicio del mismo si, salvo causa legítima para ello que deberá hacerse constar por el interesado,  este se solicita el ejercicio del derecho en más de una ocasión durante el plazo de 6 meses.

Las novedades sobre la antigua LOPD de 1999 es que la nueva LOPD no fija un plazo para la respuesta (hasta ahora 30 días) por parte del Responsable del Tratamiento a la solicitud de acceso.

Derecho de Rectificación

Es el proyecto de LOPD el que desarrolla y limita más este derecho al establecer que el interesado deberá detallar los datos que desea rectificar y, si es necesario, aportar la documentación justificativa del error o el carácter incompleto de los mismos.

Al igual que en el caso del derecho de acceso, el Proyecto de Ley no fija un plazo de respuesta a diferencia de los 10 días que establece la LOPD.

Derecho de SUpresión (derecho al olvido)

El interesado tendrá derecho a obtener «sin dilación indebida» —pero sin plazo concreto ni en el proyecto de LOPD ni en el RGPD— del responsable del tratamiento la supresión de los datos si:

  • los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos
  • el interesado retire el consentimiento
  • el interesado se oponga al tratamiento (derecho de oposición que veremos más adelante)
  • los datos personales hayan sido tratados ilícitamente;

Se podrá denegar el ejercicio de este derecho cuando l tratamiento sea necesario:

  • para ejercer el derecho a la libertad de expresión e información;
  • para el cumplimiento de una obligación legal ;
  • para la formulación, el ejercicio o la defensa de reclamaciones.

Asimismo el Responsable del tratamiento podrá conservar los datos cuando la supresión derive del ejercicio del derecho de Oposición, este podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.

Derecho a la LImitación del tratamiento

La LImitación en el tratamiento cosiste en que los datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento expreso del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando:

a)      el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;

b)      el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c)       el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d)      el interesado se haya Opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

En responsable del tratamiento deberá hacer costar de forma expresa en su Sistema qué datos concretos se encuentran limitados.

Derecho de Portabilidad

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a)      el tratamiento esté basado en el consentimiento ó

b)      el tratamiento se efectúe por medios automatizados.

El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Caso de haber procedido a la Rectificación, a la Supresión de los datos o a la Limitación de los mismos, el Responsable del tratamiento vendrá obligado  a notificar tal hecho al interesado salvo que sea imposible o exija un esfuerzo desproporcionado.

Derecho de Oposición

Se otorga un derecho de oposición al interesado casi absoluto, con contadísimas excepciones y de forma fácil y gratuita. Así, cabe el ejercicio del derecho de Oposición al tratamiento de datos personales:

  • Incluso cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • incluso cuando el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
  • En caso de el tratamiento tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento. En este caso, los datos personales dejarán de ser tratados para dichos fines.
  • En el contexto de la utilización de servicios de la sociedad de la información, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
  • Salvo interés público, cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos.

El ejercicio de todos estos derechos deberá ser atendidos por el Responsable del Tratamiento. Más trabajo para una figura que ha perdido mucha publicidad con la aparición de la figura del Delegado de Protección de Datos que trataremos próximamente en este blog.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »