Febrero 8, 2018

RGPD II: Tratamiento de los datos

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 12:38

Ya hablamos hace unos meses en este blog del consentimiento para el tratamiento de los datos de carácter personal, así que hoy trataremos qué datos, con qué fines y en qué forma deben ser tratados esos datos de forma legal.

Los datos personales serán:

  • Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)“;  Y será lícito sólo
    • Si medió  consentimiento ó
    • si el tratamiento es necesario para la ejecución de un contrato ó
    • si los datos son necesarios para que el Responsable del tratamiento cumpla una obligación legal -piense por ejemplo en la obligación de algunos profesionales de hacer notificaciones a hacienda- ó
    • si son necesarios para proteger intereses vitales del interesado o de otra persona física -piensen en profesionales médicos por ejemplo-
    • Los datos serán recogidos sólo “con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines“. Es decir, sólo se  utilizarán con la finalidad para la que fueron recogidos. Por ejemplo, si los recogimos para ejecutar un contrato, no podremos utilizarlos para enviar  publicidad posteriormente si no nos han autorizado expresamente y con limitaciones para ello.
  • Y sólo los mínimos datos imprescindibles para cumplir la finalidad para la que se piden. Principio de «minimización de datos», lo llama el RGPD;
  • Exáctos. Con obligación de establecer medidas para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. Es decir, se obliga a mantener mecanismos o planes que permitan tener los datos actualizados
  • Mantenidos exclusivamente durante el periodo que sean necesarios para los fines para los que fueron recabados. «Limitación del plazo de conservación», lo denomina el RGPD
  • Tratados con todas las medidas de seguridad: «integridad y confidencialidad».

El obligado al cumplimiento de todos estos requisitos será  el Responsable del Tratamiento que además deberá ser capaz de demostrar de forma activa que cumple con ellos: «responsabilidad proactiva».

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Junio 21, 2016

RGPD I: Consentimiento y datos personales con el nuevo Reglamento UE

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 13:00

El nuevo Reglamento de protección de datos viene a introducir importantes novedades y entre ellas la base de todos los datos: el consentimiento del Usuario

El consentimiento hasta ahora

En Protección de datos el punto de partida y eje central de todo es el Consentimiento del usuario para el tratamiento y utilización de sus datos personales. Cuestiones como la utilización, el tratamiento o la seguridad de los mismos quedan supeditados a ese consentimiento previo.

La Ley Orgánica 15/1999, define Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. Debiendo los interesados a los que se soliciten datos personales “ser previamente informados de modo expreso, preciso e inequívoco” (Art 5.1 LOPD).

Hasta ahora se prestaba la información en largos y tediosos textos que casi nadie leía y se recababa el consentimiento no sólo de forma expresa -forma reservada a determinados datos especialmente protegidos-, sino también de forma Tácita -no me opongo, luego presto consentimiento- o incluso Presunta -sigo navegando, luego presto mi consentimiento-.

Ahora, el nuevo reglamento nos obligará a replantear como recabamos el consentimiento y la forma y la información que proporcionamos al Usuario

El Consentimiento en el nuevo Reglamento UE

Al contrario que hacía y hace aún la LOPD, el nuevo reglamento viene a exigir que para que la prestación del consentimiento para el tratamiento de datos personales sea válida el usuario realice una acción activa ya sea mediante una declaración expresa ya sea mediante acción afirmativa de algún tipo.

Además se exige  al responsable del tratamiento que sea capaz de demostrar  el consentimiento del usuario para el tratamiento de sus datos personales (”Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”).

Consentimiento de menores

Distingue la LOPD actual entre menores o mayores de 14 años En el caso de menores de 14 años deberán prestar el consentimiento sus representantes legales

El Reglamento UE también introduce modificaciones en esta materia al establecer una edad mínima para prestar consentimiento de 16 años, si bien abre la puerta a que los Estados miembros en sus legislaciones nacionales establezcan una edad inferior a estos efectos que en ningún caso podrá ser de menos de 13 años. Pero esa normativa evidentemente aún no existe y tenemos que quedarnos con el límite general de los 16 años

Además exige que “El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible”. Una disposición obviamente muy vaga esta de los ‘esfuerzos razonables’ pero que seguro veremos desarrollada en su día por la práctica e informes de la AGPD

Consentimiento Informado

El consentimiento debe ser también y sobre todo “informado“. Así el nuevo Reglamento UE establece algunas nuevas obligaciones en este deber de información entre las que cabe destacar:

  • La información proporcionada al usuario debe ser “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño” .
  • La información será proporcionada “por escrito o por otros medios, inclusive, si procede, por medios electrónico”.
  • La información podrá ser facilitada verbalmente pero sólo ante petición del interesado y se demuestre la identidad del usuario por otros medios.
  • El derecho del usuario llegado el caso a acudir a una autoridad de control y a ejercitar acciones judiciales.
  • Se informará al usuario de los datos de contacto de la nueva figura creada por el reglamento del Delegado de Protección de Datos.
  • El plazo durante el cual se conservarán los datos o al menos los criterios utilizados para calcular tales plazos.
  • El derecho a la portabilidad de los datos
  • Y en su caso “la existencia de decisiones automatizas, incluida la elaboración de perfiles  …….) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.”

Todas estos cambios y muchos otros que trataremos en próximos posts no entrarán en vigor hasta el 25 de mayo de 2018, pero en algunos casos no son fáciles de implementar ni hay impedimento alguno para ir adaptándose a lo inexorable.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

« Entradas más recientes