febrero 21, 2018

Derechos ARCO vs Derechos ARSULIPO—RGPD V

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , — legisconsulting @ 13:07

Los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de la LOPD se reinventan, se amplían y nos fastidian el acrónimo.

  • Derecho de Acceso
  • Derecho de Rectificación
  • Derecho de SUpresión («el derecho al olvido» lo denomina el propio RGPD)
  • Derecho a la LImitación del tratamiento
  • Derecho de Portabilidad
  • Derecho de Oposición

Los nuevos derechos de Supresión y Portabilidad que incorpora el RGPD (Reglamento Europeo de Protección de Datos) nos dejarían el acrónimo en algo así como «Derechos ARSULIPO». Obviamente nada que ver con la sonoridad y la fuerza semántica de los antiguos «ARCO«, aunque confiamos en que la AGPD no elija esta opción que suena más bien a algún tipo de roedor en peligro de extinción.

Entrando en la cuestión y como planteamiento general previo hay que señalar que el ejercicio de los derechos debe ser para el interesado fácil, accesible y no podrán ser denegados por el hecho de que el interesado opte por un medio distinto al sugerido por el responsable del tratamiento.

Derecho de Acceso

El interesado tendrá derecho a acceder, no ya a los meros datos, sino a toda la  información sobre los mismos.

El nuevo proyecto de LOPD establece que este derecho de acceso se considerará otorgado si el responsable del tratamiento, sin hacer entrega de los datos o la información, facilita una vía de «acceso remoto, directo y seguro» a los mismos.

Asimismo, al amparo del RGPD, establece que el responsable del tratamiento se podrá negar el derecho de Acceso o cobrar por el ejercicio del mismo si, salvo causa legítima para ello que deberá hacerse constar por el interesado,  este se solicita el ejercicio del derecho en más de una ocasión durante el plazo de 6 meses.

Las novedades sobre la antigua LOPD de 1999 es que la nueva LOPD no fija un plazo para la respuesta (hasta ahora 30 días) por parte del Responsable del Tratamiento a la solicitud de acceso.

Derecho de Rectificación

Es el proyecto de LOPD el que desarrolla y limita más este derecho al establecer que el interesado deberá detallar los datos que desea rectificar y, si es necesario, aportar la documentación justificativa del error o el carácter incompleto de los mismos.

Al igual que en el caso del derecho de acceso, el Proyecto de Ley no fija un plazo de respuesta a diferencia de los 10 días que establece la LOPD.

Derecho de SUpresión (derecho al olvido)

El interesado tendrá derecho a obtener «sin dilación indebida» —pero sin plazo concreto ni en el proyecto de LOPD ni en el RGPD— del responsable del tratamiento la supresión de los datos si:

  • los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos
  • el interesado retire el consentimiento
  • el interesado se oponga al tratamiento (derecho de oposición que veremos más adelante)
  • los datos personales hayan sido tratados ilícitamente;

Se podrá denegar el ejercicio de este derecho cuando l tratamiento sea necesario:

  • para ejercer el derecho a la libertad de expresión e información;
  • para el cumplimiento de una obligación legal ;
  • para la formulación, el ejercicio o la defensa de reclamaciones.

Asimismo el Responsable del tratamiento podrá conservar los datos cuando la supresión derive del ejercicio del derecho de Oposición, este podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.

Derecho a la LImitación del tratamiento

La LImitación en el tratamiento cosiste en que los datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento expreso del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando:

a)      el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;

b)      el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c)       el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d)      el interesado se haya Opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

En responsable del tratamiento deberá hacer costar de forma expresa en su Sistema qué datos concretos se encuentran limitados.

Derecho de Portabilidad

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a)      el tratamiento esté basado en el consentimiento ó

b)      el tratamiento se efectúe por medios automatizados.

El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Caso de haber procedido a la Rectificación, a la Supresión de los datos o a la Limitación de los mismos, el Responsable del tratamiento vendrá obligado  a notificar tal hecho al interesado salvo que sea imposible o exija un esfuerzo desproporcionado.

Derecho de Oposición

Se otorga un derecho de oposición al interesado casi absoluto, con contadísimas excepciones y de forma fácil y gratuita. Así, cabe el ejercicio del derecho de Oposición al tratamiento de datos personales:

  • Incluso cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • incluso cuando el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
  • En caso de el tratamiento tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento. En este caso, los datos personales dejarán de ser tratados para dichos fines.
  • En el contexto de la utilización de servicios de la sociedad de la información, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
  • Salvo interés público, cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos.

El ejercicio de todos estos derechos deberá ser atendidos por el Responsable del Tratamiento. Más trabajo para una figura que ha perdido mucha publicidad con la aparición de la figura del Delegado de Protección de Datos que trataremos próximamente en este blog.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 15, 2018

Información y acceso a los datos: RGPD IV

Filed under: Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 10:41

Una parte esencial en tratamiento de datos es la información que se debe notificar al interesado cuando recabamos los datos o cuando este los solicita.

Tanto la nueva LOPD como el Reglamento (RGPD) hacen una división sobre la información que se debe facilitar en función de la fuente de dichos datos.

Si los datos se obtienen el propio interesado -por ejemplo mediante el registro en una Web- , el responsable del tratamiento le facilitará  en el mismo momento:

a)      la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b)      caso de que exista, los datos de contacto del delegado de protección de datos;

c)       los fines para los que se van a utilizar los datos personales y el modo en que se van a utilizar. Debiéndose solicitar una nueva autorización si se cambia la finalidad a que destinarán los datos.

En particular, si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, se deberá informar de ello.

d)      los intereses legítimos concretos  del responsable del tratamiento o de un tercero para recabar esos datos;

e)      los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f)       en su caso, si se va a producir una transferencia internacional de datos -por ejemplo si se usa un servicio en la nube cuyos servidores se encuentran en el extranjero-.

Si los datos NO se obtienen el propio interesado, el Responsable del Tratamiento le facilitará, además de toda la información precedente:

a)      Las categorías de datos objeto de tratamiento y

b)      las fuentes de la que procedieran los datos  y, en su caso, si proceden de fuentes de acceso público;

c)       el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

d)      la existencia de los derechos de acceso, rectificación o supresión y oposición, así como el derecho a la portabilidad de los datos;

e)      el derecho a retirar el consentimiento en cualquier momento;

f)       el derecho a presentar una reclamación ante la AGPD;

g)      la existencia de decisiones automatizadas, información significativa sobre la lógica aplicada en su caso, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Toda esa información deberá ser proporcionada  por el Responsable del Tratamiento al interesado como máximo en el plazo de un mes. O si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado. O si los datos se van a comunicar a otro destinatario, como máximo en el momento en que los datos personales sean comunicados por primera vez.

Excepciones

Pero como todo no podía ser tan fácil, el RGPD si establece excepciones. Casos en los que el deber de información no es imprescindible y que pueden facilitar mucho la vida a Responsable del Tratamiento. Estas son:

  • que el interesado ya disponga de la información;
  • la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado,;
  • que la obtención o la comunicación esté expresamente establecida por Ley;
  • o cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por Ley.

Acceso

En todo caso, el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a toda la información que le debería -o le fue- comunicada detallada anteriormente además de, caso de haber transferido los datos a un tercer país, las garantías relativas a la transferencia.  Para ello el Responsable del Tratamiento facilitará una copia de los datos personales objeto de tratamiento, pudiendo para ello exigir al interesado un canon razonable basado en los costes administrativos.

Es decir, vendremos obligados a entregar copia de los datos, pero podremos exigir el importe del coste que ello ocasione.

Finalmente sólo queda señalar la obviedad de que es obligatorio entregar o notificar toda la información citada anteriormente, pero es sabio conservar copia o justificante de haberla entregado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 13, 2018

Datos especialmente protegidos – RGPD III

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 12:01

Podemos tratar toda clase de datos siempre que medie consentimiento, pero hay algunas categorías de datos de los que el Reglamento (RGPD) prohíbe el tratamiento. Son datos «especialmente protegidos», aunque -como casi todo en Protección de Datos- con matices.

Así, el Reglamento prohíbe el tratamiento de Datos:

  • que revelen el origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud
  • datos relativos a la vida sexual o las orientación sexuales de una persona física.

Salvo excepciones (y excepciones a las excepciones):

  • Que el interesado de su consentimiento explícito salvo que lo prohíba expresamente una ley.

Consentimiento que no bastará para levantar la prohibición según la nueva LOPD para datos relativos a la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico… Pura matemática: prohibición x excepción x prohibición de la excepción = prohibido.

  • El tratamiento de los datos es necesario es necesario para el cumplimiento de obligaciones  legales en el ámbito del Derecho laboral y de la seguridad y protección social.

Es decir, que si hay una obligación legal que necesite del tratamiento de esa categoría de Datos, su tratamiento SÍ estará permitido.

  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

Si está capacitado, sí será necesario el consentimiento. O dicho en sentido contrario: según el Reglamento, hasta para salvarle la vida a alguien se necesita su consentimiento para tratar los datos si puede dar dicho consentimiento

  • El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos. Si bien en este caso los datos exigirán de otros deberes de información que se tratarán por su extensión en otro Post.

–        Aviso a empresas de marketing, big data, etc. Los datos manifiestamente públicos podrán ser utilizados

–        Aviso a particulares: cuidado con lo que se cuelga y como se cuelga en Twitter, redes sociales, etc.

  • El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
  • Por razones de Interés público.

Veremos el desarrollo si es que este llega a producirse, pero de momento esta excepción parece cajón de sastre que abre la puerta a posibles actuaciones Orwelianas;

  • El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado.

(Nota: Resuelta la excepción a la excepción: las ambulancias no necesitarán llevar formularios a firmar por el accidentado para poder comunicar al hospital la situación del mismo antes de llegar.)

  • El tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

En resumen, si se trata de una empresa, entidad o profesional podrá tratar datos especialmente protegidos como los datos relativos a la salud, datos genéticos sólo con consentimiento del interesado. Pero en ningún caso podrá tratar datos como la ideología, las convicciones religiosas o políticas, la vida sexual o la afiliación sindical, salvo que la normativa laboral nos obligue a tratarlos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 8, 2018

RGPD II: Tratamiento de los datos

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , — legisconsulting @ 12:38

Ya hablamos hace unos meses en este blog del consentimiento para el tratamiento de los datos de carácter personal, así que hoy trataremos qué datos, con qué fines y en qué forma deben ser tratados esos datos de forma legal.

Los datos personales serán:

  • «Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)«;  Y será lícito sólo
    • Si medió  consentimiento ó
    • si el tratamiento es necesario para la ejecución de un contrato ó
    • si los datos son necesarios para que el Responsable del tratamiento cumpla una obligación legal -piense por ejemplo en la obligación de algunos profesionales de hacer notificaciones a hacienda- ó
    • si son necesarios para proteger intereses vitales del interesado o de otra persona física -piensen en profesionales médicos por ejemplo-
    • Los datos serán recogidos sólo «con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines«. Es decir, sólo se  utilizarán con la finalidad para la que fueron recogidos. Por ejemplo, si los recogimos para ejecutar un contrato, no podremos utilizarlos para enviar  publicidad posteriormente si no nos han autorizado expresamente y con limitaciones para ello.
  • Y sólo los mínimos datos imprescindibles para cumplir la finalidad para la que se piden. Principio de «minimización de datos», lo llama el RGPD;
  • Exáctos. Con obligación de establecer medidas para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. Es decir, se obliga a mantener mecanismos o planes que permitan tener los datos actualizados
  • Mantenidos exclusivamente durante el periodo que sean necesarios para los fines para los que fueron recabados. «Limitación del plazo de conservación», lo denomina el RGPD
  • Tratados con todas las medidas de seguridad: «integridad y confidencialidad».

El obligado al cumplimiento de todos estos requisitos será  el Responsable del Tratamiento que además deberá ser capaz de demostrar de forma activa que cumple con ellos: «responsabilidad proactiva».

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 21, 2016

RGPD I: Consentimiento y datos personales con el nuevo Reglamento UE

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , — legisconsulting @ 13:00

El nuevo Reglamento de protección de datos viene a introducir importantes novedades y entre ellas la base de todos los datos: el consentimiento del Usuario

El consentimiento hasta ahora

En Protección de datos el punto de partida y eje central de todo es el Consentimiento del usuario para el tratamiento y utilización de sus datos personales. Cuestiones como la utilización, el tratamiento o la seguridad de los mismos quedan supeditados a ese consentimiento previo.

La Ley Orgánica 15/1999, define «Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen». Debiendo los interesados a los que se soliciten datos personales «ser previamente informados de modo expreso, preciso e inequívoco» (Art 5.1 LOPD).

Hasta ahora se prestaba la información en largos y tediosos textos que casi nadie leía y se recababa el consentimiento no sólo de forma expresa -forma reservada a determinados datos especialmente protegidos-, sino también de forma Tácita -no me opongo, luego presto consentimiento- o incluso Presunta -sigo navegando, luego presto mi consentimiento-.

Ahora, el nuevo reglamento nos obligará a replantear como recabamos el consentimiento y la forma y la información que proporcionamos al Usuario

El Consentimiento en el nuevo Reglamento UE

Al contrario que hacía y hace aún la LOPD, el nuevo reglamento viene a exigir que para que la prestación del consentimiento para el tratamiento de datos personales sea válida el usuario realice una acción activa ya sea mediante una declaración expresa ya sea mediante acción afirmativa de algún tipo.

Además se exige  al responsable del tratamiento que sea capaz de demostrar  el consentimiento del usuario para el tratamiento de sus datos personales («Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales»).

Consentimiento de menores

Distingue la LOPD actual entre menores o mayores de 14 años En el caso de menores de 14 años deberán prestar el consentimiento sus representantes legales

El Reglamento UE también introduce modificaciones en esta materia al establecer una edad mínima para prestar consentimiento de 16 años, si bien abre la puerta a que los Estados miembros en sus legislaciones nacionales establezcan una edad inferior a estos efectos que en ningún caso podrá ser de menos de 13 años. Pero esa normativa evidentemente aún no existe y tenemos que quedarnos con el límite general de los 16 años

Además exige que «El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible». Una disposición obviamente muy vaga esta de los ‘esfuerzos razonables’ pero que seguro veremos desarrollada en su día por la práctica e informes de la AGPD

Consentimiento Informado

El consentimiento debe ser también y sobre todo «informado«. Así el nuevo Reglamento UE establece algunas nuevas obligaciones en este deber de información entre las que cabe destacar:

  • La información proporcionada al usuario debe ser «en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño» .
  • La información será proporcionada «por escrito o por otros medios, inclusive, si procede, por medios electrónico».
  • La información podrá ser facilitada verbalmente pero sólo ante petición del interesado y se demuestre la identidad del usuario por otros medios.
  • El derecho del usuario llegado el caso a acudir a una autoridad de control y a ejercitar acciones judiciales.
  • Se informará al usuario de los datos de contacto de la nueva figura creada por el reglamento del Delegado de Protección de Datos.
  • El plazo durante el cual se conservarán los datos o al menos los criterios utilizados para calcular tales plazos.
  • El derecho a la portabilidad de los datos
  • Y en su caso «la existencia de decisiones automatizas, incluida la elaboración de perfiles  …….) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado

Todas estos cambios y muchos otros que trataremos en próximos posts no entrarán en vigor hasta el 25 de mayo de 2018, pero en algunos casos no son fáciles de implementar ni hay impedimento alguno para ir adaptándose a lo inexorable.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

« Newer Posts