Nuestro abogado asociado senior Francisco González-Calero ha participado en la elaboración del Código de buenas prácticas en protección de datos para proyectos de Big Data elaborado conjuntamente por la Agencia Española de Protección de Datos y la Asociación española para el fomento de la seguridad de la información, ISMS Forum Spain. Entre los participantes en su elaboración cabe destacar a Abertis Autopistas, CaixaBank, FCC, Huawei, Mapfre, Orange, Telefónica y UPM.

El Código, que puede ser consultado aqui, está orientado a asesorar a todas aquellas organizaciones que estén pensando en llevar a cabo un proyecto de Big Data y tomando como referencia el nuevo Reglamento Europeo de Protección de Datos.

El pasado mes de marzo el Tribunal de Justicia de la Unión Europea (en adelante el TJUE) resolvía una cuestión prejudicial relativa a la puesta a disposición de datos de abonados de empresas de telecomunicaciones (como Tele 2, Vodafone partes en el litigio), a otras entidades de prestación de servicios de información sobre números de abonados y el suministro de guías de abonados accesibles al público, sin importar el Estado Miembro en el que radiquen.

Es decir se le pedía al TJUE que interpretará el artículo 25, apartado 2, de la conocida Directiva 2002/22/CE Servicio Universal, titulado “Servicios de asistencia mediante operador e información sobre números de abonados”

Se plantea, por tanto, la siguiente cuestión de fondo:

¿Pueden ceder las compañías teleoperadoras radicadas en un Estado Miembro de la Unión Europea datos de carácter personal de sus clientes a compañías de servicios de información que se encuentren en otros países miembros?

Nuestro Abogado Asociado Senior, Francisco González-Calero, ha participado en la elaboración y coordinación de las diferentes Declaraciones del Observatorio Iberoamericano de Protección de Datos que han sido publicadas por la Defensoría del Pueblo de la Cuidad Autónoma de Buenos Aires (Argentina) bajo el título “Hacia una efectiva protección de los datos en Iberoamérica. Declaraciones de la iniciativa del Observatorio Iberoamericano de Protección de Datos”.

La obra, que puede ser consultada aquí, presentada recoge las diferentes Declaraciones elaboradas en el seno de la iniciativa del Observatorio, tanto por los propios colaboradores de la iniciativa como por profesionales, ciudadanos e Instituciones que cooperan en su redacción, en aras a una mayor concienciación de la importancia de aplicar criterios normativos en materia de privacidad, protección de datos y habeas data, así como la unificación de los mismos en los países iberoamericanos.

Para Francisco González-Calero, Abogado Asociado Senior de Prodat, “sólo desde una unificación de criterios y armonización normativa se puede aportar seguridad jurídica a las empresas, instituciones y a los propios consumidores, aspectos que posibilitarán desarrollar todas las potencialidades del comercio electrónico, el Internet de las Cosas (IoT) y el Big Data. Cuestiones que requieren un análisis multidisciplinar tal y como se recoge en cada una de las Declaraciones que recopila esta obra”.

En este sentido, no debemos olvidar, como indica Eduardo Peduto, Director del Centro de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires, que “cuando protegemos datos protegemos personas. Esta es la esencia de nuestra acción tanto en la divulgación, capacitación, investigación o cuando receptamos denuncias sobre la vulneración de datos personales. Hacer hincapié, nunca suficiente nunca vasto, que cuando nos abocamos a la protección de datos personales estamos protegiendo personas. Estamos protegiendo su intimidad, su privacidad, su dignidad. Su ciudadanía, entendida ésta en el sentido amplio en que hoy es reconocida por el desarrollo de las ciencias sociales. En definitiva, estamos protegiendo su mayor atributo: su condición de ser humano”.

Hace unos días, algunos medios de comunicación publicaban una noticia sobre una resolución sancionadora de la Agencia Española de Protección de Datos (en adelante la AEPD) impuesta a una entidad propietaria, según los titulares de la prensa, de una de las webs más activas de piratería digital (R/00267/2017).

A pesar de que titulares así, pueden hacer que parezca que la AEPD ha sancionado por piratería, en realidad lo ha hecho por infracción del artículo 22.2, relativo a los derechos de los usuarios, de la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI), como así aclaran, por otro lado, los diferentes medios de prensa en el cuerpo de sus artículos.

Este tipo de resoluciones sancionadoras hacen que no nos olvidemos de lo importante que es la obligación,de informar para obtener el consentimiento inequívoco de los interesados para el almacenamiento de sus datos de carácter personal a través, en este caso, de las famosas cookies.

Recordemos que las cookies son pequeños ficheros que se descargan en el equipo terminal de un usuario con la finalidad de almacenar, recuperar y/o actualizar datos.

Miércoles, 08 Marzo 2017 16:34

La consulta previa en el RGPD

El Reglamento General Europeo habilita la posibilidad de que los responsables consultemos a la autoridad de control competente antes de proceder a un tratamiento de datos, si como resultado de la realización de una evaluación de impacto, se muestra que el tratamiento entrañará un alto riesgo si no se toman las medidas necesarias para mitigar dicho riesgo.

El artículo 36.2 del RGPD establece que cuando la autoridad de control considere que el tratamiento previsto podría infringir el RGPD debido, principalmente, a que el responsable no ha identificado o mitigado suficientemente el riesgo. La autoridad de control deberá, en un plazo máximo de ocho semanas desde que se formula la consulta, asesorar por escrito al responsable y al encargado, si procede, en el caso en concreto.

Asimismo, la norma europea lista la información que se deberá facilitar a la autoridad de control para que resuelva convenientemente:

Siguiendo con nuestro análisis de esta nueva obligación de RGPD, como ya comentábamos la semana pasada, el RGPD nos proporciona una lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo. La AEPD por su parte, deberá elaborar listas con los tipos de operaciones de tratamiento que requieran una evaluación de impacto.

Por otro lado, el RGPD habilita la posibilidad para que las autoridades de control puedan establecer y publicar listas con los tipos de tratamiento que no requieren de una evaluación de impacto.

Sin embargo, como bien indica nuestra Agencia, la existencia de estos listados no excluye el que los responsables deban realizar el correspondiente análisis de riesgo, que vimos cuando hablamos de las medidas de seguridad, y en caso de que concluyan que existe un alto riesgo para los derechos y libertades de los interesados, lleven a cabo una evaluación de impacto, aun cuando el tratamiento en cuestión no esté incluido en ninguna de las dos listas mencionadas.

El RGPD establece un contenido mínimo que deberán incluir las evaluaciones de impacto (art.35.7):

La obligación de realizar una evaluación de impacto relativa a la protección de datos (EIPD) es, sin duda, una de las novedades destacadas en el Reglamento General de Protección de Datos.

En diferentes considerandos y de forma específica en el artículo 35 del RGPD encontramos su regulación.

La obligación nace en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas. El responsable del tratamiento, con carácter previo a la puesta en marcha de aquellos tratamientos, debe realizar una evaluación de impacto que analice, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

El resultado de la evaluación deberá tenerse en cuenta para que el responsable aplique las medidas adecuadas con el fin de demostrar que el tratamiento de los datos personales es conforme con el RGPD.

Será posible realizar una única EIPD para varios tratamientos similares que entrañen altos riesgos también similares.

Esta misma semana os hablábamos de una de las novedades del RGPD, la notificación de violaciones de seguridad a las autoridades de control competentes, por parte tanto de los responsables del tratamiento como de los encargados.

La norma europea no se limita a exigir lo anteriormente mencionado, sino que en su artículo 34 establece la obligación del responsable del tratamiento de comunicar las violaciones de seguridad de los datos a los propios afectados/ interesados, cuando la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas.

La comunicación dirigida al interesado deberá realizarse mediante un lenguaje claro y sencillo, y deberá contener como mínimo:

Una novedad del Reglamento General de Protección de Datos es la obligación de que todo responsable de tratamiento debe notificar las violaciones de seguridad tanto a la autoridad de control competente (art.33 RGPD) como a los interesados/afectados (Art.34 RGPD).

Actualmente, la Directiva 2002/58/CE establece la obligación de notificar las quiebras de seguridad sólo respecto de los proveedores de servicios de comunicaciones electrónicas disponibles para el público, obligación incorporada al Derecho español por la reforma del artículo 34 de la Ley General de Telecomunicaciones. Para ello la AEPD tiene establecido un sistema de notificación de quiebras de seguridad a través de su Sede Electrónica.

La norma europea define violación de la seguridad de los datos personales, como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

La obligación recogida en el RGPD consiste en que el responsable del tratamiento, ante cualquier violación de seguridad, deberá notificarla ante la autoridad competente de su país. Una vez más el RGPD recurre al término sin dilación indebida para indicar el plazo de notificación, estableciendo un máximo de 72 horas desde que se tuvo constancia de la violación. Si se realiza la notificación pasadas esas 72 horas, la misma deberá ir acompañada de la justificación del retraso.

Martes, 31 Enero 2017 12:07

Medidas de seguridad en el RGPD

A pesar de que todavía nos pueda parecer que para mayo 2018 falta “mucho” tiempo, (fecha de aplicación RGPD), debemos empezar a pensar ya en “modo” Reglamento, ya que consideramos que es algo imprescindible si queremos que la adaptación al mismo, se haga de forma gradual y efectiva.

En el artículo de hoy os hablaremos del tipo de medidas de seguridad que a tenor del RGPD se deben implementar.

En el Título VIII del actual RDLOPD 1720/2007 se determinan con detalle y de forma exhaustiva las medidas de seguridad que deben aplicarse según el tipo de datos objeto de tratamiento.

Sin embargo, en el RGPD se establece que tanto responsables como encargados de tratamiento deberán de establecer las medidas técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad. Para ello dice el RGPD (art.32.2) que se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos. Todo ello se detectará en el análisis previo que se debe realizar.

Como se detalla en la Guía del RGPD para responsables de tratamiento publicada por la AEPD hace escasos días, todos los responsables de tratamiento deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas de seguridad deben aplicar y cómo deben hacerlo. Este análisis variará en función de:

Página 2 de 11

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal