Ya habéis podido observar, a través de los diferentes artículos que semanalmente vamos publicando con el análisis pormenorizado del Reglamento General de Protección de Datos, que la norma europea está llena de novedades bien en forma de principios, derechos u obligaciones que debemos empezar ya a tomar conciencia de las mismas, para que nuestra adaptación al RGPD se realice de forma adecuada.

En el presente artículo hablaremos de los <corresponsables> nueva figura que encontramos en el artículo 26 del RGPD.

A pesar de que el RGPD no define a los corresponsables como tal en su artículo 4, el mencionado artículo 26 nos da las pautas para entender cuándo estaremos ante un corresponsable, es decir: “cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento”. Realmente lo que hace el RGPD es dar un nombre a algo que ya veníamos aplicando.

Pero además la norma europea nos indica qué obligaciones deberán cumplir los corresponsables, esto es, deberán:

Viernes, 23 Diciembre 2016 09:10

El Responsable del Tratamiento en el RGPD

Como ya analizamos de forma detallada en un anterior artículo de nuestro blog, esencia del RGPD es el principio de responsabilidad proactiva del responsable del tratamiento, pues además de estar obligado a cumplir con todas las medidas que se recogen a lo largo del texto, debe ser capaz de demostrar dicho cumplimiento.

Hasta ahora, podemos entender que la exigencia es no infringir la normativa, pero el Reglamento va un paso más allá, ya que no considera suficiente el hecho de no incumplir sino que su línea de cumplimiento sienta las bases en prevenir los incumplimientos.

La responsabilidad por parte del responsable del tratamiento viene determinada en el art. 24 del RGPD donde indica que está obligado a aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar la conformidad de las actividades de tratamiento con el Reglamento, incluida la eficacia de las medidas.

Esto es (tal y como ha manifestado la AEPD), el Reglamento entiende que actuar sólo cuando ya se ha producido una infracción no es suficiente como estrategia, toda vez que esa infracción puede causar daños a los interesados en ocasiones muy difíciles de compensar o reparar.

Por ello, será la adopción de políticas internas y aplicación de medidas que cumplan los principios de protección de datos desde el diseño y por defecto las que sirvan para demostrar y garantizar el cumplimiento. El Reglamento nos ayuda y dispone a lo largo de su texto una serie de medidas, de las que hablaremos y analizaremos detalladamente, como son:

Siguiendo con el análisis del RGPD, hoy nos centramos en unas de las novedades introducidas por la norma europea y que consideramos realmente importante, hablamos del requisito de establecer una protección de datos desde el diseño y por defecto.

Este nuevo requisito regulado en el artículo 25 y en los considerandos 78 y 108 del RGPD, viene a significar la adopción, por parte de los responsables del tratamiento, de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reglamento.

Estas medidas deberán establecerse de forma previa al efectivo tratamiento y mantenerse durante el efectivo tratamiento de datos de carácter personal, para ello se deberá analizar en cada caso en concreto cuál es el estado de la técnica disponible en la entidad en cuestión, el coste de la aplicación de dichas medidas, así como el ámbito, contexto y fines del tratamiento, atendiendo al mismo tiempo a los posibles riesgos y gravedad que entraña el mismo.

El RGPD nos indica algunas de las medidas apropiadas que deberemos llevar a cabo, como son:

Con el artículo de hoy ponemos fin a la serie dedicada a los derechos del interesado, que tal y como decíamos siete artículos atrás vienen recogidos en el capítulo III del RGPD.

En relación al derecho de oposición el artículo 21 del RDLOPD indica que el interesado tiene derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular, incluso en los casos en que tales datos se estén tratando de forma lícita, ya sea:

1. Porque el tratamiento es necesario para el cumplimiento de una misión realizada en interés público.

2. Para el ejercicio de poderes públicos conferidos al responsable del tratamiento.

3. Por motivos de intereses legítimos del responsable o de un tercero.

En estos casos, el RGPD obliga al responsable a demostrar que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado.

Por otro lado y respecto de los tratamientos realizados con una finalidad de marketing directo, tal y como está regulado actualmente, en el RGPD el afectado tiene derecho a oponerse a ese tratamiento y en consecuencia los datos dejarán de ser tratados para dichos fines, y así deberá comunicarse explícitamente al interesado.

La semana pasada analizábamos un nuevo derecho recogido en el Reglamento General de Protección de Datos, el Derecho a la limitación del tratamiento.

Esta semana también toca hablar de otra novedad del RGPD y es el llamativo derecho a la portabilidad de los datos, un nuevo derecho que al igual que anteriormente mencionado, mejora la capacidad de decisión y control de los afectados sobre los datos personales que confían a terceros.

¿En qué consiste este derecho? Como bien ha indicado la Agencia Española de Protección de datos, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable.

Así, el RGPD, en su artículo 20, regula este derecho indicando que el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

En este blog ya hemos hablado en diferentes ocasiones de los derechos ARCO (acceso, rectificación, cancelación y oposición), que además de ser sobradamente conocidos por todos, se encuentran reconocidos en nuestra Ley Orgánica de Protección de Datos.

En el artículo de hoy y siguiendo con nuestro análisis del RGPD, hablaremos del derecho a la limitación del tratamiento, es decir, estamos ante un nuevo derecho de los afectados que introduce la norma europea.

Así es, el propio RGPD define este derecho como el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.

Por su parte, el artículo 18 es el encargado de describir en qué consiste este derecho y qué circunstancias deben existir para que se pueda aplicar: el interesado tiene el derecho a obtener del responsable la limitación del tratamiento de sus datos cuando se cumpla alguna de las siguientes condiciones:

En este blog hemos hablado en diferentes ocasiones del llamado derecho al olvido.

Si viajamos en el tiempo nos detendríamos en el 13 de mayo de 2014 cuando el Tribunal de Justicia de la Unión Europea (TJUE) hacía pública una sentencia donde se establecía que el tratamiento de datos que realizan los motores de búsqueda está sometido a las normas de protección de datos de la Unión Europea y que las personas tienen derecho a solicitar, bajo ciertas condiciones, que los enlaces a sus datos personales no figuren en los resultados de una búsqueda en internet realizada por su nombre.

En la actualidad, contamos con una norma europea y de aplicación directa que reconoce expresamente el derecho al olvido, el RGPD.

Lo cierto es que lo que el RGPD hace es incluir la denominación del derecho al olvido junto al derecho de supresión, que en realidad son dos derechos que ya existían bajo la Directiva 95/46/ CE y la LOPD, los derechos de oposición y cancelación. Así, el artículo 17 indica que “el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan (...)”.

El responsable, por su parte, está obligado a hacer efectiva la supresión de los datos de carácter personal cuando concurra alguna de las circunstancias siguientes:

La semana pasada el Tribunal de Justicia de la Unión Europea dictaba sentencia resolviendo las Cuestiones Prejudiciales planteadas por el Tribunal Supremo Civil y Penal Alemán, a raíz de la denuncia de un ciudadano alemán que se oponía, ante los órganos jurisdiccionales alemanes, a que los sitios de Internet de los organismos federales de su país registren y conserven sus direcciones de protocolo de Internet.

La primera cuestión prejudicial planteada por el tribunal alemán versa sobre si los datos que consisten en una dirección IP dinámica y en la fecha y hora de la sesión de consulta de un sitio de Internet, registrados por un proveedor de servicios de medios en línea no permiten, por sí solos, identificar al usuario que ha consultado ese sitio de Internet durante dicha sesión. En principio es el proveedor de acceso a Internet quien dispone de la información adicional que, combinada con esa dirección IP, permitiría identificar a dicho usuario

Sin embargo, el Tribunal Europeo expone que del tenor del artículo 2, letra a), de la Directiva 95/46 se desprende que se considera identificable a la persona que puede ser identificada no sólo directamente sino también indirectamente, y no es necesario que dicha información permita, por sí sola, identificar al interesado.

Continúa TJUE indicando, que para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados. Esto sugiere que para que un dato pueda ser calificado de dato personal no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona. Es decir, que la información adicional no esté en poder del proveedor de servicios de medios en línea, sino del proveedor de acceso, no parece que pueda excluir que las direcciones IP dinámicas sigan constituyendo un dato de carácter personal.

Ahora toca preguntarse:

¿combinar los datos de una IP dinámica con la información del proveedor de acceso es un medio razonable?

Una semana más seguimos con el análisis de algo tan importante como son los derechos de los interesados recogidos en el RGPD.

Semanas atrás hemos hablado del derecho de transparencia y del derecho de información donde el RGPD introduce importantes novedades.

En el artículo de hoy nos centraremos en el derecho de acceso, un derecho que no es nuevo para nosotros pues ya se regula en nuestro derecho interno.

A pesar de lo antedicho el RGPD introduce cuestiones interesantes, como por ejemplo respecto del acceso a los datos relativos a la salud. En el considerando 63 se indica “Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables (...). Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas.”

La semana pasada hacíamos un análisis detallado de las novedades que respecto del derecho de información introduce el Reglamento General de Protección de Datos. Centrábamos nuestro análisis, asumiendo que los datos personales habían sido obtenidos directamente del interesado.

Hoy nos centramos en el análisis de qué información y cómo se debe proporcionar cuando los datos personales no se hayan obtenido directamente del interesado.

Para ello acudimos al artículo 14 del RGPD, donde además de indicar que cuando los datos personales no se hayan obtenidos del interesado se debe proporcionar la misma información ya analizada en el anterior post de este mismo blog, el mencionado artículo exige al responsable del tratamiento que facilite al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

1. la categoría de los datos de que se trate.

2. la fuente de la que proceden los datos personales, y en su caso, si proceden de fuentes de acceso público.

Por otro lado, el aparatado 3 del artículo 14 indica que el responsable del tratamiento facilitará la información indicada hasta ahora:

Página 3 de 11

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal