Viernes, 15 Julio 2016 08:39

¡Ya tenemos Privacy Shield!

El pasado 12 de julio la Comisión Europea adoptaba el Escudo de la Privacidad UE-EE.UU.

El nuevo acuerdo de privacidad con Estados Unidos, el conocido Privacy Shield, refleja los requisitos que el TJUE establecía en su sentencia de 6 de octubre de 2015, conocida como Sentencia del caso Schremes, que declaraba inválido el antiguo acuerdo de Puerto Seguro.

El Privacy Shield busca proteger los derechos fundamentales de cualquier ciudadano europeo cuyos datos personales se transfieran a los Estados Unidos, y aportar claridad jurídica para las empresas que dependen de transferencias internacionales de datos.

El Privacy Shield se basa en los siguientes principios:

Seguimos una semana más con nuestro análisis pormenorizado del RGPD. En esta ocasión nos centraremos en los “Principios relativos al tratamiento” (Capítulo II del RGPD).

El artículo 5.1 a) del RGPD establece: “Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”

Vayamos por partes:

1. Licitud.-

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones (art.6 RGPD):

1. Que el interesado dé su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
Es decir, para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando consultando o tratando de otra manera datos personales que les conciernen.

2. Que el tratamiento resulte necesario para la celebración o ejecución de un contrato o precontrato en el que el interesado es parte.

3. Que el tratamiento sea necesario para el cumplimiento de una obligación o deber impuesta por una norma legal a cumplir por el responsable del tratamiento.

A este respecto el RGPD establece margen de maniobra para que los Estados miembros puedan mantener o introducir disposiciones más específicas en aras de garantizar un tratamiento lícito y equitativo.

4. Que el tratamiento es preciso para proteger el interés vital del interesado o de otra persona física.

5. Que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

El RGPD aclara que la base jurídica del tratamiento indicado en este punto podrá contener disposiciones específicas, entre otras:

Jueves, 23 Junio 2016 14:03

La AEPD publica su Memoria 2015

La Agencia de Protección de Datos comenzaba la semana con la publicación de su Memoria anual 2015.

De su contenido destacamos:

En relación a denuncias y reclamaciones planteadas ante la AEPD por los ciudadanos, se han alcanzado en 2015 un total de 10.571, cifra que supone la consolidación de los datos registrados en 2013 tras el repunte de 2014. La Agencia destaca a este respecto el esfuerzo realizado por el personal del organismo, ya que se resolvieron un 15,70% más que en el 2014.

Además, menciona la utilidad de la Unidad de Admisión a trámite de las reclamaciones de los ciudadanos, creada a finales del año 2015, que realiza el análisis de las denuncias recibidas para, en un breve lapso temporal desde su presentación, detectar las evidencias en las que la colaboración del reclamante es necesaria para fundar la reclamación, ofreciendo la información necesaria sobre cómo pueden obtenerlas.

Un aspecto a resaltar es que las consultas planteadas por los ciudadanos superaron en 2015 la cifra de 218.000, lo que supone un crecimiento de más del 10% respecto al año anterior. Asimismo, la Agencia promete lanzar en 2016 varias iniciativas, con las que ampliarán la concienciación de la ciudadanía sobre la importancia de proteger adecuadamente su información personal.

El pasado mes de mayo la AEPD emitía una interesante resolución sancionadora desde dos puntos de vista:

1. Aplicación de la LSSI a prestadores de servicios (PSS) establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo:

El art. 3.1 f) de la LSSI establece que se aplicará a los prestadores de servicios de la sociedad de la información establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo cuando el destinatario de los servicios radique en España y los servicios afecten a las materias, entre otras, a la licitud de las comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no solicitada.

La AEPD para determinar que efectivamente el prestador de servicios se dirige a destinatarios que radiquen en España indica como prueba:

1. Que la App propiedad del PSS se encuentra implantada en varias ciudades españolas.

2. Que las comunicaciones comerciales denunciadas se dirigieron a un destinatario radicado en una ciudad española.

3. Que el PSS utiliza como domicilio a efectos de notificaciones para el desarrollo de su actividad en España una dirección en Madrid.

4. Que para el envío de las comunicaciones comerciales se nutre de las agendas de contacto de los terminales móviles de los usuarios españoles registrados en su aplicación.

2. Que utilizar la opción “invitar a amigos” no evitará que seas considerado como responsable del fichero:

La Agencia Española de Protección de Datos en un reciente informe, ha indicado que resulta contrario a la normativa en materia de protección de datos la publicación en internet de los datos de quienes hayan resultado elegidos Presidentes y Vocales de las Mesas Electorales en las elecciones generales que tendrán lugar el día 26 de junio de 2016, tal y como están haciendo algunos Ayuntamientos.

El art. 26.2 de la Ley Orgánica 5/1985 de 19 de junio reguladora del Régimen Electoral General, establece” El Presidente y los vocales de cada Mesa son designados por sorteo público entre la totalidad de las personas incluidas en la lista de electores de la Mesa correspondiente(..)”.

En base a esta previsión legal, la AEPD emitió un informe en el año 2009, considerando conforme a derecho la publicación en Internet de los nombres de aquellos que hubiesen sido designados como Presidente, vocales y suplentes de las Mesas Electorales, al amparo del art. 11.2 a) de la LOPD, en tanto se apreciaba que esa cesión de datos estaba amparada por una norma con rango de Ley.

Con fecha posterior a 2009, la Junta Electoral Central, la cual y conforme establece la Ley Orgánica 5/1985, tiene, entre otras, funciones atribuidas como resolver con carácter vinculante las consultas que le eleven las Juntas Provinciales y, en su caso, las de Comunidad Autónoma, así como unificar los criterios interpretativos de las Juntas Electorales Provinciales y, en su caso, de Comunidad Autónoma en la aplicación de la normativa electoral; emitió Acuerdo 663/2011 por el que se respondía a una consulta relativa a “la posibilidad de publicar la composición de las mesas electorales resultantes del sorteo realizado por el Pleno del Ayuntamiento”. El citado Acuerdo señala literalmente:

En el artículo 4 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), encontramos el elenco de definiciones. La primera de ellas, nos indica lo que debemos entender como dato de carácter personal y lo define como “toda información sobre una persona física identificada o identificable" .

Nos encontramos por tanto, que el RGPD establece que han de tenerse en cuenta todos aquellos medios, como por ejemplo la singularización, que pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física.

A este respecto en el considerando 26 se establece que: “para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos”. Por tanto, deberemos excluir toda información anónima, inclusive aquella con fines estadísticos o de investigación.

Por otro lado y respecto de lo que debemos entender por identificable, el RGPD nos dice “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Es en este punto donde encontramos algunas novedades:

Como bien indicábamos en nuestro anterior post, el RGPD diferencia entre ámbito de aplicación material y territorial. Una vez hablado del ámbito de aplicación material, toca ahora hablar del territorial.

En el artículo 3.1 del RGPD indica: “El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no”.

Para aclarar qué debemos entender por establecimiento, acudimos al considerando 22, donde un establecimiento implicará el ejercicio de manera efectiva y real de una actividad a través de modalidades estables, siendo indiferente la forma jurídica que revistan tales modalidades, esto es sucursal, filial etcétera.

Por otro lado, el artículo 3.2 RGPD dice “El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:.

Nos encontramos que el RGPD diferencia específicamente entre ámbito de aplicación material y ámbito de aplicación territorial.

1. Ámbito de aplicación material.

El artículo 2 del RGPD establece que: “El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero “.

Ampliamos lo establecido en este artículo a través de los considerandos 14 y 15, pues el RGPD resulta de aplicación a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia.

Asimismo, están bajo el régimen de aplicación del RGPD el tratamiento de datos de carácter personal llevado a cabo por las instituciones, órganos y organismos públicos de la Unión.

A este respecto, en el considerando 17 se indica que con el fin de establecer un marco sólido y coherente en materia de protección de datos en la Unión, una vez adoptado el presente Reglamento deben introducirse las adaptaciones necesarias del Reglamento (CE) n.º 45/2001 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, pues seguirá siendo de plena aplicación en convivencia con el RGPD.

Nada más comenzamos la lectura del RGDP nos encontramos con el considerando 8, en el que se dice que “En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento”.

Es decir, que a pesar de estar ante una norma de directa aplicación para todos los Estados miembros, el Reglamento nos habilita la facultad para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas que el mismo recoge.

Además, el RGPD reconoce un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales, es decir, datos sensibles. Por lo tanto la aplicación del RGPD no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones para que el tratamiento de datos personales se considere lícito (lo veremos cuando hablemos de los principios recogidos en el RGPD).

A día de hoy, todos o casi todos somos conscientes de que se ha aprobado el Reglamento general de protección de datos, de aplicación directa en toda la Unión Europea sin necesidad de trasposición o incorporación a los distintos ordenamientos jurídicos de los Estados miembros.

Realmente han pasado muchos años desde que todo comenzó, motivo por el cual nos parece interesante que nos volvamos a plantear un ¿Por qué de un Reglamento Europeo?.Además, en los primeros considerandos del propio RGPD nos explica el porqué de su existencia, y es que desde 1995 (Directiva 95/46/CE) han pasado muchas cosas. La rápida evolución tecnológica ha transformado nuestra economía y vida social, y ha facilitado, y lo seguirá haciendo, aún más la libre circulación de datos personales tanto dentro de la Unión como las transferencias a terceros países.

Estos avances han marcado el ritmo y la necesidad de crear un marco más sólido y coherente para la protección de datos en la Unión Europea, pues a pesar de que los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión se aplique de manera fragmentada, ni una percepción generalizada de todos de que existen riesgos importantes para la protección de las personas físicas.

Todo esto es debido a la existencia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE.

Por ello y en aras de:

Página 5 de 11

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal