Hace poco más de un mes, la AEPD  daba noticia de un informe que había publicado, en el cual se examina si los centros escolares pueden colocar videocámaras en zonas comunes, como patios y comedores, así como qué requisitos deben cumplir para ello.

Para analizar esta cuestión, la AEPD parte de la base del interés legítimo recogido en el artículo 7.f) de la Directiva 95/46/CE, que tiene efecto directo siendo el interés legítimo presupuesto legitimador para el tratamiento de datos personales sin consentimiento del interesado (...) .

El interés legítimo, en este caso, sólo podría plantearse en relación con el principio de interés superior del menor consagrado en el art. 2 de la Ley Orgánica 1/1996 de protección jurídica del menor: "Todo menor tiene derecho a que su interés superior sea valorado y considerado como primordial en todas las acciones y decisiones que le conciernan, tanto en el ámbito público como privado (...) primará el interés superior de los mismos sobre cualquier otro interés legítimo que pudiera concurrir".

Hoy ponemos fin a la serie de artículos que en este blog hemos ido publicando sobre diferentes aspectos en relación a los "Accesos por cuenta de terceros versus cesión de datos".

Recordemos que:

"Cesión de datos es el tratamiento de datos, que supone su revelación a una persona distinta del interesado".

La obligación principal ante una cesión de datos es contar con el previo consentimiento del afectado. Para que sea válido el mismo, el titular de los datos deberá conocer la finalidad a que destinarán los datos cuya comunicación autoriza, o al menos el tipo de actividad del cesionario. Es decir, que se deberá informar convenientemente al titular de los datos. Además, el consentimiento para la cesión de los datos tiene carácter revocable.

Sin embargo, ante esta obligación principal cabe aplicar las excepciones descritas en los artículos 11 de la LOPD y 10 del RDLOPD. No será necesario el consentimiento cuando:

a. Lo autorice una norma con rango de ley o una norma de derecho comunitario. A este respecto, el criterio habitual de la AEPD es que esa autorización debe aparecer de forma expresa.

b. La cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario, siempre y cuando no prevalezca el interés o los derechos y libertades fundamentales de los interesados cuyos datos son objeto de cesión.

En el anterior artículo de este blog, veíamos como una de las obligaciones principales ante la existencia de acceso a datos por cuenta de terceros, es la celebración de un contrato con el contenido exigido por artículo 12 de la LOPD.

Este artículo 12 indica que "el contrato deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido".

Una casuística cada vez más habitual y que genera dudas para cumplir con los requisitos del art. 12 de la LOPD, se produce cuando la contracción de los servicios se realiza a distancia es decir, sin la presencia física simultánea del responsable del fichero y el encargado de tratamiento.

La AEPD ya ha señalado que en estos casos lo que se produce, en la mayoría de los casos,  son contratos de adhesión, constituidos por cláusulas contractuales cerradas, en las que el proveedor (el encargado de tratamiento) fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario (el responsable del fichero) tenga ninguna opción para negociar sus términos. Este caso cada vez más común, da luga a una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor). Sin embargo, y a pesar de este hecho, la Agencia Española de Protección de Datos ha indicado que es imprescindible que ese contrato incorpore, entre sus cláusulas, las garantías a las que obliga la Ley Orgánica de Protección de Datos.

¿Cómo se articula esta obligación? :

Si en el anterior post veíamos, someramente, cómo determinar si estamos ante accesos por cuenta de terceros o una cesión de datos, hoy vamos a describir las obligaciones derivadas en cada caso:

1. Acceso a datos por cuenta de terceros:

En los casos de acceso a datos por cuenta de terceros, la Ley Orgánica de Protección de Datos nos obliga a la firma de un contrato por escrito. Para acreditar su celebración y contenido, dicho contrato deberá contener los siguientes extremos (art. 12 de la LOPD):

a. Que el encargado de tratamiento sólo realizará el tratamiento de los datos de carácter personal conforme a las instrucciones del responsable del fichero.

b. Que no utilizará ni aplicará los datos de carácter personal con fines distintos a los que figuren en contrato. Si no se cumpliese esta estipulación, la propia normativa indica que el encargado de tratamiento será considerado también responsable, respondiendo de las infracciones en que hubiera incurrido personalmente.

c. Que nos los comunicará, ni siquiera para su conservación, a otras personas. En este punto nos podemos preguntar ¿esto quiere decir que no se puede subcontratar?Para saberlo debemos recurrir al artículo 21 del RDLOPD. En resumen, el precepto establece que a priori el encargado de tratamiento no podrá subcontratar sin que el responsable del fichero se lo hubiera encomendado. Las excepciones :

En muchas ocasiones diferenciar cuando estamos ante accesos por cuenta de terceros (encargos de tratamiento) o una cesión de datos no es tarea fácil. Por ello, intentaremos aclarar cuándo nos encontramos en una u otra situación y qué obligaciones en materia de protección de datos se derivan de ello.

Por un lado, el artículo 3 g) de la LOPD, establece que: "se entenderá por encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento".
El RDLOPD 1720/2007 completa esta definición "(...) como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados".

Por otro, se entiende como cesión o comunicación de datos, el tratamiento de datos que supone su revelación a una persona distinta del interesado.

Hace un par de meses, en este mismo blog, ya indicábamos cómo a raíz de la reforma de la Ley Orgánica 1/1996 de 15 de enero, de Protección Jurídica del Menor, es requisito para el acceso y ejercicio a las profesiones, oficios y actividades que impliquen contacto habitual con menores, el no haber sido condenado por sentencia firme por algún delito contra la libertad e indemnidad sexual . Por ello, quien pretenda el acceso a tales profesiones, oficios o actividades deberá acreditar esta circunstancia mediante la aportación de una certificación negativa del Registro Central de delincuentes sexuales.

La propia Agencia ha emitido un informe jurídico aclarando algunas de las dudas que se han planteado ante esta obligación. Analizamos las más importantes:

1. ¿Hay que solicitar el certificado de penales a todos los trabajadores en contacto con menores?

Nada parece indicar que la norma pretenda abarcar todos los casos, sino sólo para profesiones, oficios y actividades que por su propia naturaleza impliquen un contacto habitual con menores, teniéndoles por ejemplo como destinatarios prioritarios de los servicios prestados.

En todo caso estaremos ante un criterio casuístico, que habrá que valorar para cada puesto de trabajo, y no objetivo o genérico.

2. ¿Es obligatorio sólo para los nuevos trabajadores o también para los que ya están trabajando?

Viernes, 04 Diciembre 2015 13:49

¿Quién es el Responsable de Seguridad?

Cuando a una entidad le indicas que debe nombrar a un responsable de seguridad, le surgen muchas dudas al respecto, pues la palabra responsable tiene mucho peso.

Atendiendo a lo anterior, vamos a intentar aclarar, qué es realmente ser responsable de seguridad:

EL RD 1720/2007 en su art. 5L) define al responsable de seguridad como las persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

Las empresas o cualquier otra entidad tendrá la obligación de nombrar a un responsable de seguridad cuando realice tratamientos de datos de carácter personal a partir del nivel medio, aunque es recomendable que se nombre en todo caso.

El propio RD 1720/2007 establece cómo se ha de llevar a cabo el nombramiento, qué funciones deberá asumir y cuál es la responsabilidad del responsable de seguridad:

En julio de este año entró en vigor la Ley Orgánica 1/2015, de 30 de marzo, por la que se reforma la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, entre otras reformas, mejora la redacción técnica del artículo 31 bis del Código Penal, en el que se establece la responsabilidad penal de las personas jurídicas.

Si bien es cierto, que la responsabilidad penal de las personas jurídicas está vigente en nuestro ordenamiento jurídico desde 2010, con la actual reforma, se ha reforzado la importancia de la figura del Compliance Officer o Responsable de Cumplimiento. Ello es debido a que ahora, las empresas tienen la posibilidad de eximirse de la responsabilidad criminal, siempre que puedan demostrar que han adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos o reducir el riesgo de su comisión.

En el anterior artículo, veíamos casos en los que las respuesta a la pregunta era afirmativa, veamos hoy como la misma puede ser también negativa y otros en los que dependerá del caso en concreto.

2. Una respuesta negativa:

Atendiendo a los artículos arts. 142, 143 y 149 del Código Civil (CC) se pueden dar casos en lo que el hijo mayor de edad es quien corre a cargo de sus propios gastos educativos, si intervención de sus progenitores, siendo así, y con carácter general, impediría el acceso a los datos de las calificaciones por parte de estos.

3. La respuesta dependerá en cada caso concreto:

Una pregunta que para muchos no sería objeto de duda y responderían un sí rotundo. La Agencia Española de Protección de Datos, ha analizado esta cuestión en diversos informes jurídicos y, aunque no en todos los casos, la respuesta es por lo general un sí.

Veamos en qué casos tenemos:

1. Una respuesta afirmativa:

En 2014 la AEPD (Informe 0178/2014) ya aclaró que, en relación con el acceso por los progenitores a las calificaciones universitarias de los hijos mayores de edad, teniendo en cuenta lo estipulado la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades que determina que no es preciso el consentimiento los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación. La Agencia considera que el acceso a las calificaciones se encuentra amparada en lo dispuesto en una norma de rango de ley, que expresamente prevé su publicación, y habilita así el acceso, entre otros destinatarios, a los progenitores.

Página 7 de 11

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal