La Agencia Española de Protección de Datos ya está trabajando en la elaboración de su Plan Estratégico 2015-2019. La versión borrador del mismo ha estado sometida a consulta pública desde el 15 de octubre hasta el 30 de octubre, pues para la propia Agencia, la participación es un elemento esencial sin el cual no puede lograrse una protección efectiva del derecho fundamental a la protección de datos.

Hacemos un breve análisis de los aspectos del borrador del Plan Estratégico que consideramos de interés:

1. En el apartado ¿Por qué un Plan Estratégico? Nos quedamos con dos aspectos que menciona la Agencia y consideramos acertados:

1. "En un contexto en el que es necesario contribuir en la medida de lo posible a generar crecimiento económico y fomento del empleo, la salvaguardia de la protección de datos y la privacidad puede convertirse en un elemento diferenciador de valor añadido en los productos y servicios que se pongan en marcha".

2. "Las acciones correctoras tienen un innegable valor disuasorio, especialmente cuando se manifiestan en forma de sanciones (...),pero en términos de protección directa al ciudadano consideramos que resulta más eficaz disminuir los riesgos y prevenir infracciones"

2. Los cinco grandes ejes sobre los que se han de basar los objetivos que quiere alcanzar la Agencia:.

Viernes, 23 Octubre 2015 12:53

Sin Puerto Seguro.¿Ahora qué hacemos?

El pasado 16 de octubre las Autoridades de protección de datos reunidas en el Grupo de Trabajo del Art.29, del que forma parte la Agencia Española de Protección de Datos, publicaron una declaración conjunta sobre las primeras consecuencias que se pueden sacar, tanto a nivel europeo como nacional, tras la invalidación del Acuerdo de Puerto Seguro de la Comisión por el TJUE.

Indicamos los aspectos más importantes a tener en cuenta de esta declaración conjunta:

1. Las decisiones que se tomen para hacer frente a la aplicación de la sentencia, deberá hacerse desde una posición sólida, colectiva y común por parte de todas las Autoridades de protección de datos.

2. Que a pesar de que el TJUE aboga por una vigilancia más amplia respecto de las entidades de EEUU que traten datos de carácter personal de ciudadanos europeos, el Grupo de Trabajo recuerda que dicha vigilancia no es posible dentro del marco jurídico de la UE. Por este motivo, y para poder cumplir con las recomendaciones vertidas en la propia Sentencia, el Grupo de Trabajo considera necesario, y de manera urgente, que los Estados miembros y las instituciones europeas, comiencen las conversaciones con las autoridades de EEUU, en aras de encontrar soluciones políticas, jurídicas y técnicas, que permitan las transferencias de datos respetando los derechos fundamentales de los afectados.

El 18 de agosto de 2015 entró en vigor la Ley 26/2015, de 28 de julio, de modificación del sistema de protección a la infancia y a la adolescencia.

Esta ley , ha supuesto la modificación parcial del Código Civil y de la Ley de Enjuiciamiento Civil, pero nosotros prestaremos especial atención en la modificación de la Ley Orgánica 1/1996 de 15 de enero, de Protección Jurídica del Menor (en adelante LO 1/1996 Menor).

La incorporación de los apartados 4 y 5 del artículo 13, supone uno de los cambios con más relevancia, al respecto, en nuestro ordenamiento jurídico:

El artículo 13.4 LO 1/1996 Menor establece, las obligación de toda persona que tuviera conocimiento de un hecho que pudiera ser constitutivo de un delito contra la libertad e indemnidad sexual , de trata de seres humanos o de explotación de menores, de ponerlo en conocimiento del Ministerio Fiscal. Se da el salto de la obligación moral a la obligación legal.

Por otro lado, el apartado 5 del artículo 13 dice "Será requisito para el acceso y ejercicio a las profesiones, oficios y actividades que impliquen contacto habitual con menores, el no haber sido condenado por sentencia firme por algún delito contra la libertad e indemnidad sexual, que incluye la agresión y abuso sexual, acoso sexual, exhibicionismo y provocación sexual, prostitución y explotación sexual y corrupción de menores, así como por trata de seres humanos. A tal efecto, quien pretenda el acceso a tales profesiones, oficios o actividades deberá acreditar esta circunstancia mediante la aportación de una certificación negativa del Registro Central de delincuentes sexuales".

Ya os adelantábamos la semana pasada que era altamente previsible que la Gran Sala siguiera la misma línea que había sido manifestada por el Abogado General hace escasas dos semanas.

Indicamos algunos de los argumentos sobre los que se basa el TJUE en su Sentencia para fundamentar la invalidación de la Decisión de la Comisión:

1. Que los principios de puerto seguro son aplicables únicamente a las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión, sin que se exija que las autoridades públicas estadounidenses se sometan a esos principios.

2. Que la Decisión se refiere únicamente a la adecuación de la protección proporcionada en EEUU con arreglo a los principios de puerto seguro y su aplicación de conformidad a fin de ajustarse a los requisitos del artículo 25.1 de la Directiva 95/46, sin contener no obstante las constataciones suficientes sobre las medidas con las que EEUU garantiza un nivel de protección adecuado. Sin olvidar que esos principios pueden limitarse por exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos. Esto significa que las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión están obligadas, sin limitación, a dejar de aplicar esos principios cuando éstos entren en conflicto con esas exigencias. En consecuencia, una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas, lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por la Carta de los Derechos Fundamentales de la Unión Europea.

3. Que no se respeta el derecho fundamental a la tutela judicial efectiva de los ciudadanos europeos, en el mismo momento en que la normativa interna de EEUU no prevé posibilidad alguna al afectado de ejercer acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión.

4. Sentencia el TJUE que además la Comisión no manifestó en la Decisión 2000/520 que EEUU garantizase efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales..

Miércoles, 30 Septiembre 2015 16:34

El Puerto Seguro ya no es tan seguro

La semana pasada se publicaban las conclusiones del Abogado General del TJUE (SR. Yves Bot) sobre el caso Maximillian Schrems contra Data Protection Comissioner, del que ya hablamos en este mismo blog, allá por marzo.

Las conclusiones de Bot han resultado ser interesantes y muy críticas, a su vez, respecto el concepto de nivel de protección adecuado conferido por los principios de puerto seguro establecidos en la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000.

El Abogado comienza su exposición recordando el principio establecido en el artículo 25 de la Directiva 95/46: "no pueden transferirse datos personales a un país tercero si éste no garantiza un nivel de protección adecuado de tales datos".

En opinión del Sr. Bot para alcanzar un nivel de protección equivalente al vigente dentro de la Unión, el régimen de puerto seguro debe ir acompañado de garantías adecuadas y de un mecanismo de control válido, esto es, las transferencias de datos personales a países terceros no deben ser objeto de una protección inferior.

Entrando en materia sobre el caso concreto objeto de análisis, la transferencia de datos personales por Facebook Ireland a su sociedad matriz establecida en Estados Unidos se realizaba bajo la certificación de Facebook a los principios de puerto seguro.

Pero al parecer, y así lo indica el Abogado, el régimen de puerto seguro ha pasado a ser uno de los conductos a través de los cuales se da acceso a las autoridades de inteligencia estadounidenses para recopilar datos personales que han sido tratados inicialmente en la Unión.

El Tribunal Supremo declara abusiva la cláusula tipo del contrato de trabajo que obliga a dar el número de móvil o correo electrónico.


Así lo ha determinado el Tribunal en Sentencia de 21 de septiembre de 2015. Aunque no hemos podido tener acceso a la sentencia en su totalidad, en un comunicado emitido por la propia Sala de lo Social del Tribunal Supremo, se indican los fundamentos de derecho que han motivado al Tribunal a dicha resolución.

El punto de partida está en que desde hacía un tiempo, la empresa inmersa en el conflicto, venía solicitando "voluntariamente" en los contratos de los trabajadores de nueva incorporación, el email y el teléfono móvil personal, pues serían el canal de comunicación entre empresa- trabajador.

El artículo 6.2 de la LOPD establece "No será preciso el consentimiento cuando los datos de carácter personal (...) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento (...)".

Aunque a priori, todo parece indicar que podríamos estar en la excepción establecida en este artículo, el Tribunal Supremo considera que el correo electrónico y el teléfono móvil no son datos necesarios para el mantenimiento o cumplimiento del contrato de trabajo, atendiendo por un lado a la definición de "necesario" de la RAE, es decir aquello que "es menester indispensablemente, o hace falta para un fin», y por otro a que la relación laboral ha podido, hasta recientes fechas, desarrollarse sin necesitar los datos en conflicto.

Si en un artículo anterior analizábamos qué es y cuáles son las características del derecho de rectificación, así como el procedimiento a seguir, las obligaciones del responsable del fichero y los casos de aceptación, denegación y excepciones de este derecho. En esta ocasión, describiremos otras situaciones y casos, que recoge la propia normativa, respecto de este derecho ARCO:

1. Rectificación de los datos del afectado en los casos que exista una cesión previa:

Según el artículo 8.5 del RDLOPD, el responsable del fichero que reciba notificación de rectificación del titular de los datos, si éstos han sido cedidos previamente, tiene la obligación legal de comunicar dicha rectificación al cesionario en un plazo máximo de 10 días:

      "Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido"

Por su parte, el cesionario, estará obligado a rectificar los datos, de igual modo y en el mismo plazo, desde la recepción de la comunicación por parte del responsable del fichero (art. 32.3 RDLOP):

     "Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar o cancelar los datos".

Por último, no será necesario informar de esta casuística al afectado, artículos 8.5 y 32.3 del RDLPOD.

2. Ejercicio del derecho de rectificación ante un encargado de tratamiento:

Tal y como establece el artículo 26 del RDLOPD, si los afectados ejercitasen sus derechos, entre ellos el derecho de rectificación, ante un encargado del tratamiento, el encargado deberá dar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva.

A pesar de que el derecho de rectificación, al igual que el derecho de acceso, cancelación y oposición, es uno de los derechos que la LOPD nos reconoce para que podamos defender nuestra privacidad y controlar el uso que se hace de nuestros datos personales, la realidad es, que es un derecho poco usado por los afectados.

Todos ellos son derechos independientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro (art. 24 RDLOPD).

¿Qué es el derecho de rectificación y cuáles son sus características?

El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos (art.16 RDLOPD).
Su ejercicio es personalísimo, por lo que sólo podrá solicitarlo la persona interesada, siendo aceptada la representación legal o voluntaria fielmente acreditada (art.23 RDLOP).

¿Cuál es el procedimiento a seguir?

El afectado deberá dirigirse a la empresa u organismo público que sabe o presume que tiene sus datos. En la solicitud de rectificación se deberá indicar a qué datos se refiere y la corrección que haya de realizarse, adjuntando fotocopia del DNI y los documentos acreditativos de la petición que formula (art.25 RDLOP).

¿Cuáles son las obligaciones del responsable del fichero?

Hoy por hoy, para casi nadie es desconocido el criterio, seguido por la Agencia Española de Protección de Datos (AEPD), en relación con la colocación de cámaras de videovigilancia falsas. A modo de resumen, recordemos algunas de las resoluciones de la Agencia al respecto:

1. Resoluciones E/01297/2008, E/00903/2009, E/00888/2010, a pesar de que la AEPD archivó las actuaciones, en todas ellas siguió el mismo criterio.

En todos los casos no se pudo corroborar que las cámaras funcionasen y tampoco que captasen imágenes, por lo que de acuerdo con los principios de presunción de inocencia, impidió imputar una infracción administrativa, ya que no se había obtenido ni acreditado una prueba de cargo acreditativa de los hechos que motivan la imputación (...).

Sin embargo, continúa diciendo la AEPD (y esta parte es la importante), "resultaría plenamente fundada la imposición de una sanción si en el futuro continuaran ubicadas las cámaras en el establecimiento, pues tal circunstancia podría constituir prueba indiciaria suficiente para determinar que las citadas cámaras se encuentran en funcionamiento y enervar el principio de presunción de inocencia, pudiendo imputarse la comisión de las infracciones que resulten de la aplicación de la LOPD que podrían ser sancionadas, de conformidad con el régimen sancionador previsto en la citada Ley, con multas de hasta 300.506,05 €".

"Prueba indiciaria suficiente", la AEPD recurre a la doctrina del Tribunal Constitucional, para seguir al criterio anteriormente descrito. Sentencia TC 24/1997, tiene establecido que  los criterios para distinguir entre pruebas indiciarias capaces de desvirtuar la presunción de inocencia y las simples sospechas se apoyan en que:

a) La prueba indiciaria ha de partir de hechos plenamente probados.

b) Los hechos constitutivos de delito deben deducirse de esos indicios (hechos completamente probados) a través de un proceso mental razonado y acorde con las reglas del criterio humano, explicitado en la sentencia condenatoria.

Cámaras, videocámaras, cámaras acuáticas, cámaras de aventura, Smartphones y así podríamos estar un largo etcétera, nos rodean.

Ya estamos más que acostumbrados a que cada vez que vamos a la playa, a la montaña, a la piscina, con la bici, a las fiestas del pueblo, a un concierto, incluso por la carretera conduciendo haya alguien con su cámara, también válida para debajo del agua, o con el súper móvil con cámara de 8 megapíxeles, grabando o sacando fotos.

Hace unos meses se publicó en Youtube un video, bastante viral, en el que se ve como unos agentes aperciben a un motorista por ir grabando la carretera con una cámara instalada en su moto, indicándole que estaba incumpliendo la Ley Orgánica de Protección de Datos y que la sanción/multa podía ascender a 1500 euros y la retirada del carnet.

A pesar de que sobre este tema, en concreto, ha habido opiniones de todo tipo, nosotros vamos a analizar la casuística en general.

El artículo 42 de la Ley 5/2014, de 4 de abril, de Seguridad Privada nos dice "(...)"No se podrán utilizar cámaras o videocámaras con fines de seguridad privada para tomar imágenes y sonidos de vías y espacios públicos o de acceso público salvo en los supuestos y en los términos y condiciones previstos en su normativa específica, previa autorización administrativa por el órgano competente en cada caso. Su utilización en el interior de los domicilios requerirá el consentimiento del titular.(...)La monitorización, grabación, tratamiento y registro de imágenes y sonidos por parte de los sistemas de videovigilancia estará sometida a lo previsto en la normativa en materia de protección de datos de carácter personal, y especialmente a los principios de proporcionalidad, idoneidad e intervención mínima.

Está más que claro, que la grabación de la vía pública, con cámaras de seguridad privadas, no es posible. Esta potestad la tienen en exclusividad los Cuerpos y Fuerzas de Seguridad del Estado. Es más, tal y como afirmó el propio Tribunal de Justicia de la Unión Europea: "la Directiva 95/46 sobre protección de los datos de carácter personal, se aplica a las grabaciones realizadas con cámaras de vigilancia por personas físicas en su vivienda familiar y dirigidas a la vía pública, aclarando una parte importante del conflicto, y es que no cabe la excepción doméstica al respecto. Sobre ello, y más ampliamente, hablamos en este mismo blog.

Es posible que la clave del conflicto sea determinar, en cada caso, justamente este aspecto: ¿Cuándo estamos dentro de la excepción doméstica marcada por la normativa en materia de protección de datos?.

Página 8 de 11

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal