¿Debo designar un Delegado de Protección de Datos? ¿Quién puede ser nombrado Delegado de Protección de Datos? Estas cuestiones han sido planteadas por muchas entidades, antes, e incluso después, de que el Reglamento Europeo de Protección de Datos (en adelante RGPD) comenzase a ser plenamente aplicable desde el 25 de mayo de 2018.

Como ya hemos comentado en otras ocasiones, si bien la práctica de la designación de esta figura se ha desarrollado en varios Estados miembros a lo largo de los años, el Delegado de Protección de Datos (DPD) /Data Protection Officer (DPO) ha sido desde el primer momento una de las figuras más destacadas del RGPD, cuyos aspectos más importantes ya hemos tenido ocasión de examinar en este Blog, (El Delegado de protección de datos en el RGPD Parte I, Parte II, Parte III y Parte IV).

Asimismo, conforme evoluciona la normativa europea y la misma adquiere madurez, empiezan a plantearse nuevas cuestiones, respecto de las cuales la Agencia Española de Protección de Datos (en adelante AEPD) comienza a pronunciarse a través de publicación de Informes, como a finales del año 2018 lo hizo en el Informe Jurídico que analiza la posible compatibilidad entre el DPO y el responsable de seguridad del Esquema Nacional de Seguridad (en adelante Responsable de Seguridad ENS), y que será objeto de análisis en el presente artículo.

¿En qué sentido se ha pronunciado la Agencia en este Informe?

Con carácter previo a identificar cuáles son las principales diferencias que existen entre ambas figuras, la AEPD parte de la base de que las mismas pertenecen a dos ámbitos de actuación diferentes: la seguridad de la información y el de la protección de datos de carácter personal.

La seguridad de la información comprende el conjunto de técnicas y medidas orientadas a garantizar la confidencialidad, integridad y disponibilidad de la información y los datos importantes para cualquier organización, independientemente del formato que tengan.

En el ámbito de las Administraciones Públicas, es la  Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, la que establecía el mandato de creación de un Esquema Nacional de Seguridad (ENS), con la participación de las Administraciones Públicas, siendo este aprobado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante RD 3/2010).

El Esquema Nacional de Seguridad, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

El propio RD 3/2010 establece en su artículo 10 la existencia de tres figuras diferenciadas que forman parte del ENS:

  • Responsable de la información → Determinará los requisitos de la información tratada.
  • Responsable del servicio→ Determinará los requisitos de los servicios prestados.
  • Responsable de seguridad→ Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

La protección de datos de carácter personal se configura como un auténtico derecho fundamental reconocido como tal en el art. 18.4 de la Constitución Española, conforme al cual “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, y que actualmente se encuentra regulado en el RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Así, la seguridad de la información se sitúa entre el conjunto de los principios, derechos, obligaciones y estructura organizativa de ambas normas, como una de las obligaciones atribuidas a responsables y encargados del tratamiento.

Presentada la diferencia existente entre los ámbitos de la seguridad de la información y de la protección de datos de carácter personal, la AEPD comienza el análisis de las razones que fundamentan su criterio.

¿En que se diferencian el Delegado de Protección de Datos y el Responsable de Seguridad del ENS?

En nuestros últimos posts (aquí y aquí) hemos analizado los cambios que ha sufrido el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante Proyecto) durante su proceso de aprobación, hasta el momento no finalizado, encontrándose actualmente en la fase constitutiva del Procedimiento legislativo ordinario. Todo parece indicar que esta redacción del texto legislativo será la definitiva, pero hasta entonces, seguiremos estudiando el contenido del novedoso Título X que el Proyecto dedica a los Derechos Digitales.

Si hace unas semanas centrábamos la atención en los preceptos que el texto dedica a la protección de los menores, el derecho a la educación digital, y el impacto en las relaciones laborales, en esta publicación trataremos cómo el Proyecto regula el derecho de rectificación en Internet.

Como ya hemos venido indicando en recientes artículos, y la propia Exposición de Motivos del Proyecto pone de manifiesto, mediante la inclusión de estas disposiciones se cumple con la tarea de reconocer y garantizar ciertos derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución Española (en adelante CE). En definitiva, derechos que ya se disfrutan en la realidad offline y que hasta ahora planteaban dudas en el entorno online.

¿Qué supone esta premisa en lo que al derecho de rectificación se refiere?

Todos tienen derecho a la libertad de expresión en internet”. Así comienza el artículo 85 del Proyecto dedicado al derecho de rectificación en Internet, aludiendo al derecho fundamental a expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción, reconocido en el artículo 20.1 de la CE.

Ahora bien, es por todos conocido que el derecho fundamental a la libertad de expresión ya sea aplicado o no al ámbito digital, no es un derecho absoluto e ilimitado, toda vez que atendiendo al caso concreto, es posible que prevalezcan otros derechos fundamentales también garantizados en nuestro texto constitucional, tales como el derecho al honor, a la intimidad personal y familiar (art. 18.1 CE).

Una de las limitaciones a este derecho fundamental aplicado a Internet viene ahora dada por el derecho de rectificación regulado en el Proyecto. Si bien el derecho de rectificación en el ámbito de los medios de comunicación social ya se regularizó en La Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación (en adelante Ley 2/1984), y esta norma ha sido aplicada en alguna ocasión a informaciones publicadas en medios de comunicación digitales (como por ejemplo en el asunto analizado en la STS 1615/2018), el Proyecto trata de agilizar y explicitar este derecho de rectificación para los contenidos en redes sociales y servicios equivalentes.

Pero ¿cómo lo hace?

Estos días, gran cantidad de medios se han hecho eco de que la Justicia europea permite el acceso a comunicaciones electrónicas que contengan datos personales, con el objetivo de prevenir e investigar delitos, aunque estos no sean graves, pero ¿realmente esto es así? La respuesta que debemos dar a esta cuestión es afirmativa, pero siempre y cuando se apliquen ciertos matices.

Es por todos conocido, y así lo hemos podido analizar en varios artículos de este blog (como aquí, aquí o aquí), que los derechos fundamentales no son absolutos. No obstante, esto no implica que se pueda inferir en ellos sin ningún tipo de restricción, sino que será necesario realizar el correspondiente juicio de proporcionalidad.

Precisamente esta semana se conocía la sentencia dictada por el Tribunal de Justicia de la Unión Europea (en adelante TJUE) en el asunto C-207/16, en la que resuelve una cuestión prejudicial planteada por la Audiencia Provincial de Tarragona (en adelante AP de Tarragona), y por ello se pronuncia acerca de la fijación del umbral de gravedad de los delitos a partir del cual puede justificarse una injerencia en los derechos fundamentales.

¿Por qué la AP de Tarragona planteó esta cuestión prejudicial?

En el marco de la investigación de un robo con violencia, de una cartera y un teléfono móvil, la Policía Judicial solicitó mediante un oficio, que se ordenase a diversos proveedores de servicios de comunicaciones electrónicas la transmisión de los números de teléfono activados con el código relativo a la identidad internacional del equipo móvil del teléfono sustraído (código IMEI), así como los datos personales o de filiación de los titulares o usuarios de los números de teléfono correspondientes a las tarjetas SIM activadas con dicho código, como su nombre, apellidos y, en su caso, dirección.

El juez instructor denegó la diligencia solicitada al valorarla como una medida no idónea para identificar a los autores del delito, y por otra parte, cuestión que más interés plantea en nuestra materia, consideró que la cesión de los datos conservados por las operadoras de telefonía estaba limitada a los delitos graves, de conformidad con lo dispuesto en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Así, la AP de Tarragona expuso que con posterioridad a la adopción de la decisión del juez instructor, el legislador español (Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica) introdujo dos criterios alternativos para determinar el nivel de gravedad de un delito respecto del cual se autoriza la conservación y la cesión de los datos personales:

¿Alguna vez te has preguntado si puedes usar o no una fotografía que has encontrado en Internet para un proyecto o publicación propia? Lo cierto es que, la legalidad del uso de las imágenes en Internet es una materia pendiente para muchos de los usuarios de la red.

Precisamente estas semanas ha sido noticia la sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-161/17 Renckhoff, relacionada con los derechos de autor de una fotografía publicada en un sitio web.

En el asunto sobre el que se pronuncia la citada sentencia, un fotógrafo autorizó a los operadores de un sitio de Internet dedicado a viajes a publicar en su página web una de sus fotografías, sin restricciones que impidiesen su descarga. Posteriormente, la alumna de un centro de enseñanza pública de Alemania descargó dicha imagen a partir de ese sitio de Internet, con el fin de incorporarla en un trabajo escolar. Trabajo que ulteriormente fue publicado en el portal web del centro escolar.

Por ello, el fotógrafo demandó al estado alemán (determinado como responsable del centro de enseñanza pública), solicitando se prohibiera la reproducción de su fotografía, al considerar que la publicación de esta en el sitio web del centro sin su autorización, vulneraba sus derechos de autor.

Tras ser estimada parcialmente la demanda, ambas partes interpusieron recurso de apelación ante el Tribunal Supremo de lo Civil y Penal Alemán, órgano jurisdiccional que suspendió el procedimiento y planteó al Tribunal de Justicia de la Unión Europea la siguiente cuestión prejudicial:

¿Constituye una puesta a disposición del público en el sentido del artículo 3, apartado 1, de la Directiva 2001/29/CE la inserción en un sitio de Internet propio de libre acceso de una obra que ya podía ser consultada libremente por todos los internautas y con la autorización del titular de los derechos de autor en un sitio de Internet ajeno, cuando dicha obra haya sido copiada primero a un servidor y desde ahí haya sido cargada en el sitio de Internet propio?

Partiendo del marco jurídico constituido por la Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información (en adelante Directiva 2001/29), el Tribunal lleva a cabo el análisis de distintos términos y su concurrencia en este asunto, que a continuación exponemos.

COMUNICACIÓN AL PÚBLICO

Si bien este término no está definido en el artículo 3.1 de la Directiva 2001/29, el Tribunal considera que este deberá entenderse en un sentido amplio, tomando como base los objetivos que persigue esta Directiva, y atendiendo a lo dispuesto en el considerando 23 del citado texto legal:

(…) Este derecho debe entenderse en un sentido amplio que incluya todo tipo de comunicación al público no presente en el lugar en el que se origina la comunicación (…)”.

Ahora bien, el Tribunal expone que el concepto “comunicación al público” asocia dos elementos acumulativos:

Como ya comentábamos en nuestro anterior artículo sobre el análisis de la Memoria anual del año 2017 de la Agencia Española de Protección de Datos (en adelante AEPD o Agencia), la autoridad de control española ha elaborado y publicado distinto material en los últimos meses (Guías, pautas y herramientas), entre el que se encuentra la Guía de Protección de Datos y Prevención de Delitos.

¿Por qué la AEPD ha publicado esta Guía?

En la presentación oficial de este manual el subdirector general de la AEPD, Julián Prieto, quiso remarcar su “vocación fundamentalmente preventiva”, declaración que goza de gran sentido si atendemos a que en la propia Guía se indica que su finalidad es dar a conocer a los ciudadanos cuáles son las consecuencias de realizar un mal uso de datos de carácter personal en Internet, y también proporcionar una serie de pautas para no incurrir en conductas que puedan ser constitutivas de delito o para no ser víctimas de ellas.

¿Qué información podemos encontrar en este manual?

A lo largo del mismo se recogen comportamientos que no solo pueden suponer una infracción de la normativa de protección de datos, sino también la comisión de un hecho delictivo, tipificado por la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Dentro de las conductas a prevenir que pueden conducir a la comisión de delitos, la Guía se centra en los siguientes:

Actualmente internet nos permite encontrar y conocer a la mayoría de las empresas o entidades, que hacen de su página web su primera pantalla de presentación, y en la que es fundamental proporcionar una información, clara, precisa y sencilla que reforzará la imagen de la empresa ante los potenciales clientes.

Pero, ¿qué textos legales ha de incluir una página web?

En gran cantidad de portales web podemos ver, habitualmente anclados en su parte inferior, un Aviso Legal, Política de Privacidad y Política de Cookies.

Si bien es cierto que acostumbramos a ver estos tres textos juntos, es importante saber que la adecuación legal de una página web deriva por una parte de la normativa aplicable en materia de protección de datos, y por otra parte de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI).

Normativa en materia de protección de datos.

Respecto de esta materia, es necesario centrar nuestra atención en la obligación de informar a los interesados cuando se recaben sus datos de carácter personal.

Ya la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), establecía en su artículo 5 las obligaciones respecto de la información que se ha de facilitar a los interesados en el momento en que se soliciten sus datos:

 La existencia del fichero o tratamiento, su finalidad y destinatarios.
 El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
 La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
 La identidad y datos de contacto del responsable del tratamiento.

Sin embargo, ya ha sido objeto de análisis en este Blog (ver aquí), que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, incorporando, en líneas generales, los siguientes detalles:

 Los datos de contacto del Delegado de Protección de Datos, en su caso.
 La base jurídica o legitimación para el tratamiento.
 El plazo o los criterios de conservación de la información.
 La existencia de decisiones automatizadas o elaboración de perfiles.
 La previsión de transferencias a Terceros Países.
 El derecho a presentar una reclamación ante las Autoridades de Control.

Ahora bien, ¿cómo se puede facilitar toda esta información al interesado?

¿Alguna vez te han incluido en un fichero de morosos, o te has preguntado qué requisitos tienen que darse para que puedan hacerlo?

Este tipo de registros pueden ser un recurso asequible para las empresas a la hora de valorar la relación con un posible cliente, sin embargo, no siempre se sigue el procedimiento adecuado al incluir una deuda en estas listas, cuestión que puede generar consecuencias negativas para la intimidad y el honor de la persona señalada como deudor.

Precisamente en el caso presente, el TS dictó sentencia el pasado 23 de abril condenando a una empresa de recobro a indemnizar con una cuantía de 10.000 euros por daños morales causados a una exclienta de Vodafone, cuyos datos incluyó en dos registros de morosos de forma ilícita por una deuda de 200 euros (STS 174/2018).

La sentencia relata que Vodafone cedió a la empresa de recobro Sierra Capital 2012, S.L. (en adelante Sierra Capital), un crédito que afirmaba tener frente a su exclienta, parte demandante en este asunto. Posteriormente, Sierra Capital remitió comunicación a la afectada informando de la cesión de crédito y reclamando el pago de la cuantía indicada, con la advertencia de que en caso de impago, procedería a la inclusión de sus datos en un registro de morosos.

Ante esta comunicación, la demandante realizó el pago parcial de la cantidad reclamada por no estar conforme con las penalizaciones que se le pretendían cobrar, por lo que Sierra Capital comunicó los datos de la demandante a dos ficheros de datos de solvencia patrimonial, por una deuda de 200 euros. La afectada tuvo conocimiento de que la habían incluido en un fichero de morosos cuando al solicitar una tarjeta de crédito, esta le fue denegada.

Actualmente es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) en su artículo 29, y los artículos 37 a 44 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RLOPD) la normativa que regula el tratamiento de datos de carácter personal en los ficheros de información sobre solvencia patrimonial y crédito.

En concreto, el artículo 38 del RLOPD establece algunos de los requisitos para que la inclusión de una deuda sea lícita:

Cada vez más, los gigantes tecnológicos como Google o Facebook, se convierten en el foco de atención, entre otras cuestiones, con motivo del tratamiento de datos que realizan respecto de sus millones de usuarios y la forma en que lo llevan a cabo.

A este respecto, ha tenido gran repercusión mediática la resolución del procedimiento sancionador iniciado de oficio en septiembre de 2017 por la Agencia Española de Protección de Datos (en adelante AEPD), en la que la autoridad de control española impone a Whatsapp y a Facebook una multa de 300.000 € a cada una de las entidades: a Whatsapp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento.

Esta no es la primera vez que la AEPD analiza la comunicación de datos entre Whatsapp y Facebook, pues hemos de recordar que como analizamos en otro artículo de este Blog, en agosto de 2017 la AEPD archivó las actuaciones iniciadas a este respecto mediante expediente Nº E/04948/2016, entendiendo en aquel momento que no se vulneraba lo establecido en la normativa de protección de datos.

¿Por qué en esta ocasión la AEPD sí ha sancionado a ambas entidades?

Para poder analizar la resolución y las consideraciones de la AEPD, debemos comenzar recordando que en el año 2014 Whatsapp fue adquirida por Facebook Inc., y en agosto de 2016 la primera entidad actualizó los términos de su servicio y la política de privacidad, introduciendo cambios como el hecho de compartir información de los usuarios de Whatsapp con Facebook.

Continuando con el estudio de las situaciones específicas contempladas en el Reglamento General de Protección de Datos (en adelante RGPD), a lo largo de esta publicación, abordaremos el análisis del artículo 89 relativo a las “Garantías y excepción aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos”.

Este precepto del RGPD contempla por una parte las garantías específicas que deben aplicarse a estos tratamientos de datos, y por otro lado las excepciones a principios y derechos básicos recogidos en la nueva norma europea, así como en el Proyecto de Ley Orgánica de Protección de Datos (en adelante PLOPD).

¿Cuáles son entonces las garantías adecuadas a implementar en el tratamiento con fines de archivo en interés público, investigación científica o histórica, y/o estadísticos?

A tenor de lo establecido en el RGPD debemos tener en consideración las siguientes:

- Disponer e implementar las medidas técnicas y organizativas que garanticen el respeto al principio de minimización de los datos personales, como por ejemplo la seudonimización (artículo 89.1 del RGPD).

- El tratamiento ulterior de datos personales con los fines anteriormente mencionados solamente se efectuará cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (considerando 156 del RGPD).

- Posibilidad de establecer procedimientos específicos para que los interesados ejerzan sus derechos en materia de protección de datos, si resulta adecuado a la luz de los fines perseguidos por el tratamiento específico (considerando 156 del RGPD).

Por otra parte, en lo que respecta a las excepciones a principios y derechos básicos que aplican a estos tratamientos de datos, el RGPD recoge a lo largo de su articulado y considerandos las que a continuación se exponen:

Con el artículo de hoy ponemos fin a la serie de artículos dedicada a la figura del Data Protection Officer, para hablar de las funciones que el RGPD le atribuye en sus arts. 38 y 39.

¿Cuáles son las funciones que debe desempeñar el DPD en las organizaciones de responsables o encargados del tratamiento?

Como ya hemos comentado anteriormente en este mismo blog, el art. 38 RGPD establece unas directrices acerca de cuál ha de ser la posición del DPD, pero es en el art. 39 donde se recoge el catálogo de funciones que el DPD debe desempeñar. Dichas funciones son las siguientes:

a. Informar y asesorar al responsable o al encargado de tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y otra normativa aplicable en materia de protección de datos.

b. Supervisar el cumplimiento de lo dispuesto en el RGPD, y demás disposiciones aplicables, así como de las políticas del responsable o del encargado, incluida la asignación de responsabilidades, la concienciación y formación del personal y las auditorías correspondientes.

c. Ofrecer el asesoramiento que se le solicite acerca de la Evaluación de Impacto relativa a la protección de datos y supervisar su aplicación. El DPD puede desempeñar un papel muy importante a la hora de asesorar en relación a la EIPD. El GT29 recomiendo que el responsable o encargado de tratamiento soliciten el asesoramiento sobre las siguientes cuestiones:

Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

 nuevocompliance

Somos un equipo pluridisciplinar de profesionales abogados, economistas, informáticos, auditores, especializados en la organización empresarial y el cumplimiento normativo....

sigpacnou

El Centro de Privacidad SIGPAC es un entorno de trabajo y gestión documental basado en un software desarrollado por PRODAT para la gestión de empresas ...

prodatnou

El Sello de confianza electrónica de PRODAT es especialmente de utilidad para tod@s l@s usuari@s de internet y de todos los nuevos medios electrónicos ...  

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal