Estamos llegando al final de nuestro análisis <paso a paso del Reglamento General de Protección de Datos (RGPD)>

En el artículo de hoy abordaremos el análisis de aquellas situaciones específicas de tratamiento que el propio RGPD recoge en sus artículos 85 a 91:

1. Tratamiento y libertad de expresión y de información.

El RGPD recoge expresamente la necesidad de que los Estados miembros deberán conciliar por ley el derecho a la protección de datos personales con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria.
Añade en su artículo 85.2 que para el tratamiento realizado con fines mencionados, los Estados Miembros deben establecer exenciones o excepciones respeto, entre otros, de los dispuesto en diferentes capítulos del Reglamento donde se regulan los principios, derechos del interesado, responsable y encargado de tratamiento, transferencia de datos personales etcétera, siempre que sean necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.

Asimismo, el RGPD establece la obligación a los Estados miembros de notificar a la futura Comisión las disposiciones legislativas que de conformidad con lo antedicho se adopten junto con las posteriores modificaciones

Publicado en Blog

Una semana más, continuamos analizando la regulación del régimen sancionador en el Reglamento Europeo de Protección de Datos (RGPD) y el Anteproyecto de Ley Orgánica de Protección de Datos (Anteproyecto). En esta ocasión, nos centraremos en la figura del apercibimiento y la aplicación del régimen sancionador respecto de los organismos públicos.

Comenzando por la figura del apercibimiento, como es sabido, no nos encontramos ante una figura novedosa, puesto que ya aparece contemplada en la actual Ley Orgánica de Protección de Datos (LOPD) en su artículo 45.6, en el que se establece que el apercibimiento sólo podrá tener lugar cuando las infracciones cometidas sean de carácter leve y grave, nunca muy grave, y siempre que el infractor no haya sido sancionado o apercibido con carácter previo.

Por su parte el RGPD mantiene esta importante figura indicando para ello en su considerando 148 que, si la infracción cometida fuese leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, las autoridades de control podrán imponer un apercibimiento en lugar de sanción mediante multa.

Además, el artículo 58 en sus letras a y b dice “Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento; b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento”.

Publicado en Blog

Tal y como adelantábamos en nuestro anterior artículo, hoy analizaremos las sanciones a imponer, a responsables y encargados de tratamiento, por la comisión de infracciones tipificadas y la regulación que de las mismas hace el Reglamento Europeo de Protección de Datos (en adelante RGPD), y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, Anteproyecto) con respecto a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)

Las sanciones deberán ser individuales, efectivas, proporcionadas y disuasorias, así lo establece el RGPD en su artículo 83.1. Será la Agencia Española de Protección de Datos (en adelante AEPD) a quién corresponderá su imposición (art.48 Anteproyecto en relación con art.58 RGPD), teniendo en cuenta los criterios de graduación (atenuantes y agravantes) que el RGPD recoge en su artículo 83.2:

a. La naturaleza, la gravedad y la duración de la infracción cometida.
b. La intencionalidad o negligencia a la hora de cometer la infracción.
c. Las medidas tomadas por el responsable para paliar los efectos de la infracción.
d. El grado de responsabilidad del responsable o encargado del tratamiento, habida cuenta de las medidas técnicas y organizativas aplicadas a los tratamientos.
e. Las infracciones anteriormente cometidas por el responsable o encargado del tratamiento.
f. El grado de cooperación con la autoridad de control para poner remedio a la infracción así como para mitigar sus efectos.
g. Las categorías de datos afectados con la infracción.
h. La forma en que la autoridad de control tuvo conocimiento de la infracción.
i. El cumplimiento de las medidas establecidas en el artículo 58, apartado 2, del RGPD siempre que estas hayan sido previamente ordenadas contra el responsable o encargado de que se trate en relación con el asunto.
j. La adhesión a Códigos de conducta o mecanismos de certificación aprobados por el RGPD.
k. Demás factores atenuantes o agravantes aplicables a las circunstancias del caso concreto.

Haciendo uso de lo indicado en este último apartado k referido, el legislador español ha incluido otros factores que podrán tenerse en cuenta para graduar las sanciones (art.76.2), esto es:

Publicado en Blog

Siguiendo con nuestro estudio y análisis del Reglamento Europeo de Protección de Datos (en adelante RGPD), en esta ocasión, nos centraremos en el desarrollo del Régimen Sancionador.

¿Cómo se encuentra regulado en el RGPD?, ¿Qué novedades introduce el RGPD respecto de la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)? Y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, ¿qué indica al respecto?

En el Capítulo VIII del RGPD, que reza “Recursos, responsabilidades y sanciones” se introducen las principales novedades respecto del régimen sancionador, representado los derechos y deberes de las partes y estableciendo condiciones generales y límites a la imposición de multas de carácter administrativo.

Comenzando por la tipificación de las infracciones, en el RGPD no encontramos un artículo como el 44 de nuestra actual LOPD, con una clasificación clara de infracciones en leves, graves y muy graves. El RGPD, en este sentido, podemos decir que es bastante genérico recogiendo en su considerando 148 que con el fin de reforzar la aplicación de las normas del RGPD, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del RGPD, o en sustitución de estas medidas.

Sin embargo, en España, el Anteproyecto mantiene la clasificación que conocemos, a lo largo de sus artículos 72 a 74, es decir, efectúa una relación detallada de las conductas recogidas en el RGPD donde su incumplimiento será considerado como :

1. Infracciones muy graves, de entre las 17 conductas tipificadas como muy graves por el legislador español, destacamos:

Publicado en Blog

Una semana más nos centramos en analizar paso a paso el papel tan importante, sin la menor duda, que tienen las autoridades de control en el RGPD.

Y esa importancia, se ve reflejada no sólo en las funciones asignadas, de las que hablamos la semana pasada sino también en lo poderes conferidos en el RGPD a las autoridades de control, a través de un extenso artículo 58:

1. Poderes de investigación, las autoridades de control podrán:

- Ordenar a responsable y encargado que faciliten cualquier información que requiera para el desempeño de sus funciones.

- Obtener el acceso a todos los locales del responsable y encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento.

En España la Sección 2 del Título VI del Anteproyecto recoge las potestades de investigación de la Agencia Española de Protección de Datos (AEPD). El artículo 52 del Anteproyecto establece que corresponde a los funcionaros de la AEPD o funcionarios ajenos a ella, pero habilitados por el Presidente, llevar a cabo la actividad de investigación. Para ello y a través del artículo 54 les habilita a recabar todas las informaciones necesarias, realizar inspecciones, requerir exhibición, envío y obtención de copia, de los documentos y datos necesarios, incluso podrán exigir la ejecución de tratamientos y programas, y los soportes sujetos a investigación.

- Llevar a cabo investigaciones en forma de auditorías de protección de datos.

- Notificar al responsable/encargado las presuntas infracciones del presente Reglamento.

En el Anteproyecto se habla de planes de auditoría preventiva. El artículo 55 establece que el Presidente de la AEPD podrá acordar la realización de planes de auditoría preventiva, referidos a los tratamientos de un sector concreto de actividad.
Como resultado de la auditoría el Presidente podrá dictar la directrices necesarias, que serán de obligado cumplimiento, para asegurar la adaptación del sector a la normativa.

Actualmente la AEPD dispone la potestad de inspección que le otorga el artículo 40 de la vigente LOPD 1999, inspecciones de oficio que no tienen carácter sancionador sino preventivo como indica la propia Agencia Española de Protección de Datos.

2. Poderes correctivos:

Publicado en Blog

Siguiendo con nuestro estudio de las autoridades de control en el Reglamento General de Protección de Datos (RGPD), nos centramos hoy sus funciones y aprovecharemos para analizar lo que dice el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (Anteproyecto), al respecto y en relación con nuestra autoridad de control: Agencia Española de Protección de Datos (AEPD).

El artículo 57 del RGPD lista de forma amplia y detallada las funciones que deben asumir las autoridades de control. Nosotros destacamos las siguientes:

1. Controlar el RGPD y hacerlo aplicar.

En España y en el artículo 48 del Anteproyecto, se recoge esta función indicando que corresponde a la AEPD supervisar la aplicación del Reglamento. De nuevo se limita a remitirse al RGPD.

2. Promover la sensibilización del público y su comprensión de los riesgos, normas y derechos en relación con el tratamiento. Los niños como objetivo de especial atención.

3. Promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento.

En el Anteproyecto se recogen en el artículo 56 las potestades de regulación, indicando que el Presidente podrá dictar las disposiciones de desarrollo y ejecución necesarias para la interpretación y cumplimiento de lo dispuesto en el RGPD. Además, estas circulares de la Agencia Española de Protección de Datos serán obligatorias y publicadas en el BOE.

4. Cooperar compartiendo información con otras autoridades de control y prestar asistencia con el fin de garantizar la coherencia en la aplicación y ejecución del RGPD.

En España el artículo 57 del Anteproyecto regula lo que denomina <acción exterior> recogiendo en su apartado c) que la AEPD deberá colaborar con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la protección de datos (…).

Publicado en Blog

Retomando nuestro análisis pormenorizado del Reglamento General de Protección de Datos (en adelante RGPD) y enriqueciéndolo con lo indicado en el Anteproyecto de LOPD. Hablamos hoy de las autoridades de control, artículos 51 al 59 del RGPD (dejando el análisis de la cooperación y coherencia entre autoridades artículos 60 a 67, para más adelante) y capítulos I y II del Anteproyecto.

El RGPD nos dice que cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes supervisar la aplicación coherente del Reglamento en toda la Unión. Por lo tanto el RGPD deja abierta la posibilidad de que exista más de una autoridad de control en un Estado miembro, pero se deberá designar una que represente a todas ellas en el Comité Europeo.

En España, y tal y como se indica en el Anteproyecto, la Agencia Española de Protección de Datos (en adelante AEPD) es la autoridad administrativa independiente de ámbito estatal y que tendrá la condición de representante de las autoridades de protección de datos en el Comité (art.45.1).
Por otra parte seguirán existiendo las autoridades autonómicas de protección de datos con funciones y poderes limitados a su ámbito territorial autonómico (art. 58 Anteproyecto).

Destaca el RGPD la importancia de la independencia de las autoridades de control, que deberán actuar en todo momento sin influencia externa, y sin permitir instrucción alguna. Para ello el RGPD exige a los Estados miembros que doten a sus respectivas autoridades de control de recursos humanos, técnicos y financieros suficientes para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes.

Publicado en Blog

Continuando con nuestro análisis del Esquema de Certificación del Delegado de Protección de Datos (en adelante Esquema), a lo largo del presente artículo nos centráremos en el desarrollo de la estructura del Esquema.

Hemos de tener como base que el Delegado de Protección de Datos (en adelante DPD) es un profesional cuyas funciones vienen establecidas en el artículo 39 del Reglamento Europeo de Protección de Datos (en adelante RGPD), y entre las que destacamos la correcta aplicación de la legislación en materia de privacidad y protección de datos. Estas funciones, que ya mencionamos en nuestro articulo ¿Cuáles son las funciones del DPD establecidas en el RGPD?, deberán ser desempeñadas prestando la atención necesaria a los riesgos que entrañan las operaciones de tratamiento atendiendo a su naturaleza, alcance, contexto y fines.

El DPD, tal y como indica el artículo 36 del Anteproyecto de Ley Orgánica de Protección de Datos (en adelante Anteproyecto), en consonancia con el artículo 37.5 del RGPD y los apartados 6.1 y 6.2 del Esquema, será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos así como a su capacidad para desarrollar las funciones genéricas en tareas de asesoramiento y supervisión que se le designan en el RGPD.

¿Cómo se obtiene la certificación de DPD?

Publicado en Blog

La Agencia Española de Protección de Datos (en adelante la AEPD), en colaboración con la Entidad Nacional de Acreditación (en adelante la ENAC), presentó el pasado 13 de Julio el Esquema de certificación de los Delegados de Protección de Datos, (en adelante DPD), convirtiéndose así en la primera Autoridad Europea de Protección de Datos que confecciona un marco de referencia para esta figura. En la elaboración de este documento ha participado un Comité de 23 Técnicos de Expertos entre los que se encuentran representantes de sectores y asociaciones profesionales, empresariales, universidades y Administraciones Públicas.

Partimos de la base de que, los sistemas de certificación de los DPD, regulados en los artículos 42 y 43 del Reglamento General Europeo de Protección de Datos (en adelante RGPD) y en el artículo 40 del Anteproyecto de Ley Orgánica de Protección de Datos (en adelante Anteproyecto), son una herramienta válida cuyo fin último es ofrecer una seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar la figura del DPD a sus organizaciones, de que estos reúnen la cualificación profesional necesaria y los conocimientos requeridos para la realización de sus funciones como DPD.

En consecuencia con lo anteriormente indicado, el objeto de este Esquema de Certificación no es otro que el establecimiento de las líneas generales por las que se va a regir este mecanismo de certificación.

En el esquema de certificación intervienen cuatro partes:

Publicado en Blog

En nuestro articulo Transferencias Internacionales de Datos en el RGPD. Novedades respecto de la LOPD, parte I llevamos a cabo un análisis tanto de la normativa, todavía vigente, en materia de Transferencias Internacionales de Datos como de algunas de las novedades que, respecto de esta materia, introduce el Reglamento General Europeo de Protección de Datos (en adelante el RGPD). A este conjunto de normas debemos añadir, tras su publicación en fecha 27 de Junio de 2017, el Anteproyecto de Ley Orgánica de Protección de Datos (en adelante el Anteproyecto), que regula estas transferencias en sus artículos 41 a 44.

Si bien es cierto que el RGPD introduce novedades que afectan a todo el régimen de transferencias internacionales, en el presente artículo nos centraremos en examinar las novedades que afectan al régimen de autorizaciones.

¿Cuál va a ser el futuro de las autorizaciones por parte de la Directora de la Agencia Española de Protección de Datos (en adelante la AEPD)?

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal