El 31 de enero del 2020 ha pasado a ser un día histórico para la Unión Europea y el Reino Unido. Desde las 23h, Reino Unido ha dejado de formar parte oficialmente de la Unión Europea. Sin embargo, esta fecha tiene más valor simbólico que efectivo, en tanto que Reino Unido sigue unida a la legislación europea hasta, al menos, el 1 de enero del 2021.

Durante este periodo transitorio, las dos partes tienen la oportunidad de negociar un nuevo tratado internacional que deberá marcar la nueva relación entre la UE y el Reino Unido a partir del final de este periodo transitorio. Cabe decir que existe la posibilidad de que este periodo transitorio se extienda hasta dos años, siempre y cuando se solicite antes de julio, lo que podría suponer alargar el periodo transitorio hasta 2023.

Durante el periodo transitorio, por tanto, el Reino Unido se convierte en un tercer estado al que se le aplica el derecho europeo.

¿Cómo afecta esta nueva situación al Reglamento General de Protección de Datos?

Publicado en Blog

En publicaciones anteriores del blog hemos indicado cómo el Sistema de Información Schengen II garantiza la protección de nuestros datos personales, teniendo como objetivo la eliminación de los controles fronterizos internos, tratando de garantizar, en todo caso, un alto nivel de seguridad y justicia en todos los países miembros de la UE.

La Comisión Europea, estableció en el año 2010 como uno de los pilares básicos de su "Estrategia de Seguridad Interior de la UE en acción: cinco medidas para una Europa más segura", el reforzar la seguridad a través de la gestión de fronteras. Uno de los aspectos estratégicos para la consecución del objetivo radicaba en un mayor uso de las nuevas tecnologías en los controles fronterizos, mediante la segunda generación del Sistema de Información de Schengen (SIS II) ya indicado en el párrafo anterior; un sistema de entrada/salida y programa de registro de pasajeros, así como mediante el Sistema de Información de Visados (Visa Informatión System, en adelante, VIS).

En el presente artículo, vamos a proceder al análisis del VIS, instrumento que se encuentra dentro del marco Schengen, a raíz de los ataques del 11 de septiembre de 2001, establecido por la Decisión 2004/512/CE del Consejo, de 8 de junio de 2004, por la que se establece el Sistema de Información de Visados (VIS) y que fue concebido con un doble objetivo:

  • Aplicación de una política de visados común dentro de los Estados Miembros de la UE, con el fin de facilitar el examen de las solicitudes de los visados y control de las fronteras exteriores.
  • Prevenir las amenazas a la seguridad interior de los Estados Miembros.

¿Qué es el VIS?

El VIS es la base de datos que recoge la información sobre aquellos solicitantes de visados Schengen, que permite a los países que integran el espacio Schengen, procesar datos y decisiones relacionadas con las solicitudes de visados de corta duración, con el fin de visitar o transitar por el Área Schengen, a fin de incrementar la seguridad y la mejora en la gestión de las fronteras exteriores de la UE.

El VIS contiene información sobre los ciudadanos no pertenecientes a la UE que solicitan visados Schengen de corta duración. Sirve para conectar a los guardas fronterizos en las fronteras exteriores de la UE con los consulados de los Estados Miembros en todo el mundo. Es uno de los sistemas más avanzados de este tipo, conteniendo más de 55 solicitudes de visa y cerca de 47 millones de huellas dactilares. Cada año, los Estados Miembros de la UE procesan alrededor de 18 millones de solicitudes para estas visas Schengen de corta duración.

En la actualidad, los países que se encuentran adheridos a este sistema son la mayoría de los estados miembros de la UE, a excepción de Chipre, Croacia, Irlanda y Reino Unido. Bulgaria y Rumanía se encuentran en proceso de adherirse al Área Schengen. También forman parte de ésta, estados no pertenecientes a la UE, como Islandia, Noruega, Suiza y Liechtenstein.

Este Sistema de Información de Visados viene regulado en el  REGLAMENTO (CE) Nº 767/2008 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corte duración entre los Estados miembros (Reglamento VIS), cuyo objetivo radica en “mejorar la aplicación de la política común de visados, la cooperación consular y las consultas entre las autoridades centrales de visados, facilitando el intercambio de datos entre los Estados miembros sobre las solicitudes y sobre las decisiones relativas a las misma”, y cuyas disposiciones fueron modificadas por el Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) n.º 767/2008 y (UE) n.º 1077/2011.

Entre sus principales finalidades, podemos encontrar las siguientes:

Publicado en Blog

Todo parecía indicar, y hasta la propia propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas (en adelante, Reglamento e-Privacy) lo recogía, que, a partir del archiconocido 25 de mayo de 2018, dicho Reglamento, que derogaba la directiva 2002/58/CE, pasaría a ser de plena aplicación, como así lo hizo el Reglamento Europeo de Protección de Datos (en adelante, RGPD).

En efecto, ambos Reglamentos tenían pensado entrar dados de la mano en nuestro ámbito jurídico europeo, pero como todos bien sabemos, ello aún no se ha producido.

El RGPD desplegó sus plenos efectos a partir del pasado 25 de mayo, sin embargo, la propuesta de Reglamento e-Privacy no fue aprobada, por lo que la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas continúa estando en vigor.

Como ya comentamos en anteriores publicaciones, el nuevo Reglamento e-Privacy incorpora numerosas novedades respecto de la Directiva 2002/58/CE, adaptando y actualizando la legislación en materia de privacidad a la nueva realidad digital en la que ya estamos completamente inmersos.

El objeto del Reglamento e-Privacy es la regulación de las cuestiones que afectan a las comunicaciones transmitidas a través de estos nuevos servicios basados en internet, a diferencia de la Directiva, que regula los servicios de comunicación tradicionales, con conceptos muy ambiguos que dificultan una correcta armonización.

La tecnología avanza con pasos de gigante, y nuevas técnicas como el rastreo de los comportamientos en línea de los usuarios finales, la interacciones y comunicaciones de máquina a máquina (el llamado” Internet de las cosas” o ”IOT” [Internet Of Things] en su traducción al inglés), la localización geográfica de los usuarios, de su fecha, hora y tipo de comunicación que están realizando mediante los dispositivos electrónicos, son una más que conocida realidad que se encuentra a la espera de una regulación adaptada a los tiempos que corren.  

Debemos hacer hincapié en uno de los pilares fundamentales del reglamento e-Privacy, que se centra en el consentimiento de los usuarios a la hora de elegir la configuración de la privacidad en sus dispositivos electrónicos.

En una de las encuestas realizadas por la Comisión Europea, se deduce claramente que este es un punto que preocupaba especialmente a los ciudadanos, siendo cerca de un 90% los encuestados que se encuentran a favor de que la configuración predeterminada de su navegador no siga compartiendo su información personal.

Publicado en Blog

En enero 2017 la Comisión Europea publicaba su Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas, que será de directa aplicación en todos los estados miembros de la UE a partir del 25 de mayo de 2018, al unísono del RGPD, pretendiéndose así que no queden lagunas respecto a la protección de los datos, precisándolo y completándolo.
Además, aquellas cuestiones relacionadas con el tratamiento de datos personales que no se contemplan específicamente en esta propuesta, quedan amparadas por el RGPD.

Este Reglamento va a sustituir a la actual Directiva 2002/58/CE y por tanto derogarla. En este artículo del blog vamos a analizar qué principales novedades trae consigo la Propuesta en comparación con lo que se recoge en la Directiva mencionada, cuyo cumplimiento es obligatorio dentro del sector publicitario.             

Publicado en Blog

Seguimos con nuestro análisis del Reglamento para concluir hoy con la figura del encargado del tratamiento.

Recordando el contenido mínimo del contrato o acto jurídico entre responsable y encargado de tratamiento que vimos en nuestro último artículo, es necesario mencionar, que sin perjuicio de que el responsable y el encargado del tratamiento puedan celebrar un contrato individual, el Reglamento prevé que el contrato u acto jurídico podrá basarse en las cláusulas contractuales tipo que adopte directamente la Comisión, o que primero adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comisión.

En relación con la obligación del encargado del tratamiento es seguir las condiciones fijadas en el Reglamento para poder recurrir a otro encargado para llevar ciertas actividades de tratamiento por cuenta del responsable, de acuerdo con el apartado 2º del artículo 28, el encargado no podrá recurrir a otro encargado sin la autorización previa por escrito del responsable, ya sea específica o general. De tratarse del segundo supuesto, el encargado de tratamiento debe dar la opción al responsable de oponerse a los cambios previstos en la incorporación o sustitución de otros encargados.

Publicado en Blog
Viernes, 15 Julio 2016 08:39

¡Ya tenemos Privacy Shield!

El pasado 12 de julio la Comisión Europea adoptaba el Escudo de la Privacidad UE-EE.UU.

El nuevo acuerdo de privacidad con Estados Unidos, el conocido Privacy Shield, refleja los requisitos que el TJUE establecía en su sentencia de 6 de octubre de 2015, conocida como Sentencia del caso Schremes, que declaraba inválido el antiguo acuerdo de Puerto Seguro.

El Privacy Shield busca proteger los derechos fundamentales de cualquier ciudadano europeo cuyos datos personales se transfieran a los Estados Unidos, y aportar claridad jurídica para las empresas que dependen de transferencias internacionales de datos.

El Privacy Shield se basa en los siguientes principios:

Publicado en Blog

El pasado lunes 29 de febrero la Comisión Europea hacía público el borrador del nuevo acuerdo que sustituirá al derogado Safe Harbor, el ya famoso Privacy Shield.

Asimismo, se han dado a conocer los compromisos que el Gobierno de los Estados Unidos ha realizado sobre la aplicación del nuevo acuerdo, garantizando y estableciendo límites al acceso a los datos por las autoridades nacionales de seguridad, asegurando que no habrá vigilancia indiscriminada.

El objetivo principal del Privacy Shield será garantizar a los ciudadanos de la UE los mismos derechos de protección respecto de sus datos de carácter personal cuando sean tratados por entidades norteamericanas. En el caso de que estos derechos no estén garantizados, los datos no saldrán de la Unión Europea.

En el nuevo acuerdo se recogerán también los requisitos establecidos por el Tribunal de Justicia en la sentencia de 6 de octubre de 2015.

Los principales pilares del Privacy Shield serán:

Publicado en Blog

El 15 de Febrero está previsto que la nueva plataforma europea de resolución online de conflictos en e-commerce esté funcionando plenamente.

¿Cómo nos afecta esta nueva forma de resolución de conflictos?

Tal y como se indica en el Reglamento 524/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, sobre resolución de litigios en línea en materia de consumo, el objetivo es: "contribuir, a través de la consecución de un elevado nivel de protección del consumidor, al correcto funcionamiento del mercado interior, en particular de su dimensión digital, proporcionando una plataforma europea de resolución de litigios en línea que facilite la resolución extrajudicial de litigios entre consumidores y comerciantes de forma independiente, imparcial, transparente, eficaz y equitativa".

Para ello la comisión ha creado una plataforma de resolución extrajudicial de conflictos online: http://ec.europa.eu/consumers/odr/ que estará disponible para todos (consumidores y comerciantes).

¿Cuál es el procedimiento a seguir?.

Publicado en Blog

Ya os adelantábamos la semana pasada que era altamente previsible que la Gran Sala siguiera la misma línea que había sido manifestada por el Abogado General hace escasas dos semanas.

Indicamos algunos de los argumentos sobre los que se basa el TJUE en su Sentencia para fundamentar la invalidación de la Decisión de la Comisión:

1. Que los principios de puerto seguro son aplicables únicamente a las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión, sin que se exija que las autoridades públicas estadounidenses se sometan a esos principios.

2. Que la Decisión se refiere únicamente a la adecuación de la protección proporcionada en EEUU con arreglo a los principios de puerto seguro y su aplicación de conformidad a fin de ajustarse a los requisitos del artículo 25.1 de la Directiva 95/46, sin contener no obstante las constataciones suficientes sobre las medidas con las que EEUU garantiza un nivel de protección adecuado. Sin olvidar que esos principios pueden limitarse por exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos. Esto significa que las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión están obligadas, sin limitación, a dejar de aplicar esos principios cuando éstos entren en conflicto con esas exigencias. En consecuencia, una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas, lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por la Carta de los Derechos Fundamentales de la Unión Europea.

3. Que no se respeta el derecho fundamental a la tutela judicial efectiva de los ciudadanos europeos, en el mismo momento en que la normativa interna de EEUU no prevé posibilidad alguna al afectado de ejercer acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión.

4. Sentencia el TJUE que además la Comisión no manifestó en la Decisión 2000/520 que EEUU garantizase efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales..

Publicado en Blog
Miércoles, 30 Septiembre 2015 16:34

El Puerto Seguro ya no es tan seguro

La semana pasada se publicaban las conclusiones del Abogado General del TJUE (SR. Yves Bot) sobre el caso Maximillian Schrems contra Data Protection Comissioner, del que ya hablamos en este mismo blog, allá por marzo.

Las conclusiones de Bot han resultado ser interesantes y muy críticas, a su vez, respecto el concepto de nivel de protección adecuado conferido por los principios de puerto seguro establecidos en la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000.

El Abogado comienza su exposición recordando el principio establecido en el artículo 25 de la Directiva 95/46: "no pueden transferirse datos personales a un país tercero si éste no garantiza un nivel de protección adecuado de tales datos".

En opinión del Sr. Bot para alcanzar un nivel de protección equivalente al vigente dentro de la Unión, el régimen de puerto seguro debe ir acompañado de garantías adecuadas y de un mecanismo de control válido, esto es, las transferencias de datos personales a países terceros no deben ser objeto de una protección inferior.

Entrando en materia sobre el caso concreto objeto de análisis, la transferencia de datos personales por Facebook Ireland a su sociedad matriz establecida en Estados Unidos se realizaba bajo la certificación de Facebook a los principios de puerto seguro.

Pero al parecer, y así lo indica el Abogado, el régimen de puerto seguro ha pasado a ser uno de los conductos a través de los cuales se da acceso a las autoridades de inteligencia estadounidenses para recopilar datos personales que han sido tratados inicialmente en la Unión.

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal