Si en un artículo anterior analizábamos qué es y cuáles son las características del derecho de rectificación, así como el procedimiento a seguir, las obligaciones del responsable del fichero y los casos de aceptación, denegación y excepciones de este derecho. En esta ocasión, describiremos otras situaciones y casos, que recoge la propia normativa, respecto de este derecho ARCO:

1. Rectificación de los datos del afectado en los casos que exista una cesión previa:

Según el artículo 8.5 del RDLOPD, el responsable del fichero que reciba notificación de rectificación del titular de los datos, si éstos han sido cedidos previamente, tiene la obligación legal de comunicar dicha rectificación al cesionario en un plazo máximo de 10 días:

      "Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido"

Por su parte, el cesionario, estará obligado a rectificar los datos, de igual modo y en el mismo plazo, desde la recepción de la comunicación por parte del responsable del fichero (art. 32.3 RDLOP):

     "Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar o cancelar los datos".

Por último, no será necesario informar de esta casuística al afectado, artículos 8.5 y 32.3 del RDLPOD.

2. Ejercicio del derecho de rectificación ante un encargado de tratamiento:

Tal y como establece el artículo 26 del RDLOPD, si los afectados ejercitasen sus derechos, entre ellos el derecho de rectificación, ante un encargado del tratamiento, el encargado deberá dar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva.

Publicado en Blog

A pesar de que el derecho de rectificación, al igual que el derecho de acceso, cancelación y oposición, es uno de los derechos que la LOPD nos reconoce para que podamos defender nuestra privacidad y controlar el uso que se hace de nuestros datos personales, la realidad es, que es un derecho poco usado por los afectados.

Todos ellos son derechos independientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro (art. 24 RDLOPD).

¿Qué es el derecho de rectificación y cuáles son sus características?

El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos (art.16 RDLOPD).
Su ejercicio es personalísimo, por lo que sólo podrá solicitarlo la persona interesada, siendo aceptada la representación legal o voluntaria fielmente acreditada (art.23 RDLOP).

¿Cuál es el procedimiento a seguir?

El afectado deberá dirigirse a la empresa u organismo público que sabe o presume que tiene sus datos. En la solicitud de rectificación se deberá indicar a qué datos se refiere y la corrección que haya de realizarse, adjuntando fotocopia del DNI y los documentos acreditativos de la petición que formula (art.25 RDLOP).

¿Cuáles son las obligaciones del responsable del fichero?

Publicado en Blog

A estas alturas de la película, para nadie es desconocido el uso, cada vez más prolífico, de estos "juguetes" que sobrevuelan nuestras cabezas.

Originalmente diseñados para cumplir tareas de carácter militar, hoy en día los drones se están utilizando para una gran variedad de usos civiles, comerciales o, incluso, policiales, como por ejemplo, la supervisión y la inspección de infraestructuras o instalaciones industriales, publicidad, ocio y entretenimiento, cartografía, para control fronterizo, para la seguridad y la vigilancia por parte de las Fuerzas y Cuerpos de Seguridad, entre otros muchos usos.

Pero, ¿qué son los llamados VANT o dones?

El Real Decreto 1489/1994, de 1 de julio, por el que se aprueba el Reglamento de la Circulación Aérea Operativa define como Vehículo aéreo no tripulado (VANT) a aquél vehículo aéreo propulsado que no lleva personal como operador a bordo. Los vehículos aéreos no tripulados incluyen solo aquellos vehículos controlables en los tres ejes. Además:

a) Es capaz de mantenerse en vuelo por medios aerodinámicos.
b) Es pilotado de forma remota o incluye un programa de vuelo automático.
c) Es reutilizable.
d) No está clasificado como un arma guiada o un dispositivo similar de un solo uso diseñado para el lanzamiento de armas.

En principio, y así se ha llegado a entender durante algún tiempo es que la mayor parte de los fines civiles o comerciales para las que se empleaban los "drones" no comportaban la captación o grabación de imágenes (voces) de personas físicas identificadas o identificables, por tanto, no implicaban la existencia de un tratamiento de datos personales a los efectos de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).

Sin embargo, a medida que el uso de estas aeronaves se fue poniendo de moda, y su utilización en el ocio, los servicios y la fotografía aumentaba, hicieron surgir las dudas y plantearse la posibilidad de que en su uso se pudieran captar imágenes de personas físicas identificadas o identificables, lo que obligaría a tener presentes los principios y obligaciones de la LOPD.

Publicado en Blog

La semana pasada en este mismo blog, analizábamos diversas medidas de control que el empresario puede implantar entre sus trabajadores pero que pueden llegar a chocar con la intimidad de las personas. Las medidas que expusimos entonces fueron la geolocalización y el control de acceso a instalaciones mediante biometría. Hoy, para cerrar el círculo, toca abordar otra medida de control que tiene el empresario:

Control sobre el correo electrónico, dispositivos móviles y acceso a internet.

El uso de las nuevas tecnologías en las empresas por parte de los trabajadores con una finalidad personal y no laboral y, más concretamente, el uso que se le da al correo electrónico corporativo así como al acceso a internet está trayendo consigo problemas legales y de interpretación de las normativas laborales y de protección de datos.

Para estudiar este tema vamos a analizar una serie de sentencias tanto del Tribunal Supremo como del Tribunal Constitucional.

 Sentencia del Tribunal Supremo 26/09/2007 para la unificación de doctrina.

En los antecedentes de hecho de esta sentencia se describe un supuesto despido de un trabajador en cuyo ordenador se encontraron archivos temporales, que contenían accesos a páginas pornográficas y que fue intervenido a raíz de la presencia de un virus informático.
El empleado fue despedido por los hechos anteriormente reseñados y presentó demanda de despido por ilicitud en la prueba. Los hechos llegaron al Tribunal Supremo el cual declaró nulo el despido dado que:

"Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible."

Publicado en Blog

En este mismo blog, hace unas semanas analizábamos la videovigilancia como control empresarial. Hoy toca detenernos en otras medidas de control que el empresario puede llevar a cabo para controlar a sus trabajadores.

1. La geolocalización de los trabajadores vía GPS en vehículos o a través de móviles.

Respecto a esta medida se plantean dos escenarios diversos, no desde el punto de vista del consentimiento ni de la información, sino desde la calidad de los datos, concretamente desde la proporcionalidad en el tratamiento.

En estos casos no es necesario obtener el consentimiento del trabajador para la instalación de los geolocalizadores ya que nos encontramos en el marco de una relación laboral y el empresario puede ampararse en el artículo 20.3 del Estatuto de los Trabajadores. Eso , hay que hacer énfasis en la importancia del deber de informar al trabajador de la instalación de dichos geolocalizadores.

Así lo establece la Agencia Española de Protección de Datos en su Informe 193/2008:

• "...las normas que legitiman el tratamiento de los datos, además de tener en cuenta el Reglamento Comunitario invocado en la consulta, no podemos dejar de mencionar que en el ámbito laboral el Estatuto de los Trabajadores (artículo 20.3) otorga los poderes de dirección del empresario y es en ese articulado, donde podemos encontrar la oportuna legitimación.
• "No obstante la existencia de legitimación no excluye el cumplimiento del deber de informar, por parte del empresario..."

En otro informe (0090/2009) la Agencia analiza la geolocalización a través de smartphones:

• "La finalidad que ocasiona el tratamiento de los datos de localización del escolta es garantizar la seguridad de la persona escoltada. No obstante siguiendo el razonamiento del informe anterior, podría acogerse al poder de dirección empresarial en vez de a la normativa de Seguridad Privada."
• "...el tratamiento de los datos de localización fuera del tiempo de la prestación laboral resulta excesivo en relación a la finalidad perseguida..."

Publicado en Blog

En nuestro último artículo nos centrábamos en analizar las diferentes directrices y obligaciones, para los envíos de publicidad, derivadas de la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento 1720/2007 (RDLOPD) que la desarrolla.

En esta ocasión, nos centraremos en estudiar qué obligaciones debemos seguir para el envío de publicidad siguiendo los criterios establecidos en la Ley de Servicios de la Sociedad de la Información (LSSI).

Como ya comentamos con anterioridad, el ámbito de aplicación de la LOPD alcanza respecto de las personas físicas, en cambio en la LSSI se regulan las comunicaciones comerciales por vía electrónica, esto es, correo electrónico o cualquier otro sistema de mensajería electrónica como medio de comunicación comercial, sin que la condición de persona física o jurídica del destinatario sea relevante.

Es un dato importante y a tener muy presente, pues aquí, por ejemplo, una comunicación comercial enviada a un email tipo "info" que encontramos en cualquier página web de cualquier empresa, estaría dentro del ámbito de aplicación de la LSSI.

En el Anexo de la LSSI, en el apartado f) define "comunicación comercial", como "toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional".

Es decir, que un "inofensivo" email en el que simplemente saludas a un potencial cliente, pero aprovechamos para poner el logo de nuestra empresa, puede ser considerado como una comunicación comercial, aunque en el cuerpo del email no se haga referencia explícita a los productos o servicios ofertados.

Por su parte, el artículo 21 de la LSSI regula el envío de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes y establece que:

Publicado en Blog
Sábado, 11 Julio 2015 16:15

La publicidad en la LOPD y en la LSSI (I)

Una práctica más que habitual en el día a día de cualquier empresa es el envío de publicidad a clientes o potenciales clientes.

Una práctica, en la que si no se siguen las directrices y obligaciones marcadas tanto en la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento 1720/2007 (RDLOPD)  que la desarrolla, como en la Ley de Servicios de la Sociedad de la Información (LSSI), pueden suponer importantes sanciones por parte del órgano regulador, esto es, la Agencia Española de Protección de Datos.

En los próximos artículos vamos a analizar y explicar cuáles son esas directrices y obligaciones, señalando las diferencias entre la LOPD y la LSSI.

Como punto de partida indicar que la LOPD, tal y como se indica en su artículo 1 "tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar"

Es decir, que su ámbito de aplicación alcanza respecto de las personas físicas.

Sin embargo la LSSI regula las comunicaciones comerciales por vía electrónica sin que la condición de persona física o jurídica del destinatario sea relevante.

Como segunda puntualización, debemos señalar que cuando hablamos de publicidad en la LOPD, nos estamos refiriendo al correo directo (también conocido como mailing) que consiste en enviar información publicitaria por correo postal, como por ejemplo, un folleto publicitario, que suele ir acompañado de una carta personalizada.

En cambio y en relación con la publicidad en la LSSI, estaremos hablando del ciberbuzoneo (e-mailing), que es un método también de publicidad directa, pero en el que se utiliza el correo electrónico (o cualquier otro sistema de mensajería electrónica) como medio de comunicación comercial.

1. La publicidad en la LOPD y el RDLOPD.

El capítulo II del título IV del RDLOPD, lleva como título "Tratamientos para actividades de publicidad y prospección comercial"

EL artículo 45 del RDLOPD establece:

Publicado en Blog

La semana pasada en este mismo blog, analizábamos las características y tipos de consentimiento existentes en materia de protección de datos. Vamos a ver ahora en qué casos no es necesario solicitar el consentimiento del afectado, y cuándo podremos revocar el mismo.

1. Supuestos de tratamientos y cesión de datos sin necesidad de obtener el consentimiento del afectado:

Tanto en la Ley Orgánica de Protección de Datos (LOPD), como en el RD 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), se establecen los casos en los que el responsable del fichero no precisa el consentimiento del titular para tratar sus  datos, que son:

1. Cuando lo autorice una norma con rango de ley o una norma de derecho comunitario (art. 10.2 a RDLOPD), en concreto cuando se produzcan, uno de los siguientes casos:

a. El tratamiento o la cesión tengan por objeto satisfacer un interés legítimo del responsable del tratamiento o del cesionario y el mismo se encuentre amparado por dichas normas, con la limitación de respetar  y garantizar el derecho al honor e intimidad personal y familiar.

b. El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

2. Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias. Estas competencias deben estar recogidas en una norma con rango de ley (art. 10.3 a RDLOPD).

Publicado en Blog

"El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa"

(Artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante (LOPD))

El artículo 3h) de la LOPD, define el consentimiento como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen"·

La Agencia Española de Protección de datos ha venido describiendo, en diversos informes, las características exigidas en este artículo 3h), de manera que se entiende por:

1. Consentimiento libre, es aquel que ha sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el código civil (art. 1265 "será nulo el consentimiento prestado por error, violencia, intimidación o dolo".

2. Consentimiento inequívoco, se exige la realización de una acción u omisión, por parte del afectado, que implique la existencia del consentimiento.

3. Consentimiento específico, viene referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la LOPD "Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos"

4. Consentimiento informado, es preciso que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. A este respecto será preciso, que se facilite al interesado la información a que hace referencia el artículo 5.1 de la LOPD.

Una vez determinado los requisitos para entender por válido el consentimiento del afectado, analicemos ahora las formas de recabarlo:.

Publicado en Blog

Esta semana, con motivo de la reunión del lunes 15 de junio del Consejo de Ministros de Justicia e Interior de la Unión Europea (JAI), algunos medios de prensa o incluso la propia Moncloa, en su página web oficial, publicaban titulares como "Los ministros de Justicia de la UE aprueban el Reglamento Europeo para reforzar la protección de datos en internet" o titulares como "Bruselas aprueba la nueva norma de protección de datos que reconoce el 'derecho al olvido'".

Nos gustaría aclarar, que ni se ha aprobado el texto definitivo del futuro Reglamento Europeo de Protección de Datos, y mucho menos se ha creado una nueva norma en el seno de la Unión Europea para reconocer el "derecho al olvido". Recordemos que el famoso "derecho al olvido" viene siendo reconocido desde la Sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, cuando en la misma ya se determinó, que el gestor de un motor de búsqueda en internet es responsable del tratamiento que aplique a los datos de carácter personal que aparecen en las páginas web publicadas por tercero y, por tanto, debe respetar la directiva comunitaria sobre protección de datos, pese a que la publicación en dichas páginas hubiera sido en sí misma lícita.

Además, el Reglamento Europeo de Protección de Datos, no se centrará sólo en regular el "derecho al olvido", será reconocido en uno de sus artículos, pero el Reglamento tiene un doble objetivo:.

Publicado en Blog
Página 6 de 10

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal