La entrada en vigor del Reglamento Europeo de Protección de Datos (en adelante RPGD) en mayo del 2016, trajo consigo tal cambio de paradigma en lo relativo a regulación y armonización de la normativa en materia de protección de datos en todos los países miembros de la UE, que, aún a día de hoy, transcurridos tres años desde su entrada en vigor y un año desde su plena aplicación, pasando a ser directamente aplicable en todos y cada uno de los estados miembros, nos es muy difícil predecir cómo las autoridades de control van a manifestarse y proceder a sancionar todos y cada uno de los incumplimientos de las obligaciones contenidas en el mismo.

En nuestro país, no ha sido hasta el pasado 7 de diciembre del 2018 hasta que nos hemos dotado de una regulación a nivel nacional tras la entrada en vigor del RGPD. La nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales (en adelante, LOPDGDD) tiene, como principal objetivo, el adaptar nuestro ordenamiento jurídico español en materia de protección de datos al RGPD, así como garantizar los derechos digitales de los ciudadanos, al amparo de lo dispuesto en el artículo 18.4 de la Constitución Española, precepto que limita el uso de la informática con el fin de garantizar el honor y la intimidad personal y familiar de los ciudadanos, así como el pleno ejercicio de los derechos. 

La LOPDGDD incorpora grandes cambios respecto a las exigencias contenidas tanto en la ya derogada LOPD 15/1999 como en su Reglamento de Desarrollo, siendo el más significativo, el desarrollo en su Título X de la garantía de los derechos digitales de los ciudadanos.

No es motivo de este artículo proceder a enumerar todos los cambios normativos que la nueva LOPDGDD introduce respecto de la anterior normativa, al ya haber sido objeto de análisis en varias publicaciones (ver aquí, ver aquí), pero sí considero interesante el realizar un sucinto análisis del cambio que se ha producido respecto a la notificación y gestión de las brechas de seguridad, así como realizar un breve resumen de las brechas que han sido notificadas ante la Agencia Española de Protección de Datos (en adelante, AEPD) a lo largo del pasado año desde la entrada en vigor del RGPD.

En primer lugar, debemos hacer una clara diferencia entre “incidente de seguridad” y “brecha de seguridad”, puesto que son dos términos que tienen a confundirse.

Publicado en Blog

Estas últimas semanas, los medios de comunicación se han hecho eco de la obligación aplicable a empresarios o autónomos que cuenten con trabajadores a su cargo, de cumplir con un registro de la jornada laboral de los trabajadores, obligación que deriva del  Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que modifica el artículo 34 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante Estatuto de los Trabajadores), y que será aplicable a partir del día 12 de mayo.

Pero, ¿qué supone la llevanza de este registro en la práctica?

  • Este registro deberá incluir como mínimo el horario concreto de inicio y finalización de la jornada de cada trabajador, sin perjuicio de la flexibilidad horaria establecida. Además, se ha manifestado, que no será suficiente la realización de un cuadrante, pues no se consideran un registro de jornada a efectos de cumplir lo establecido en el Estatuto de los Trabajadores.
  • También resulta de aplicación a trabajadores que realicen teletrabajo, o con movilidad geográfica.
  • La organización y la documentación del registro debe abordarse vía negociación colectiva o acuerdo de empresa. En su defecto, se establecerá por decisión unilateral del empresario previa consulta con la representación legal de los trabajadores.
  • El legislador no ha establecido una fórmula legal subsidiaria ante la falta de acuerdo.
  • En el supuesto de que no exista representación legal de los trabajadores, la ley no prevé la creación de una comisión ad hoc, por lo que debe quedar claro que la obligación de garantizar un registro horario corresponde al empleador.

¿Qué impacto tiene este registro en materia de protección de datos?

Publicado en Blog

En la actualidad, muchas empresas dudan acerca de si deben o no firmar contratos con entidades externas que les prestan servicios, como pueden ser las Mutuas, aseguradoras o empresas de prevención de riesgos laborales, entre otras.

Con carácter previo a clarificar esta cuestión, hemos de comenzar haciendo referencia a que la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su disposición adicional transitoria quinta, nos indica cómo tenemos que actuar en lo que respecta a los contratos en materia de protección de datos:

“los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”.

Por lo tanto, en relación con este artículo, debemos de tener actualizados todos los contratos con nuestros encargados del tratamiento para el año 2022, pero ¿también debemos de realizar este contrato con nuestra Mutua?

Precisamente sobre este tema versará el presente artículo, y para ello, resulta necesario analizar el informe 172302/2018 de la Agencia Española de Protección de Datos (en adelante, AEPD).

A este respecto, en el informe mencionado, la AEPD resuelve una consulta que se le plantea:

¿Las Mutuas colaboradoras con la Seguridad Social tienen la calidad de responsables del tratamiento? O, por el contrario, ¿Deberíamos de firmar un contrato con ellas al ser Encargados del tratamiento?

Como punto de partida cabe aclarar que el Reglamento (UE) 2016/679 de protección de datos (en adelante, RGPD) define la figura de responsable y encargado del tratamiento del siguiente modo:

Artículo 4.7. RGPD configura al responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento…”.

Artículo 4.8 RGPD se refiere al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

Por lo tanto, como podemos comprobar, la clave en la distinción de ambas figuras, reside en que el responsable determina los fines y medios del tratamiento de los datos, mientras que el encargado debe de tratar los datos limitándose a las indicaciones del responsable del tratamiento.

Una vez distinguidas las dos figuras, como ya hemos comentado en alguno de los artículos de nuestro blog (AquíAquí ) es necesario referenciar el artículo 28.3 RGPD, el cual exige la existencia de un contrato u otro acto jurídico con arreglo al derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable. En dicho contrato deberá de contemplarse, entre otras, la estipulación en la que se indique que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, como hemos mencionado antes.

En este punto, nos centraremos en determinar cuál de las dos figuras asumen las Mutuas colaboradoras con la seguridad social, y, en consecuencia, si resulta necesario regular la relación existente entre las partes, mediante el contrato o acto jurídico mencionado.

Al respecto, la AEPD expone en el informe que estamos analizando las siguientes consideraciones para poder fundamentar el criterio establecido:

Publicado en Blog

Como ya comentábamos en nuestro anterior artículo sobre el análisis de la Memoria anual del año 2017 de la Agencia Española de Protección de Datos (en adelante AEPD o Agencia), la autoridad de control española ha elaborado y publicado distinto material en los últimos meses (Guías, pautas y herramientas), entre el que se encuentra la Guía de Protección de Datos y Prevención de Delitos.

¿Por qué la AEPD ha publicado esta Guía?

En la presentación oficial de este manual el subdirector general de la AEPD, Julián Prieto, quiso remarcar su “vocación fundamentalmente preventiva”, declaración que goza de gran sentido si atendemos a que en la propia Guía se indica que su finalidad es dar a conocer a los ciudadanos cuáles son las consecuencias de realizar un mal uso de datos de carácter personal en Internet, y también proporcionar una serie de pautas para no incurrir en conductas que puedan ser constitutivas de delito o para no ser víctimas de ellas.

¿Qué información podemos encontrar en este manual?

A lo largo del mismo se recogen comportamientos que no solo pueden suponer una infracción de la normativa de protección de datos, sino también la comisión de un hecho delictivo, tipificado por la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Dentro de las conductas a prevenir que pueden conducir a la comisión de delitos, la Guía se centra en los siguientes:

Publicado en Blog

Tal y como os comentamos la semana pasada, vamos a dedicar varios artículos de nuestro blog al análisis del Capítulo IX del Reglamento General de Protección de Datos (RGPD) relativo a situaciones específicas de tratamiento, aprovecharemos nuestro análisis para, en caso de que existan, incluir también las consideraciones que al respecto el ya Proyecto de Ley Orgánica de Protección de Datos (Proyecto LOPD) en España pueda recoger.

El artículo 89 del RGPD regula el “tratamiento y acceso del público a documentos oficiales” donde indica que “los datos personales de documentos oficiales en posesión de alguna autoridad pública u organismo público o entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del presente Reglamento.

Por su parte en el considerando 154 del mismo RGPD, añade a este respecto que, la Directiva 2003/98/CE del Parlamento Europeo y del Consejo relativa a la reutilización de la información del sector público no altera ni afecta en modo alguno al nivel de protección de las personas físicas con respecto al tratamiento de datos personales (…) en particular, no altera las obligaciones ni los derechos establecidos en el presente Reglamento.

Publicado en Blog

Estamos llegando al final de nuestro análisis <paso a paso del Reglamento General de Protección de Datos (RGPD)>

En el artículo de hoy abordaremos el análisis de aquellas situaciones específicas de tratamiento que el propio RGPD recoge en sus artículos 85 a 91:

1. Tratamiento y libertad de expresión y de información.

El RGPD recoge expresamente la necesidad de que los Estados miembros deberán conciliar por ley el derecho a la protección de datos personales con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria.
Añade en su artículo 85.2 que para el tratamiento realizado con fines mencionados, los Estados Miembros deben establecer exenciones o excepciones respeto, entre otros, de los dispuesto en diferentes capítulos del Reglamento donde se regulan los principios, derechos del interesado, responsable y encargado de tratamiento, transferencia de datos personales etcétera, siempre que sean necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.

Asimismo, el RGPD establece la obligación a los Estados miembros de notificar a la futura Comisión las disposiciones legislativas que de conformidad con lo antedicho se adopten junto con las posteriores modificaciones

Publicado en Blog

La directora de la oficina de Prodat en Castilla y León, Tamara Morales y el abogado asociado senior de la oficina de Madrid, Francisco González-Calero participan como profesores del curso Especialista Universitario en Protección de Datos, Innovación y Tecnología, Título Propio de la Universidad Europea Miguel de Cervantes de Valladolid, organizado por Priority Madrid Formación.

Con un total de 20 créditos ECTS, a través de las diferentes sesiones que componen el Título Propio, el alumno recibirá una formación teórica y práctica de los diferentes aspectos, tanto del nuevo Reglamento Europeo de Protección de Datos, cuya aplicación efectiva se producirá en mayo de 2018, como de su incidencia práctica en los diferentes sectores organizativos y empresariales.

Las diferentes sesiones combinarán aspectos teóricos y prácticos sobre los aspectos impartidos, potenciando la participación del alumno en las mismas. Dicha formación se complementará, en algunos casos, con clases magistrales (digital meetings) que serán impartidas por expertos internacionales vía videoconferencia.

¡Desde Prodat queremos dar la enhorabuena a nuestros compañeros!.

Publicado en Blog

Nuestro Abogado Asociado Senior, Francisco González-Calero, ha participado en la elaboración y coordinación de las diferentes Declaraciones del Observatorio Iberoamericano de Protección de Datos que han sido publicadas por la Defensoría del Pueblo de la Cuidad Autónoma de Buenos Aires (Argentina) bajo el título “Hacia una efectiva protección de los datos en Iberoamérica. Declaraciones de la iniciativa del Observatorio Iberoamericano de Protección de Datos”.

La obra, que puede ser consultada aquí, presentada recoge las diferentes Declaraciones elaboradas en el seno de la iniciativa del Observatorio, tanto por los propios colaboradores de la iniciativa como por profesionales, ciudadanos e Instituciones que cooperan en su redacción, en aras a una mayor concienciación de la importancia de aplicar criterios normativos en materia de privacidad, protección de datos y habeas data, así como la unificación de los mismos en los países iberoamericanos.

Para Francisco González-Calero, Abogado Asociado Senior de Prodat, “sólo desde una unificación de criterios y armonización normativa se puede aportar seguridad jurídica a las empresas, instituciones y a los propios consumidores, aspectos que posibilitarán desarrollar todas las potencialidades del comercio electrónico, el Internet de las Cosas (IoT) y el Big Data. Cuestiones que requieren un análisis multidisciplinar tal y como se recoge en cada una de las Declaraciones que recopila esta obra”.

En este sentido, no debemos olvidar, como indica Eduardo Peduto, Director del Centro de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires, que “cuando protegemos datos protegemos personas. Esta es la esencia de nuestra acción tanto en la divulgación, capacitación, investigación o cuando receptamos denuncias sobre la vulneración de datos personales. Hacer hincapié, nunca suficiente nunca vasto, que cuando nos abocamos a la protección de datos personales estamos protegiendo personas. Estamos protegiendo su intimidad, su privacidad, su dignidad. Su ciudadanía, entendida ésta en el sentido amplio en que hoy es reconocida por el desarrollo de las ciencias sociales. En definitiva, estamos protegiendo su mayor atributo: su condición de ser humano”.

Publicado en Blog

Una semana más seguimos con el análisis de algo tan importante como son los derechos de los interesados recogidos en el RGPD.

Semanas atrás hemos hablado del derecho de transparencia y del derecho de información donde el RGPD introduce importantes novedades.

En el artículo de hoy nos centraremos en el derecho de acceso, un derecho que no es nuevo para nosotros pues ya se regula en nuestro derecho interno.

A pesar de lo antedicho el RGPD introduce cuestiones interesantes, como por ejemplo respecto del acceso a los datos relativos a la salud. En el considerando 63 se indica “Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables (...). Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas.”

Publicado en Blog

La semana pasada hacíamos un análisis detallado de las novedades que respecto del derecho de información introduce el Reglamento General de Protección de Datos. Centrábamos nuestro análisis, asumiendo que los datos personales habían sido obtenidos directamente del interesado.

Hoy nos centramos en el análisis de qué información y cómo se debe proporcionar cuando los datos personales no se hayan obtenido directamente del interesado.

Para ello acudimos al artículo 14 del RGPD, donde además de indicar que cuando los datos personales no se hayan obtenidos del interesado se debe proporcionar la misma información ya analizada en el anterior post de este mismo blog, el mencionado artículo exige al responsable del tratamiento que facilite al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

1. la categoría de los datos de que se trate.

2. la fuente de la que proceden los datos personales, y en su caso, si proceden de fuentes de acceso público.

Por otro lado, el aparatado 3 del artículo 14 indica que el responsable del tratamiento facilitará la información indicada hasta ahora:

Publicado en Blog
Página 1 de 6

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal