Miércoles, 14 Septiembre 2016 15:41

Derechos del interesado. RGPD. Parte I.

Seguimos con nuestra serie de artículos dedicados al análisis del Reglamento General de Protección de Datos.

Empezamos hoy con una serie de post dedicados a los derechos del interesado, es decir ¿cuáles son los derechos que tenemos todos los que somos titulares de datos de carácter personal según el RGPD?: 

La transparencia como derecho.

En este mismo blog hablamos de transparencia pero como principio, pues el RGPD lo define de ambas formas. El derecho de transparencia supone, tal y como se indica en el artículo 12.1 del RGPD, la obligación del responsable de facilitar al interesado toda la información relativa al tratamiento de sus datos personales de forma concisa, transparente, inteligible y de fácil acceso, en particular cuando esta información se dirija a un niño. Tal información será facilitada por escrito, por medios electrónicos e incluso verbalmente si así lo solicita el interesado y éste demuestra su identidad por un medio distinto

.El derecho de transparencia se posiciona como base que sustenta al resto de derechos recogidos en el RGPD. El mismo artículo 12.2 establece que: el responsable deberá facilitar al interesado el ejercicio de sus derechos, incluidos los mecanismos para solicitar y obtener de forma gratuita el acceso a sus datos personales, su rectificación, supresión y oposición.

Asimismo, el artículo 12.3 de RGPD marca un mes como plazo para que el responsable pueda facilitar al interesado la información relativa a sus actuaciones, tratamientos realizados, tras la recepción de una solicitud por parte del mismo. Es decir, la norma europea establece un mismo y único plazo para todos los derechos (artículos 15 al 22 del RGPD).

Publicado en Blog

Hoy terminamos con la serie de artículos dedicados al consentimiento.

El artículo 9.1 del RGPD indica: “quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.

Como excepción a esta regla general el propio artículo 9.2 establece “El apartado 1 no será de aplicación cuando el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados (...)”.

A pesar de no encontrar en la norma europea qué se entiende por consentimiento explícito, la Agencia Española ya se ha pronunciado al respecto indicando que: “estamos ante un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Por tanto, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión”

Publicado en Blog

Si la semana pasada nos centrábamos de la primera parte del art. 4.11 del RGPD, hoy nos centramos en la segunda parte del mismo donde se introduce el verdadero cambio:

1. Consentimiento como manifestación libre, específica, informada e inequívoca “(...) ya sea mediante una declaración o acción afirmativa (...)”.

A este respecto nos vemos en la necesidad de realizar una comparativa con nuestra normativa actual, recordemos plenamente aplicable. En nuestro derecho interno se admiten, principalmente, dos formas de obtener el consentimiento:

1. Expreso: manifestado mediante un acto positivo y declarativo de la voluntad.

El cual se ajusta perfectamente a lo establecido en el RGPD.

2. Tácito: cuando pudiendo manifestar un acto de voluntad contrario, éste no se lleva a cabo, es decir, cuando el silencio se presume o se presupone como un acto de aquiescencia o aceptación.

En cambio el RGPD excluye el uso de este último consentimiento, ya que como reza el artículo sólo será posible recabar el consentimiento mediante una clara acción afirmativa del afectado.

Por tanto y atendiendo a esta nueva situación nos podemos preguntar:

¿Seguirán siendo válidos los consentimientos tácitos obtenidos con anterioridad a la fecha de aplicación del Reglamento?

Publicado en Blog
Jueves, 25 Agosto 2016 09:46

El consentimiento.RGPD.Parte I

Como viene siendo habitual en nuestro blog, seguimos analizando y escudriñando el Reglamento General de Protección de Datos.

En las próximas semanas hablaremos del consentimiento, uno de los pilares fundamentales de toda la normativa de protección de datos, motivo por el cual le dedicaremos varios posts.

El RGPD define el consentimiento del interesado en su art. 4.11 como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Interpretemos el artículo por partes:

1. “(...) manifestación de voluntad libre (...)”: tal y como nos aclara el propio RGPD en su considerando 32: el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. Por lo tanto estaremos cumpliendo el Reglamento mediante la obtención de una declaración por escrito. Sería válida la obtenida por medios electrónicos como por ejemplo, marcar una casilla de un sitio web de internet o escoger parámetros técnicos para la utilización de servicios de la sociedad de la información.

Publicado en Blog

Durante las últimas semanas hemos hablado y analizado los diferentes principios recogidos en el RGPD, esto es: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación e integridad y confidencialidad.

Terminamos hoy la serie artículos al respecto, con el que podría considerarse como el principio esencia del RGPD, esto es el principio de Accountability.

Derivado de este principio, los responsables y encargados del tratamiento, recordemos que el RGPD les considera sujetos obligados per se, no sólo están obligados de dar cumplimiento a los principios de tratamiento antes mencionados, sino que deben ser capaz de demostrarlo: responsabilidad proactiva.

Para dar cumplimiento a este principio, nos encontramos a lo largo de todo el RGPD, diferentes medidas preventivas y actuaciones que se deberán de llevar a cabo, de manera proactiva, por parte de los agentes implicados en el tratamiento de datos de carácter personal. Si bien hablaremos de todos ellos, mencionamos por ejemplo:

Publicado en Blog

Una semana más abordamos el análisis de los principios recogidos en el RGPD.

Como ya hemos indicado en anteriores posts, el artículo 5 de la norma europea establece los “Principios relativos al tratamiento”.

En el apartado f del citado artículo, se establece que “los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”, es decir lo que denomina «integridad y confidencialidad».

Lo que viene a decir el RGPD, y así lo detalla en el considerando 39, es que las medidas deben ir orientadas a impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

Publicado en Blog

En el artículo de hoy nos centraremos en:

1. El principio de minimización de datos -

Art. 5.1 c)” Los datos personales serán: (...) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

También sobre este principio la norma europea establece limitaciones y aclaraciones para su correcta aplicación, como por ejemplo:

- En el considerando 156 se establece que “para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica, histórica o fines estadísticos, además de ser un tratamiento supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento, dichas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos.” Es decir, el tratamiento ulterior de datos personales con los fines descritos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita. 

A este respecto en el artículo 89 del RGPD se especifica aún más indicando que: “tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados (...)”.

Publicado en Blog

Una semana más seguimos con nuestro análisis del RGPD. Hoy hablamos del principio de limitación de la finalidad

El artículo 5.1.b indica “Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (...)”. Asimismo, estos fines explícitos y legítimos deberán determinarse en el momento de su recogida.

Además, tal y como se específica en el considerando 39, los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Tanto es así, que el RGPD requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación, para ello deberán tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.

También la nueva norma europea nos indica las excepciones y aclaraciones para llevar a cabo una correcta aplicación de este principio, destacamos las siguientes:

Publicado en Blog
Viernes, 22 Julio 2016 10:52

Transparencia. Principios RGPD. Parte II

Si en un anterior artículo hablábamos de licitud, hoy nos centraremos en el principio de transparencia.

El RGPD introduce el concepto de transparencia como principio en su art. 5.1.a): "Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado (...)”.

Pero también nos encontramos en la norma europea que lo establece como un derecho: Sección 1 del Capítulo III “Derechos del interesado”.

Derecho del interesado y por ende obligación del responsable del tratamiento, a recibir/proporcionar toda información y comunicación relativa al tratamiento de datos de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, y, además, en su caso, que se visualice. Todo ello reforzado cuando la información vaya dirigida específicamente a un niño.

Asimismo, la información podrá ser facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos, por ejemplo, cuando esté dirigida al público, mediante un sitio web.

Publicado en Blog

El pasado mes de mayo la AEPD emitía una interesante resolución sancionadora desde dos puntos de vista:

1. Aplicación de la LSSI a prestadores de servicios (PSS) establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo:

El art. 3.1 f) de la LSSI establece que se aplicará a los prestadores de servicios de la sociedad de la información establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo cuando el destinatario de los servicios radique en España y los servicios afecten a las materias, entre otras, a la licitud de las comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no solicitada.

La AEPD para determinar que efectivamente el prestador de servicios se dirige a destinatarios que radiquen en España indica como prueba:

1. Que la App propiedad del PSS se encuentra implantada en varias ciudades españolas.

2. Que las comunicaciones comerciales denunciadas se dirigieron a un destinatario radicado en una ciudad española.

3. Que el PSS utiliza como domicilio a efectos de notificaciones para el desarrollo de su actividad en España una dirección en Madrid.

4. Que para el envío de las comunicaciones comerciales se nutre de las agendas de contacto de los terminales móviles de los usuarios españoles registrados en su aplicación.

2. Que utilizar la opción “invitar a amigos” no evitará que seas considerado como responsable del fichero:

Publicado en Blog
Página 4 de 8

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal