El pasado 20 de diciembre de 2017, la Sala Segunda del TJUE, se pronunciaba mediante sentencia sobre el asunto C-434/2016 con relación a una cuestión que ha tenido gran trascendencia mediática dado el carácter novedoso que ha supuesto en materia de protección de datos personales. Los hechos a los que nos estamos refiriendo son los siguientes:

El irlandés Peter Nowak, se presentó a los exámenes oficiales de contabilidad que organizaba el Institute of Chartered Accountants of Ireland (Instituto de Auditores Públicos de Irlanda), los cuales se componían de varias pruebas. Nowak suspendió la última de ellas a finales de 2009 y, decidió reclamar al Instituto la calificación que obtuvo en la misma.

Para su sorpresa, el Instituto desestimó su reclamación, y decidió presentar la correspondiente solicitud para acceder a todos los datos personales que constaban en la citada prueba escrita.

En 2010, recibió por parte del Instituto algunos documentos, pero se negó a enviarle el ejemplar de ese examen en cuestión, por considerar que no contenía datos personales, momento en el cual, decidió dirigirse al Comisario de Protección de Datos (equivalente a la AEPD en nuestro país), para impugnar los fundamentos legales de la negativa del envío por parte del Instituto, pero la respuesta que obtuvo por el mismo fue similar: “los exámenes escritos no son datos de carácter personal”.

Ante esta situación, recurrió ante los distintos órganos jurisdiccionales irlandeses, hasta que finalmente el asunto llegó a la Supreme Court (Tribunal Supremo de Irlanda), y fue éste quien finalmente, declaró la admisibilidad del recurso interpuesto por Nowak contra la resolución del Comisario de protección de datos, y además ante las dudas que se habían suscitado al respecto, a la vez que suspendía el procedimiento, formuló al TJUE las siguientes cuestiones:

- ¿La información contenida en las respuestas dadas por un candidato durante un examen profesional constituye un dato personal en el sentido de la Directiva 95/46?
- ¿Qué factores han de tenerse en cuenta para determinar que un examen escrito constituye un dato personal y qué importancia debe atribuirse a tales factores?

Publicado en Blog

En este blog ya hemos hablado en diferentes ocasiones de los derechos ARCO (acceso, rectificación, cancelación y oposición), que además de ser sobradamente conocidos por todos, se encuentran reconocidos en nuestra Ley Orgánica de Protección de Datos.

En el artículo de hoy y siguiendo con nuestro análisis del RGPD, hablaremos del derecho a la limitación del tratamiento, es decir, estamos ante un nuevo derecho de los afectados que introduce la norma europea.

Así es, el propio RGPD define este derecho como el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.

Por su parte, el artículo 18 es el encargado de describir en qué consiste este derecho y qué circunstancias deben existir para que se pueda aplicar: el interesado tiene el derecho a obtener del responsable la limitación del tratamiento de sus datos cuando se cumpla alguna de las siguientes condiciones:

Publicado en Blog

Una semana más seguimos con el análisis de algo tan importante como son los derechos de los interesados recogidos en el RGPD.

Semanas atrás hemos hablado del derecho de transparencia y del derecho de información donde el RGPD introduce importantes novedades.

En el artículo de hoy nos centraremos en el derecho de acceso, un derecho que no es nuevo para nosotros pues ya se regula en nuestro derecho interno.

A pesar de lo antedicho el RGPD introduce cuestiones interesantes, como por ejemplo respecto del acceso a los datos relativos a la salud. En el considerando 63 se indica “Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables (...). Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas.”

Publicado en Blog
Miércoles, 14 Septiembre 2016 15:41

Derechos del interesado. RGPD. Parte I.

Seguimos con nuestra serie de artículos dedicados al análisis del Reglamento General de Protección de Datos.

Empezamos hoy con una serie de post dedicados a los derechos del interesado, es decir ¿cuáles son los derechos que tenemos todos los que somos titulares de datos de carácter personal según el RGPD?: 

La transparencia como derecho.

En este mismo blog hablamos de transparencia pero como principio, pues el RGPD lo define de ambas formas. El derecho de transparencia supone, tal y como se indica en el artículo 12.1 del RGPD, la obligación del responsable de facilitar al interesado toda la información relativa al tratamiento de sus datos personales de forma concisa, transparente, inteligible y de fácil acceso, en particular cuando esta información se dirija a un niño. Tal información será facilitada por escrito, por medios electrónicos e incluso verbalmente si así lo solicita el interesado y éste demuestra su identidad por un medio distinto

.El derecho de transparencia se posiciona como base que sustenta al resto de derechos recogidos en el RGPD. El mismo artículo 12.2 establece que: el responsable deberá facilitar al interesado el ejercicio de sus derechos, incluidos los mecanismos para solicitar y obtener de forma gratuita el acceso a sus datos personales, su rectificación, supresión y oposición.

Asimismo, el artículo 12.3 de RGPD marca un mes como plazo para que el responsable pueda facilitar al interesado la información relativa a sus actuaciones, tratamientos realizados, tras la recepción de una solicitud por parte del mismo. Es decir, la norma europea establece un mismo y único plazo para todos los derechos (artículos 15 al 22 del RGPD).

Publicado en Blog

En el anterior artículo de este blog, veíamos como una de las obligaciones principales ante la existencia de acceso a datos por cuenta de terceros, es la celebración de un contrato con el contenido exigido por artículo 12 de la LOPD.

Este artículo 12 indica que "el contrato deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido".

Una casuística cada vez más habitual y que genera dudas para cumplir con los requisitos del art. 12 de la LOPD, se produce cuando la contracción de los servicios se realiza a distancia es decir, sin la presencia física simultánea del responsable del fichero y el encargado de tratamiento.

La AEPD ya ha señalado que en estos casos lo que se produce, en la mayoría de los casos,  son contratos de adhesión, constituidos por cláusulas contractuales cerradas, en las que el proveedor (el encargado de tratamiento) fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario (el responsable del fichero) tenga ninguna opción para negociar sus términos. Este caso cada vez más común, da luga a una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor). Sin embargo, y a pesar de este hecho, la Agencia Española de Protección de Datos ha indicado que es imprescindible que ese contrato incorpore, entre sus cláusulas, las garantías a las que obliga la Ley Orgánica de Protección de Datos.

¿Cómo se articula esta obligación? :

Publicado en Blog

Si en el anterior post veíamos, someramente, cómo determinar si estamos ante accesos por cuenta de terceros o una cesión de datos, hoy vamos a describir las obligaciones derivadas en cada caso:

1. Acceso a datos por cuenta de terceros:

En los casos de acceso a datos por cuenta de terceros, la Ley Orgánica de Protección de Datos nos obliga a la firma de un contrato por escrito. Para acreditar su celebración y contenido, dicho contrato deberá contener los siguientes extremos (art. 12 de la LOPD):

a. Que el encargado de tratamiento sólo realizará el tratamiento de los datos de carácter personal conforme a las instrucciones del responsable del fichero.

b. Que no utilizará ni aplicará los datos de carácter personal con fines distintos a los que figuren en contrato. Si no se cumpliese esta estipulación, la propia normativa indica que el encargado de tratamiento será considerado también responsable, respondiendo de las infracciones en que hubiera incurrido personalmente.

c. Que nos los comunicará, ni siquiera para su conservación, a otras personas. En este punto nos podemos preguntar ¿esto quiere decir que no se puede subcontratar?Para saberlo debemos recurrir al artículo 21 del RDLOPD. En resumen, el precepto establece que a priori el encargado de tratamiento no podrá subcontratar sin que el responsable del fichero se lo hubiera encomendado. Las excepciones :

Publicado en Blog

En muchas ocasiones diferenciar cuando estamos ante accesos por cuenta de terceros (encargos de tratamiento) o una cesión de datos no es tarea fácil. Por ello, intentaremos aclarar cuándo nos encontramos en una u otra situación y qué obligaciones en materia de protección de datos se derivan de ello.

Por un lado, el artículo 3 g) de la LOPD, establece que: "se entenderá por encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento".
El RDLOPD 1720/2007 completa esta definición "(...) como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados".

Por otro, se entiende como cesión o comunicación de datos, el tratamiento de datos que supone su revelación a una persona distinta del interesado.

Publicado en Blog

En el anterior artículo, veíamos casos en los que las respuesta a la pregunta era afirmativa, veamos hoy como la misma puede ser también negativa y otros en los que dependerá del caso en concreto.

2. Una respuesta negativa:

Atendiendo a los artículos arts. 142, 143 y 149 del Código Civil (CC) se pueden dar casos en lo que el hijo mayor de edad es quien corre a cargo de sus propios gastos educativos, si intervención de sus progenitores, siendo así, y con carácter general, impediría el acceso a los datos de las calificaciones por parte de estos.

3. La respuesta dependerá en cada caso concreto:

Publicado en Blog

Una pregunta que para muchos no sería objeto de duda y responderían un sí rotundo. La Agencia Española de Protección de Datos, ha analizado esta cuestión en diversos informes jurídicos y, aunque no en todos los casos, la respuesta es por lo general un sí.

Veamos en qué casos tenemos:

1. Una respuesta afirmativa:

En 2014 la AEPD (Informe 0178/2014) ya aclaró que, en relación con el acceso por los progenitores a las calificaciones universitarias de los hijos mayores de edad, teniendo en cuenta lo estipulado la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades que determina que no es preciso el consentimiento los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación. La Agencia considera que el acceso a las calificaciones se encuentra amparada en lo dispuesto en una norma de rango de ley, que expresamente prevé su publicación, y habilita así el acceso, entre otros destinatarios, a los progenitores.

Publicado en Blog

Como es sabido, dentro de las diferentes funciones que son competencia de la Agencia Tributaria está la función inspectora.

Pero, ¿qué ocurre cuando la Agencia Tributaria, en el ejercicio de esta función inspectora, solicita documentación susceptible de contener datos de carácter personal de terceros y además especialmente protegidos, como ocurre, por ejemplo, en las historias clínicas?

Cuando un centro sanitario se encuentra en un procedimiento inspector por parte de la Agencia Tributaria, y ésta le solicita información referida a personas que han recibido asistencia sanitaria de profesionales médicos, estaremos ante una cesión de datos de carácter personal, definida en el artículo 3 i) de la Ley Orgánica 15/1999 (LOPD) como: "toda revelación de datos realizada a una persona distinta del interesado".

Pero además, estaremos ante una cesión de datos que tendrán la consideración de datos de salud, de conformidad con la definición contenida en el artículo 5.1.g) del Reglamento 1720/2007 de desarrollo de la Ley Orgánica 15/1999, según el cual serán datos de carácter personal relacionados con la salud las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo.

Por lo tanto, y ante esta casuística especial, deberemos tomar como referencia lo que se indica en el artículo 7 de la LOPD cuyo apartado 3 establece como regla general que: "los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente".

A tenor de lo dispuesto en el antedicho artículo, lo que deberemos de clarificar, por tanto, es si efectivamente existe una norma con rango de ley que justifique la cesión de los datos descrita.:

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal