Es muy probable que hayas oído hablar del derecho al olvido y te preguntarás, ¿Qué es exactamente? Pues bien, en este artículo nos vamos a centrar en explicar este derecho que todos los ciudadanos tenemos reconocido, como ya hemos hecho en otros artículos de nuestro blog pinchando aquí.

Para comenzar, nos gustaría recordar que el derecho al olvido es un concepto relacionado con el Habeas Data (derecho de control del individuo sobre sus datos o información personal, además de la exclusión de toda injerencia en su vida privada) y la protección de datos personales, el derecho al honor, intimidad e imagen, todos ellos Derechos Fundamentales reconocidos en nuestra Constitución (C.E).

Según la Agencia Española de Protección de Datos (AEPD):

El “derecho al olvido hace referencia al derecho que tiene un ciudadano a impedir la difusión de información personal a través de Internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa”.

Además, indica la AEPD que este derecho incluye la posibilidad de limitar la difusión de datos personales, incluso cuando la publicación original sea legítima, cuando refiere que:

“La difusión universal e ilimitada de información que ya no tiene relevancia ni interés público a través de los buscadores causa una lesión a los derechos de las personas”.

Determinado el concepto del derecho al olvido, y si bien esta cuestión ya ha sido analizada en profundidad en nuestro blog (si te interesa este análisis pincha aquí), consideramos necesario mencionar que este derecho, se encuentra regulado por una parte en el artículo 17 del Reglamento General de Protección de datos (RGPD), y por otra parte, exclusivamente en el ámbito de Internet, en el artículo 93 de la Ley Orgánica de Proteccion de Datos y de Garantías de los Derechos Digitales.

Una vez hemos recordado los conceptos y aspectos que rigen en el derecho al olvido, cabe destacar que la importancia de la reivindicación de este derecho viene ligado a grandes buscadores como puede ser Google, ya que basta con teclear el nombre de una persona, algo tan simple como un “click” para que podamos acceder a información relativa a la misma. Información que, aunque a simple vista parezca inofensiva, en muchos casos puede estar atentando contra los Derechos Fundamentales inherentes a esa persona y a su vez vulnerando los principios que rigen en el Derecho a la Protección de Datos.

A este respecto, consideramos necesario hacer referencia a la reciente Sentencia 12/2019 de 11 Enero, Rec. 5579/2017, del Tribunal Supremo, en la cual se viene a tratar lo siguiente:

La persona afectada por una supuesta lesión del derecho al honor, a la intimidad personal y familiar y a la propia imagen, está legitimada para fundamentar válidamente una acción de reclamación ante la entidad proveedora de los servicios del motor de búsqueda en internet, o ante la AEPD, cuando los resultados del motor de búsqueda ofrezcan datos sustancialmente erróneos o inexactos que supongan una desvalorización de la imagen reputacional que se revele injustificada por contradecir pronunciamientos formulados en una resolución firme.

En el caso que nos atañe, la persona afectada interpone su acción de reclamación ante Google, reconocida por la Audiencia Nacional mediante Sentencia, pero Google decide recurrir esta Sentencia ante el Tribunal Supremo. ¿Por qué? El gigante tecnológico considera que no está lesionando los derechos del interesado.

Sin embargo, en el fallo de la Sentencia, el Tribunal Supremo estima no haber lugar al recurso de casación interpuesto por Google, reconociéndole a la persona afectada su Derecho al Olvido.

Este derecho al olvido de la persona afectada se fundamenta del siguiente modo:

Publicado en Blog

El equivalente en Francia a la autoridad de control española en materia de protección de datos (AEPD) es la “Commission nationale de l'informatique et des libertés” (CNIL), una autoridad pública e independiente cuya misión igualmente es garantizar el cumplimiento y la correcta aplicación del Reglamento General de Protección de Datos (RGPD) con el fin de proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.

Este organismo sancionó el pasado 21 de enero a la sociedad GOOGLE LLC (en adelante, GOOGLE) con una de las máximas sanciones previstas en el RGPD, en concreto, con 50 millones de euros, en aplicación de lo dispuesto en el artículo 83 del RGPD “se sancionará con una multa administrativa de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”. (ver aquí Resolución en francés)
La CNIL recibió en el mes de mayo dos denuncias colectivas por parte de la asociación “None Of Your Business (NOYB)” y “La Quadrature du Net (LQDN)” en las que se ponía de manifiesto que GOOGLE no tenía una base jurídica válida para tratar los datos personales de sus usuarios para poder personalizar los anuncios publicitarios que aparecían en sus cuentas.

Esto en la práctica suponía que los usuarios a la hora de configurar su cuenta de Google podían permitir que su perfil pudiera ser analizado con el fin de que la publicidad que les llegue sea lo más personalizada posible.

En primer lugar, hemos de indicar que la CNIL en esta misma Resolución trata una de las novedades introducidas por el RGPD: el mecanismo de ventanilla única

El Considerando 127 del RGPD prevé la posibilidad de que cada autoridad de control que no actúe como autoridad principal, pueda ser competente para tratar asuntos en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento se refiera y afecte en exclusiva en un único Estado y únicamente a interesados de ese Estado.

En tales casos, la autoridad de control debe informar sin dilación a la autoridad de control principal, que es la del país en que se encuentra su establecimiento principal, y una vez informada, ésta debe decidir si:

- Tratará el asunto atendiendo a la cooperación con las otras autoridades de control interesadas. Esta forma de proceder es denominada como “mecanismo de ventanilla única”),
- Tratará el asunto la autoridad de control que le haya informado.

En el presente caso, la CNIL antes de tomar una decisión al respecto y en aras de coordinarse con las otras autoridades, comunicó estas denuncias colectivas que había recibido a la autoridad de control irlandesa por considerarla como la autoridad de control principal al encontrarse las oficinas centrales de GOOGLE.

Publicado en Blog

Ante el retraso en la tramitación parlamentaria del Proyecto de la nueva Ley Orgánica de Protección de Datos, el 27/7/2018 el consejo de ministros aprobó un Real Decreto-Ley que deroga el régimen sancionador de la Ley Orgánica 15/1999, adaptando la legislación española al régimen sancionador del RGPD.

El Real Decreto-ley ha sido publicado en el BOE el 30/7/2018, con entrada en vigor al día siguiente. En todo caso, el RDL establece que los procedimientos iniciados con anterioridad a su entrada en vigor se regirán por la normativa anterior, salvo aquellas disposiciones más favorables para el interesado.

El RDL regula aspectos como el funcionamiento de los procedimientos de la Agencia Española de Protección de Datos, la tramitación de las reclamaciones, y la remisión de la reclamación a otra Autoridad de control si la Agencia Española considerara que no tiene la condición de autoridad de control principal.

Publicado en Blog

El Reglamento General de Protección de Datos (RGPD) en su artículo 68.1 dice "se crea el Comité Europeo de Protección de Datos (Comité), como organismos de la Unión, que gozará de personalidad jurídica”.

Pero ¿Quién será realmente el Comité?

En el considerando 139 del RGPD indica que el Comité deberá sustituir al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado por la Directiva 95/46/CE, esto es, el por todos conocido (GT29).

¿Cuáles serán las principales características del nuevo Comité?.

1. Gozará de personalidad jurídica propia.

2. Estará compuesto por:

- un presidente como representante principal, designado por la propia Comisión entres sus miembros, más dos vicepresidentes.

La duración del mandato de presidente y vicepresidentes será de 5 años de duración con posibilidad de una única renovación.

Dentro de las funciones asignadas al presidente en el artículo 64 del RGPD, destacamos:

Publicado en Blog

Una semana más nos centramos en analizar paso a paso el papel tan importante, sin la menor duda, que tienen las autoridades de control en el RGPD.

Y esa importancia, se ve reflejada no sólo en las funciones asignadas, de las que hablamos la semana pasada sino también en lo poderes conferidos en el RGPD a las autoridades de control, a través de un extenso artículo 58:

1. Poderes de investigación, las autoridades de control podrán:

- Ordenar a responsable y encargado que faciliten cualquier información que requiera para el desempeño de sus funciones.

- Obtener el acceso a todos los locales del responsable y encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento.

En España la Sección 2 del Título VI del Anteproyecto recoge las potestades de investigación de la Agencia Española de Protección de Datos (AEPD). El artículo 52 del Anteproyecto establece que corresponde a los funcionaros de la AEPD o funcionarios ajenos a ella, pero habilitados por el Presidente, llevar a cabo la actividad de investigación. Para ello y a través del artículo 54 les habilita a recabar todas las informaciones necesarias, realizar inspecciones, requerir exhibición, envío y obtención de copia, de los documentos y datos necesarios, incluso podrán exigir la ejecución de tratamientos y programas, y los soportes sujetos a investigación.

- Llevar a cabo investigaciones en forma de auditorías de protección de datos.

- Notificar al responsable/encargado las presuntas infracciones del presente Reglamento.

En el Anteproyecto se habla de planes de auditoría preventiva. El artículo 55 establece que el Presidente de la AEPD podrá acordar la realización de planes de auditoría preventiva, referidos a los tratamientos de un sector concreto de actividad.
Como resultado de la auditoría el Presidente podrá dictar la directrices necesarias, que serán de obligado cumplimiento, para asegurar la adaptación del sector a la normativa.

Actualmente la AEPD dispone la potestad de inspección que le otorga el artículo 40 de la vigente LOPD 1999, inspecciones de oficio que no tienen carácter sancionador sino preventivo como indica la propia Agencia Española de Protección de Datos.

2. Poderes correctivos:

Publicado en Blog

Siguiendo con nuestro estudio de las autoridades de control en el Reglamento General de Protección de Datos (RGPD), nos centramos hoy sus funciones y aprovecharemos para analizar lo que dice el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (Anteproyecto), al respecto y en relación con nuestra autoridad de control: Agencia Española de Protección de Datos (AEPD).

El artículo 57 del RGPD lista de forma amplia y detallada las funciones que deben asumir las autoridades de control. Nosotros destacamos las siguientes:

1. Controlar el RGPD y hacerlo aplicar.

En España y en el artículo 48 del Anteproyecto, se recoge esta función indicando que corresponde a la AEPD supervisar la aplicación del Reglamento. De nuevo se limita a remitirse al RGPD.

2. Promover la sensibilización del público y su comprensión de los riesgos, normas y derechos en relación con el tratamiento. Los niños como objetivo de especial atención.

3. Promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento.

En el Anteproyecto se recogen en el artículo 56 las potestades de regulación, indicando que el Presidente podrá dictar las disposiciones de desarrollo y ejecución necesarias para la interpretación y cumplimiento de lo dispuesto en el RGPD. Además, estas circulares de la Agencia Española de Protección de Datos serán obligatorias y publicadas en el BOE.

4. Cooperar compartiendo información con otras autoridades de control y prestar asistencia con el fin de garantizar la coherencia en la aplicación y ejecución del RGPD.

En España el artículo 57 del Anteproyecto regula lo que denomina <acción exterior> recogiendo en su apartado c) que la AEPD deberá colaborar con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la protección de datos (…).

Publicado en Blog

Retomando nuestro análisis pormenorizado del Reglamento General de Protección de Datos (en adelante RGPD) y enriqueciéndolo con lo indicado en el Anteproyecto de LOPD. Hablamos hoy de las autoridades de control, artículos 51 al 59 del RGPD (dejando el análisis de la cooperación y coherencia entre autoridades artículos 60 a 67, para más adelante) y capítulos I y II del Anteproyecto.

El RGPD nos dice que cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes supervisar la aplicación coherente del Reglamento en toda la Unión. Por lo tanto el RGPD deja abierta la posibilidad de que exista más de una autoridad de control en un Estado miembro, pero se deberá designar una que represente a todas ellas en el Comité Europeo.

En España, y tal y como se indica en el Anteproyecto, la Agencia Española de Protección de Datos (en adelante AEPD) es la autoridad administrativa independiente de ámbito estatal y que tendrá la condición de representante de las autoridades de protección de datos en el Comité (art.45.1).
Por otra parte seguirán existiendo las autoridades autonómicas de protección de datos con funciones y poderes limitados a su ámbito territorial autonómico (art. 58 Anteproyecto).

Destaca el RGPD la importancia de la independencia de las autoridades de control, que deberán actuar en todo momento sin influencia externa, y sin permitir instrucción alguna. Para ello el RGPD exige a los Estados miembros que doten a sus respectivas autoridades de control de recursos humanos, técnicos y financieros suficientes para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes.

Publicado en Blog

Una semana más seguimos con nuestro análisis del RGPD, en esta ocasión para centrarnos en el registro de las actividades de tratamiento.

El Reglamento dispone en su considerando 82 que “para demostrar la conformidad y cumplimiento del mismo, tanto el responsable como el encargado de tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad”.

Así, responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.

En la “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” publicada recientemente por la AEPD, se enuncian como posibilidades para organizar el registro de actividades de tratamiento las siguientes:

- Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos.
- En torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas o con arreglo a otros criterios distintos.

Además, en aras de facilitar a los responsables la constitución de estos registros, la AEPD permitirá que con antelación suficiente a la fecha de aplicación del RGPD, los responsables puedan obtener de forma automatizada toda la información acerca de sus propios ficheros o tratamientos notificados al Registro General.

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal