Cada día son más las normas sectoriales afectadas por la protección de datos de carácter personal, llegando a alcanzar desde el sector sanitario, protección de menores, publicidad, videovigilancia hasta la prevención del fraude, entre otros. En ocasiones han sido tratadas en nuestro Blog algunas de estas materias (como aquí, aquí o aquí), pero queremos centrar esta publicación en el análisis de la relación que guardan la normativa en materia de Prevención de Blanqueo de Capitales y las normas de Protección de Datos Personales.

Para ello, enfocaremos nuestra atención exclusivamente en la normativa que se encontraba vigente a fecha de 25 de mayo de 2018, resultando ya exigible el Reglamento Europeo de Protección de Datos (RGPD) y aquella que resulta aplicable a día de hoy:

Por lo tanto, analizamos a continuación los principios y derechos en materia de protección de datos que se encuentran regulados en esta normativa específica, así como los cambios que ha introducido la quinta Directiva en materia de prevención de blanqueo de capitales a este respecto.  

 Principios y Derechos  Ley 10/2010  Directiva 2018/843
 Principio de información El artículo 32.3 contempla la exención al deber de informar al interesado, haciendo referencia en este caso a la ya derogada Ley Orgánica 15/1999.

No realiza ningún pronunciamiento respecto a la exención a informar al interesado.

Habrá que atender a la transposición de la Directiva al ordenamiento jurídico español, para conocer si el legislador mantiene la exención prevista en la Ley 10/2010, haciendo en este caso remisión al RGPD, en lugar de la LOPD 15/1999. 

 Legitimación El artículo 32 determina que no es preciso el consentimiento del afectado para el tratamiento de los datos de carácter personal contenidos en los mencionados ficheros.  La modificación del artículo 43 introduce que el tratamiento de datos personales en virtud de la presente Directiva a fines de prevención del blanqueo de capitales y la financiación del terrorismo se considerará de interés público. Entendemos por tanto que este tratamiento estará legitimado conforme al artículo 6.1 e) RGPD.
 Plazo de conservación El artículo 25 indica que los sujetos obligados conservarán durante un período de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en la presente ley.  No introduce cambios al respecto, al mantener en el artículo 40 que la prórroga máxima del período de conservación de cinco años no excederá de un período de cinco años adicionales. Así, el plazo actual de diez años establecido en la normativa española, se mantiene dentro de los límites mínimo y máximo ahora fijados por la Directiva.
 Derechos de los interesados El artículo 32.3. contempla que no serán de aplicación a los ficheros y tratamientos a los que se refiere este precepto las normas contenidas en la citada Ley Orgánica referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.

No realiza modificaciones al respecto, por lo que podemos interpretar que el contenido del Considerando 46 de la cuarta Directiva a este respecto, continuará siendo aplicable, entendiendo la remisión realizada a la Directiva 95/46/CE al RGPD.

Sin perjuicio de todo lo anterior, consideramos merecedor de un estudio más específico, el ámbito de aplicación subjetivo de la Ley 10/2010 y los cambios introducidos por la Directiva 2018/843 a este respecto. ¿Por qué nos interesa esta cuestión en especial?

Publicado en Blog

Si una empresa de seguros quiere investigar un posible fraude de un cliente a través de un detective privado, ¿estaría dicho detective, en el proceso de su investigación, vulnerando la protección de datos del investigado en cuestión?

Es importante conocer que los detectives privados, legalmente habilitados para el tratamiento de datos personales siempre que no se empleen “medios materiales o técnicos que atenten contra el derecho al honor, la intimidad personal y familiar” (art. 5 y 48 LSP), están autorizados por la Ley de Seguridad Privada 5/2014 de 4 de abril, cuando el tratamiento se base en el interés legítimo de un tercero, esto hace que no sea obligatorio obtener el consentimiento de la persona investigada para llevar a cabo el tratamiento de sus datos. Aun así, la normativa de protección de datos que puede afectar a los investigadores privados son los siguientes:

  • Ley de Seguridad Privada, 5/2014, de 4 abril (LSP).

Por tanto ¿Cómo deben cumplir los investigadores privados con la normativa vigente en materia de Protección de Datos de Carácter Personal (RGPD Y LOPDGDD)?

Publicado en Blog

¿Debo designar un Delegado de Protección de Datos? ¿Quién puede ser nombrado Delegado de Protección de Datos? Estas cuestiones han sido planteadas por muchas entidades, antes, e incluso después, de que el Reglamento Europeo de Protección de Datos (en adelante RGPD) comenzase a ser plenamente aplicable desde el 25 de mayo de 2018.

Como ya hemos comentado en otras ocasiones, si bien la práctica de la designación de esta figura se ha desarrollado en varios Estados miembros a lo largo de los años, el Delegado de Protección de Datos (DPD) /Data Protection Officer (DPO) ha sido desde el primer momento una de las figuras más destacadas del RGPD, cuyos aspectos más importantes ya hemos tenido ocasión de examinar en este Blog, (El Delegado de protección de datos en el RGPD Parte I, Parte II, Parte III y Parte IV).

Asimismo, conforme evoluciona la normativa europea y la misma adquiere madurez, empiezan a plantearse nuevas cuestiones, respecto de las cuales la Agencia Española de Protección de Datos (en adelante AEPD) comienza a pronunciarse a través de publicación de Informes, como a finales del año 2018 lo hizo en el Informe Jurídico que analiza la posible compatibilidad entre el DPO y el responsable de seguridad del Esquema Nacional de Seguridad (en adelante Responsable de Seguridad ENS), y que será objeto de análisis en el presente artículo.

¿En qué sentido se ha pronunciado la Agencia en este Informe?

Con carácter previo a identificar cuáles son las principales diferencias que existen entre ambas figuras, la AEPD parte de la base de que las mismas pertenecen a dos ámbitos de actuación diferentes: la seguridad de la información y el de la protección de datos de carácter personal.

La seguridad de la información comprende el conjunto de técnicas y medidas orientadas a garantizar la confidencialidad, integridad y disponibilidad de la información y los datos importantes para cualquier organización, independientemente del formato que tengan.

En el ámbito de las Administraciones Públicas, es la  Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, la que establecía el mandato de creación de un Esquema Nacional de Seguridad (ENS), con la participación de las Administraciones Públicas, siendo este aprobado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante RD 3/2010).

El Esquema Nacional de Seguridad, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

El propio RD 3/2010 establece en su artículo 10 la existencia de tres figuras diferenciadas que forman parte del ENS:

  • Responsable de la información → Determinará los requisitos de la información tratada.
  • Responsable del servicio→ Determinará los requisitos de los servicios prestados.
  • Responsable de seguridad→ Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

La protección de datos de carácter personal se configura como un auténtico derecho fundamental reconocido como tal en el art. 18.4 de la Constitución Española, conforme al cual “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, y que actualmente se encuentra regulado en el RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Así, la seguridad de la información se sitúa entre el conjunto de los principios, derechos, obligaciones y estructura organizativa de ambas normas, como una de las obligaciones atribuidas a responsables y encargados del tratamiento.

Presentada la diferencia existente entre los ámbitos de la seguridad de la información y de la protección de datos de carácter personal, la AEPD comienza el análisis de las razones que fundamentan su criterio.

¿En que se diferencian el Delegado de Protección de Datos y el Responsable de Seguridad del ENS?

Publicado en Blog

El pasado 9 de octubre se publicó en el Boletín Oficial de las Cortes Generales del Congreso de los Diputados el Informe emitido por la Ponencia sobre el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Dicho informe incorpora cambios significativos respecto del Proyecto de Ley inicial. Consideramos relevante analizar dichos cambios y para ello dedicaremos varias publicaciones.

Se trata de un texto definitivo que partía de un Proyecto de ley presentado por el Partido Popular y cuya segunda versión ha tenido un apoyo unánime por todos los grupos parlamentarios.

La primera novedad significativa nos la encontramos en la propia denominación de la futura Ley Orgánica pasando a denominarse “Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los Derechos Digitales”. Esto es así porque, como analizaremos más adelante, además de perseguirse como objetivo la adaptación del ordenamiento jurídico español al Reglamento general de protección de datos (RGPD), se persigue ahora también reconocer y garantizar una serie de derechos y libertades digitales a los ciudadanos. Por ello, se ha añadido respecto del texto anterior, un Título más: Título X Garantías de los derechos digitales.

En segundo lugar, llama la atención la cantidad de leyes que se ven modificadas por este texto. Mientras que con la primera versión se modificaban únicamente la Ley 1/2000 de Enjuiciamiento Civil y la Ley 29/198 reguladora de la jurisdicción contencioso- administrativa, ahora se introducen modificaciones relevantes en otras diez leyes más: la Ley Orgánica 6/1985 del Poder Judicial, la Ley 19/2013 de transparencia, acceso a la información política y buen Gobierno, la Ley Orgánica 5/1985, del Régimen Electoral General, la Ley 14/1986, General de Sanidad, la Ley 41/2002 básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley Orgánica 2/2006 de Educación, la Ley Orgánica 6/2001 de Universidades, el Texto Refundido de la Ley del Estatuto de los Trabajadores y en el Texto Refundido de la Ley del Estatuto Básico del Empleado Público.

Finalmente vamos a analizar qué otras novedades que aporta la nueva versión del Proyecto en comparación con lo que recogía el texto inicial:  

Publicado en Blog

Ante el retraso en la tramitación parlamentaria del Proyecto de la nueva Ley Orgánica de Protección de Datos, el 27/7/2018 el consejo de ministros aprobó un Real Decreto-Ley que deroga el régimen sancionador de la Ley Orgánica 15/1999, adaptando la legislación española al régimen sancionador del RGPD.

El Real Decreto-ley ha sido publicado en el BOE el 30/7/2018, con entrada en vigor al día siguiente. En todo caso, el RDL establece que los procedimientos iniciados con anterioridad a su entrada en vigor se regirán por la normativa anterior, salvo aquellas disposiciones más favorables para el interesado.

El RDL regula aspectos como el funcionamiento de los procedimientos de la Agencia Española de Protección de Datos, la tramitación de las reclamaciones, y la remisión de la reclamación a otra Autoridad de control si la Agencia Española considerara que no tiene la condición de autoridad de control principal.

Publicado en Blog
Viernes, 06 Julio 2018 14:02

Ya está aquí la Memoria de la AEPD 2017

El pasado mes de mayo, la Agencia Española de Protección de datos (en adelante, AEPD o la Agencia) publicó su Memoria anual del año 2017, que viene a reflejar las diferentes líneas de actuación que se han ido ejecutando desde la propia autoridad de control, así como las más de 80 acciones llevadas a cabo, con el objetivo, tanto de acompañar a los responsables para darles las pautas de cara al cumplimiento normativo, como para concienciar a los ciudadanos de todo lo que va a comportar la misma.

Las más de 6 millones y medio de visitas recibidas en la web el pasado año, lo que supone un incremento del 21,5% respecto al año 2016, nos viene a indicar la alta preocupación que ha supuesto de cara a los ciudadanos la llegada del Reglamento Europeo de Protección de datos (en adelante RGPD, o el Reglamento) en relación a la protección de sus datos de carácter personal.

Los temas que han sido objeto de una mayor consulta, han sido los siguientes:

  • Relativos a la inscripción de los ficheros en la Agencia, obligación que desaparece con la entrada del Reglamento, y que se ve sustituida por la creación de un registro de actividades de tratamiento para determinadas entidades
  • Ficheros de solvencia patrimonial
  • Videovigilancia
  • Obligaciones de los responsables de los ficheros
  • El propio RGPD
  • Los derechos ARCO y Derecho al Olvido
  • Cesión de datos de carácter personal
  • Cuestiones relativas a las comunidades de vecinos

La Agencia, por su parte, ha trabajado muy duro para dar soporte y respuesta a todas estas cuestiones y retos planteados, habiendo incrementado notoriamente su eficacia administrativa, como bien se plasma en la Memoria, al producirse una disminución del 33% respecto del año anterior del número de denuncias y reclamaciones en tramitación al acabar el ejercicio.

La mayor parte de los procedimientos tramitados han sido los relativos al envío de comunicaciones comerciales, cuya base radicaba en el hecho de que los responsables no pudieran acreditar el origen de los datos utilizados en sus campañas.

Publicado en Blog

Como ya venimos anunciando, el Reglamento General de Protección de datos (RGPD), será plenamente aplicable a partir del próximo 25 de mayo. A su vez, en nuestro país se encuentra en tramitación una nueva Ley Orgánica de Protección de Datos, que va a completar el mencionado RGPD. Al respecto, la Agencia Española de Protección de Datos (AEPD), como ya analizamos en una de nuestras publicaciones (ver aquí) ya publicó en noviembre un documento con las principales medidas que las Administraciones Locales (AALL) debían ir poniendo en marcha.

La AEPD, consciente de la importancia del cambio normativo, ha elaborado también una Guía de Protección de datos y Administración local (en adelante, la Guía), que ha publicado recientemente, y en la cual se analizan los aspectos más relevantes que supone el RGPD en las AALL, y que pasamos a analizar:

1. EL RESPONSABLE DEL TRATAMIENTO

Serán responsables del tratamiento los municipios, las diputaciones provinciales y las islas.
A su vez, son responsables, en la medida que traten datos de carácter personal, las entidades de ámbito territorial inferior al municipal, las comarcas, las áreas metropolitanas y las mancomunidades.
En caso de que los Ayuntamientos cuenten con Administración Institucional, será responsable cada uno de los entes que formen parte de la misma.

2. LEGITIMACIÓN

El RGPD prevé un sistema de legitimación cuyas bases jurídicas no tienen relación entre sí. Son relevantes para las AALL las siguientes:

- El Interés público o poderes públicos y cumplimiento de obligación legal

En este punto, la Guía expone dos ejemplos clarificadores: por un lado, el tratamiento de datos del Padrón Municipal está legitimado por el cumplimiento de la Ley de Bases de Régimen Local y, asimismo el tratamiento de datos de los impuestos municipales se basa en el cumplimiento del Texto Refundido de la Ley reguladora de las Haciendas Locales.
Por otra parte, el tratamiento se puede fundamentar en satisfacer los intereses legítimos perseguidos por un tercero al que el responsable le comunica los datos si ese tercero no tiene la condición de autoridad pública.

Publicado en Blog

El pasado 27 de noviembre, la Agencia Española de Protección de Datos ha publicado un documento que recoge las principales medidas que las Administraciones Locales (AALL) deben poner en marcha antes del 25 de mayo de 2018, fecha en que será aplicable el Reglamento General de Protección de Datos (RGPD).

Como las AALL actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades, se van a ver afectadas por las previsiones del nuevo RGPD, surgiendo una serie de necesidades, tales como:

Identificar las finalidades y la base jurídica de los tratamientos que llevan a cabo.

En la actividad de las AALL será muy habitual que la base jurídica sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos. Este tratamiento debe estar justificado en una norma con rango de ley formal.

En los casos en que se traten datos de especial protección (sobre salud, ideología, religión, etc.), sólo podrá llevarse a cabo el tratamiento para satisfacer un interés público esencial.

En los casos en que la base jurídica sea el consentimiento, éste deberá ser informado, libre, específico y otorgado por los interesados mediante manifestación de consentimiento o una clara acción afirmativa.

Los consentimientos “tácitos” dejan de ser válidos, incluso para tratamientos ya iniciados.

Adecuar la información que se ofrece a los interesados cuando se recogen sus datos.

Hay que proporcionar una información más amplia, concisa, transparente, inteligible y de fácil acceso, y además el RGPD introduce nuevos derechos, de los cuales el que más puede ejercerse en el ámbito de las AALL es el de limitación del tratamiento, que supone que debe suspenderse cuando los interesados soliciten la rectificación o supresión de sus datos hasta que el responsable decida sobre la solicitud.

Hay que establecer procedimientos para responder a los ejercicios de derechos en los plazos previstos.

Publicado en Blog

Continuando con nuestro análisis del Esquema de Certificación del Delegado de Protección de Datos (en adelante Esquema), a lo largo del presente artículo nos centráremos en el desarrollo de la estructura del Esquema.

Hemos de tener como base que el Delegado de Protección de Datos (en adelante DPD) es un profesional cuyas funciones vienen establecidas en el artículo 39 del Reglamento Europeo de Protección de Datos (en adelante RGPD), y entre las que destacamos la correcta aplicación de la legislación en materia de privacidad y protección de datos. Estas funciones, que ya mencionamos en nuestro articulo ¿Cuáles son las funciones del DPD establecidas en el RGPD?, deberán ser desempeñadas prestando la atención necesaria a los riesgos que entrañan las operaciones de tratamiento atendiendo a su naturaleza, alcance, contexto y fines.

El DPD, tal y como indica el artículo 36 del Anteproyecto de Ley Orgánica de Protección de Datos (en adelante Anteproyecto), en consonancia con el artículo 37.5 del RGPD y los apartados 6.1 y 6.2 del Esquema, será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos así como a su capacidad para desarrollar las funciones genéricas en tareas de asesoramiento y supervisión que se le designan en el RGPD.

¿Cómo se obtiene la certificación de DPD?

Publicado en Blog

La Agencia Española de Protección de Datos (en adelante la AEPD), en colaboración con la Entidad Nacional de Acreditación (en adelante la ENAC), presentó el pasado 13 de Julio el Esquema de certificación de los Delegados de Protección de Datos, (en adelante DPD), convirtiéndose así en la primera Autoridad Europea de Protección de Datos que confecciona un marco de referencia para esta figura. En la elaboración de este documento ha participado un Comité de 23 Técnicos de Expertos entre los que se encuentran representantes de sectores y asociaciones profesionales, empresariales, universidades y Administraciones Públicas.

Partimos de la base de que, los sistemas de certificación de los DPD, regulados en los artículos 42 y 43 del Reglamento General Europeo de Protección de Datos (en adelante RGPD) y en el artículo 40 del Anteproyecto de Ley Orgánica de Protección de Datos (en adelante Anteproyecto), son una herramienta válida cuyo fin último es ofrecer una seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar la figura del DPD a sus organizaciones, de que estos reúnen la cualificación profesional necesaria y los conocimientos requeridos para la realización de sus funciones como DPD.

En consecuencia con lo anteriormente indicado, el objeto de este Esquema de Certificación no es otro que el establecimiento de las líneas generales por las que se va a regir este mecanismo de certificación.

En el esquema de certificación intervienen cuatro partes:

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal