En el Registro de Actividades de Tratamiento (en adelante RAT) no es necesario anotar a los prestadores de servicios como destinatarios. Paso a argumentar nuestra postura:

En el art 30.1.d) del RGPD, sobre el contenido del RAT, se nos dice que cada actividad de tratamiento debe contener:

"las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales"

Cuando habla de categorías de destinatarios, se refiere a que dichos destinatarios, se deben definir de forma general, por categorías, como por ejemplo: "Bancos y Cajas de ahorro", o "administraciones con competencia en la materia".

En ningún caso la ley nos obliga a definir los destinatarios individualmente. No tiene sentido poner todos los bancos del planeta, porque por ejemplo, podemos acabar transmitiendo los datos a cualquier banco del planeta donde el cliente o proveedor tenga cuenta.

Es un esfuerzo ímprobo tanto recopilarlos, como actualizarlos, y no repercute en un aumento de seguridad o una mejor evaluación de los riesgos, porque en el momento que nosotros hacemos la transferencia con nuestro banco, él comunica directamente la transferencia al banco de destino, mediante un proceso al que somos totalmente ajenos.

Además, en el art. 4 del RGPD, el legislador distingue en sus definiciones, entre Encargado del Tratamiento y Destinatario, porque aunque son cosas distintas, muchas personas confunden los conceptos y los utilizan de forma análoga:

Publicado en Blog

En estos momentos especiales suele ser típico que las empresas y/o profesionales realicemos envíos de felicitaciones navideñas, las cuales nos ayudan a dar una imagen mucho más humana y cercana para con clientes.
Sin embargo, no debemos olvidar que la dirección de correo electrónico es un dato de carácter personal, que se encuentra protegido por la siguiente normativa:

-Reglamento Europeo de Protección de Datos (RGPD).

-La reciente Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, LO 3/2018 (LOPD).

-Así como la Ley 34/2002, de Servicios de la Sociedad de la Información y comercio electrónico (LSSI), la cual tiene por objeto la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, objeto que podemos encontrar reflejado en su propio artículo 1, a lo que debemos dejar claro que las comunicaciones comerciales por correo electrónico son un servicio de la sociedad de la información.

La LSSI prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, par-tiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera:
1. f) "Comunicación comercial: toda forma de comunicación dirigida a la promoción, direc-ta o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional."


De aquí podemos deducir que el envío por parte de una empresa o profesional de una felicitación navideña no podría escapar de esta definición, puesto que se considera como un evidente acto de promoción de la imagen. Pero pasemos a desarrollarlo:
En primer lugar, aclararemos por qué el correo electrónico se considera como un dato de carácter personal, esto es así dado que en la mayoría de los casos el correo electrónico tiene información acerca de su titular, o permite proceder a la identificación de este.


Por lo tanto, una vez que tenemos conocimiento de esto, deberemos estar muy atentos y contar con la solicitud previa o el consentimiento expreso del destinatario (artículo 21.1 LSSI):
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo elec-trónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”
Debemos de aplicar esto, a pesar de que resulte algo muy tentador y a la vez muy cómodo a la hora de enviar, ya que su coste es muy bajo y además con solo un “clic” estaremos enviando a toda nuestra lista de contactos.


Debemos de tener siempre en mente que sólo podremos utilizar el correo electrónico como medio para el envío de felicitaciones de Navidad a aquellos usuarios de los que dispon-gamos de un previo consentimiento para la recepción de comunicaciones comerciales.

Un punto para destacar de la LSSI en este ámbito es el siguiente:

Publicado en Blog

La semana pasada hacíamos un análisis detallado de las novedades que respecto del derecho de información introduce el Reglamento General de Protección de Datos. Centrábamos nuestro análisis, asumiendo que los datos personales habían sido obtenidos directamente del interesado.

Hoy nos centramos en el análisis de qué información y cómo se debe proporcionar cuando los datos personales no se hayan obtenido directamente del interesado.

Para ello acudimos al artículo 14 del RGPD, donde además de indicar que cuando los datos personales no se hayan obtenidos del interesado se debe proporcionar la misma información ya analizada en el anterior post de este mismo blog, el mencionado artículo exige al responsable del tratamiento que facilite al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

1. la categoría de los datos de que se trate.

2. la fuente de la que proceden los datos personales, y en su caso, si proceden de fuentes de acceso público.

Por otro lado, el aparatado 3 del artículo 14 indica que el responsable del tratamiento facilitará la información indicada hasta ahora:

Publicado en Blog

Hace un par de semanas comenzábamos la serie de artículos sobre los derechos del interesado hablando del derecho de transparencia, hoy nos centraremos en:

El derecho de información.

El RGPD,al igual que sucede actualmente en nuestro derecho interno, establece diferentes obligaciones respecto de este derecho en función de la fuente de obtención de los datos personales, es decir, si los datos son recogidos directamente del interesado o afectado, o por el contrario si los datos se han obtenido de un tercero. La diferencia con nuestra normativa es que el RGPD amplía la información que el responsable debe facilitar al interesado.

Analicemos cada caso:

1 Lo datos son recogidos directamente del interesado:

El artículo 13 establece que cuando los datos sean así obtenidos, el responsable del tratamiento, en el momento de su recogida, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; obligación que ya se viene exigiendo en nuestro derecho interno.

b) los datos de contacto del delegado de protección de datos, en su caso; nueva y clara obligación para las entidades obligadas a nombrar un DPO (art.37.1 RGPD).

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

La novedad en este caso la encontramos en la segunda parte cuando habla de indicar la base jurídica del tratamiento que deberá ser clara y precisa y de aplicación previsible para sus destinatarios. Además y tal y como reza la norma a lo largo de sus considerandos podrá venir establecida en el Derecho de la Unión o de los Estados miembros, o contener disposiciones específicas para adaptar la aplicación de normas del Reglamento.

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal