A veces se utiliza una falsa identidad para cometer delitos o para intentar entrar o permanecer en el espacio Schengen. Este uso inadecuado a menudo va ligado a la pérdida o al robo de documentos de identidad. Si una situación así se traduce en la entrada de una alerta en el Sistema Información Schengen de segunda generación (en lo sucesivo SIS II) podría causar problemas a la persona inocente cuya identidad ha sido robada.

Las personas cuyos datos personales hayan sido recogidos, almacenados o tratados de algún otro modo en el SIS II tienen derecho de acceso, de rectificación de los datos inexactos y de supresión de los datos almacenados ilegalmente.

En este post te contamos en qué consiste el sistema de información Schengen II y cómo podemos solicitar el acceso a nuestros datos personales para su corrección o eliminación por un mal uso.

¿Qué es el Sistema de Información de Schengen?

El Sistema de Información de Schengen establecido en 1995, por el art. 92 del Convenio de Aplicación del Acuerdo de Schengen es un sistema informático a gran escala, creado como medida compensatoria por la eliminación de los controles fronterizos internos, con el que se trata de garantizar un alto nivel de seguridad dentro del espacio de libertad, seguridad y justicia de la Unión Europea, incluidos el mantenimiento de la seguridad y el orden público y la salvaguardia de la seguridad en el territorio de los Estados miembros.

En diciembre de 2016, la Comisión propuso ampliar y mejorar el uso de esta base de datos al enriquecer los datos que contiene con nuevas categorías de alertas, garantizando así un intercambio de información aún más eficiente entre los Estados miembros y fortaleciendo la seguridad de los datos personales a medida que viajan, a través de la red SIS, así como las salvaguardas generales de protección de datos.

El SIS II funciona en 30 países europeos, es decir, 26 Estados miembros de la UE (solo Irlanda y Chipre aún no están conectados al SIS), así como en Islandia, Liechtenstein, Noruega y Suiza.

Hoy, el SIS II es la base de datos de seguridad más utilizada en Europa, con más de 5 mil millones de consultas en 2017.

La actual regulación de este sistema de información se encuentra en el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (en adelante, RSIS).

La lista de las autoridades nacionales competentes con acceso al SIS II se publica anualmente en el Diario oficial de la Unión Europea.

En esencia, una autoridad aduanera, policial, judicial o administrativa de un país puede generar una «alerta» donde se describa la persona o el objeto que se está buscando.

Se puede generar una alerta entre otras por las razones siguientes:

1. Para evitar la entrada de personas que no están autorizadas a entrar o a permanecer en territorio Schengen.
2. Para buscar y detener a una persona contra la que se ha dictado una orden de detención europea.
3. Para ayudar a localizar personas, previa petición de las autoridades policiales o judiciales.
4. Para buscar y proteger a una persona desaparecida.
5. Para buscar propiedades robadas o perdidas.
6. Alertas preventivas sobre niños y adultos vulnerables en riesgo de secuestro.
7. Alertas sobre ciudadanos no pertenecientes a la UE sujetos a una decisión de repatriación.

¿Pero qué información nos ofrece la consulta a SIS II?

El SIS II centraliza dos amplias categorías de información:

1.-Personas con orden de detención, desaparecidas, especialmente niños u otras personas vulnerables que necesiten protección, requeridas para prestar asistencia en un procedimiento judicial, a efectos de controles discretos o específicos, o bien nacionales de terceros países a los que se ha denegado la entrada o la estancia en un país del espacio Schengen.

2.- Objetos tales como vehículos, documentos de viaje y tarjetas de crédito, para su incautación o utilización como pruebas en un procedimiento penal, o a efectos de controles discretos o específicos.

Cuando la descripción se refiera a una persona, la información deberá incluir siempre su nombre, apellidos y en su caso alias, su sexo, una referencia a la decisión que motiva la descripción y las acciones que se deberán emprender. La descripción podrá incluir asimismo otras informaciones disponibles, como los rasgos físicos particulares, objetivos e inalterables, el lugar y fecha de nacimiento, fotografías, huellas dactilares, nacionalidad(es), si la persona en cuestión está armada, es violenta o se ha fugado, los motivos de la descripción, la autoridad que la introdujo, las conexiones con otras descripciones del artículo 63 del RSIS. (art. 20.3 RSIS).

¿Cómo se garantiza entonces la protección de los datos de carácter personal?

Publicado en Blog

Es probable que hayas oído hablar del whistleblowing, pero ¿de dónde proviene dicho término y que significa?

Para conocer el origen el término “whistleblower”, hemos de acudir a la práctica de los oficiales de policía británicos, los cuales hacían sonar sus silbatos (whistle) soplando (blow), en el caso de que presenciasen la comisión de un presunto delito. De este modo se alertaba tanto a las autoridades como a los ciudadanos del peligro.

Actualmente, este término se refiere al ciudadano que informa de que se está cometiendo un acto delictivo en la organización para la que presta servicios.

¿Para qué se utiliza el canal (whistleblowing)?

Como hemos ido adelantando, dicho canal se usa para denunciar un hecho constitutivo de delito, peligro o fraude dentro de una empresa. Si bien es cierto que tiene especial relevancia en el sistema público, también se utiliza en el sistema privado, siendo alguno de los delitos susceptibles de denuncia los que citamos a continuación:

·         Blanqueo de capitales.

·         Delitos en materia de protección de datos.

·         Contra la propiedad intelectual e industrial.

·         Evasiones de impuestos.

·         Contra la Hacienda Pública, etc.

A este respecto, consideramos importante el hacer referencia a la persona que realiza la denuncia (whistlebower), ¿qué tipo de protección tiene?

En líneas generales, España no dispone de ninguna normativa que regule específicamente las medidas de protección mínimas que debería recibir cualquier persona que se encuentre en posición de denunciar una irregularidad o ilícito cometido en una organización, tanto pública como privada. Si bien es cierto que hay determinadas normas que regulan algunos aspectos de estos canales, estas no entran en la protección de la persona que se encarga de realizar la denuncia. Hemos de resaltar entre dichas normas la originaria de la popularización de este término en España:

·  LO 5/2010, de 22 de junio que introduce el artículo 31 bis en nuestro Código Penal, la cual se aprobó en Diciembre de 2010, estableciendo así un estatuto de responsabilidad penal para las personas jurídicas de forma autónoma e independiente del de sus representantes legales y administradores. Además, introduce como atenuante e incluso eximente a esa responsabilidad el demostrar haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.

Es a partir de esta reforma cuando se hace más popular en las empresas españolas la implantación de canales de denuncias internos.

También cabe destacar que diversos organismos a lo largo de los años han ido pronunciándose en relación con el canal whistleblowing, como, por ejemplo:

1.    Grupo de Trabajo del Artículo 29, en el Dictamen 1/2006, en el cual el WG29 se postula hacia canales de denuncia abiertos, es decir, de manera identificada, fundamentándolo hasta en seis razones diferentes, pero a pesar de su preferencia, no rechaza de forma categórica la posibilidad de que se puedan dar denuncias de forma anónima.

2.    Fiscalía General del Estado, a través de la Circular 1/2016, de la cual hemos de destacar que ya adelantaba lo siguiente: "para que la obligación de utilizar el canal de denunciar pueda ser exigida a los empleados será imprescindible que la empresa implemente adicionalmente una "regulación protectora específica del denunciante (whistleblower)".

No obstante, es cierto que algunas de nuestras Comunidades Autónomas sí que se han encargado de regular en esta materia. Entre otras, podemos destacar el caso de Castilla y León a través de la Ley 2/2016, de 11 de noviembre, por la que se regulan las actuaciones en relación con las informaciones que reciba la Administración Autonómica sobre hechos relacionados con delitos contra la Administración Pública, estableciendo a su vez garantías para los informantes.

Asimismo, no queremos pasar a analizar la Directiva sin recordar que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su artículo 24 también hace referencia a los canales de denuncia internos, diciendo textualmente:

“Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información”.

Publicado en Blog

Una semana más, continuamos analizando la regulación del régimen sancionador en el Reglamento Europeo de Protección de Datos (RGPD) y el Anteproyecto de Ley Orgánica de Protección de Datos (Anteproyecto). En esta ocasión, nos centraremos en la figura del apercibimiento y la aplicación del régimen sancionador respecto de los organismos públicos.

Comenzando por la figura del apercibimiento, como es sabido, no nos encontramos ante una figura novedosa, puesto que ya aparece contemplada en la actual Ley Orgánica de Protección de Datos (LOPD) en su artículo 45.6, en el que se establece que el apercibimiento sólo podrá tener lugar cuando las infracciones cometidas sean de carácter leve y grave, nunca muy grave, y siempre que el infractor no haya sido sancionado o apercibido con carácter previo.

Por su parte el RGPD mantiene esta importante figura indicando para ello en su considerando 148 que, si la infracción cometida fuese leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, las autoridades de control podrán imponer un apercibimiento en lugar de sanción mediante multa.

Además, el artículo 58 en sus letras a y b dice “Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento; b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento”.

Publicado en Blog

Tal y como adelantábamos en nuestro anterior artículo, hoy analizaremos las sanciones a imponer, a responsables y encargados de tratamiento, por la comisión de infracciones tipificadas y la regulación que de las mismas hace el Reglamento Europeo de Protección de Datos (en adelante RGPD), y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, Anteproyecto) con respecto a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)

Las sanciones deberán ser individuales, efectivas, proporcionadas y disuasorias, así lo establece el RGPD en su artículo 83.1. Será la Agencia Española de Protección de Datos (en adelante AEPD) a quién corresponderá su imposición (art.48 Anteproyecto en relación con art.58 RGPD), teniendo en cuenta los criterios de graduación (atenuantes y agravantes) que el RGPD recoge en su artículo 83.2:

a. La naturaleza, la gravedad y la duración de la infracción cometida.
b. La intencionalidad o negligencia a la hora de cometer la infracción.
c. Las medidas tomadas por el responsable para paliar los efectos de la infracción.
d. El grado de responsabilidad del responsable o encargado del tratamiento, habida cuenta de las medidas técnicas y organizativas aplicadas a los tratamientos.
e. Las infracciones anteriormente cometidas por el responsable o encargado del tratamiento.
f. El grado de cooperación con la autoridad de control para poner remedio a la infracción así como para mitigar sus efectos.
g. Las categorías de datos afectados con la infracción.
h. La forma en que la autoridad de control tuvo conocimiento de la infracción.
i. El cumplimiento de las medidas establecidas en el artículo 58, apartado 2, del RGPD siempre que estas hayan sido previamente ordenadas contra el responsable o encargado de que se trate en relación con el asunto.
j. La adhesión a Códigos de conducta o mecanismos de certificación aprobados por el RGPD.
k. Demás factores atenuantes o agravantes aplicables a las circunstancias del caso concreto.

Haciendo uso de lo indicado en este último apartado k referido, el legislador español ha incluido otros factores que podrán tenerse en cuenta para graduar las sanciones (art.76.2), esto es:

Publicado en Blog

El Reglamento General de Protección de Datos (RGPD) en su artículo 68.1 dice "se crea el Comité Europeo de Protección de Datos (Comité), como organismos de la Unión, que gozará de personalidad jurídica”.

Pero ¿Quién será realmente el Comité?

En el considerando 139 del RGPD indica que el Comité deberá sustituir al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado por la Directiva 95/46/CE, esto es, el por todos conocido (GT29).

¿Cuáles serán las principales características del nuevo Comité?.

1. Gozará de personalidad jurídica propia.

2. Estará compuesto por:

- un presidente como representante principal, designado por la propia Comisión entres sus miembros, más dos vicepresidentes.

La duración del mandato de presidente y vicepresidentes será de 5 años de duración con posibilidad de una única renovación.

Dentro de las funciones asignadas al presidente en el artículo 64 del RGPD, destacamos:

Publicado en Blog

Una semana más seguimos con el análisis de algo tan importante como son los derechos de los interesados recogidos en el RGPD.

Semanas atrás hemos hablado del derecho de transparencia y del derecho de información donde el RGPD introduce importantes novedades.

En el artículo de hoy nos centraremos en el derecho de acceso, un derecho que no es nuevo para nosotros pues ya se regula en nuestro derecho interno.

A pesar de lo antedicho el RGPD introduce cuestiones interesantes, como por ejemplo respecto del acceso a los datos relativos a la salud. En el considerando 63 se indica “Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables (...). Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas.”

Publicado en Blog

La semana pasada hacíamos un análisis detallado de las novedades que respecto del derecho de información introduce el Reglamento General de Protección de Datos. Centrábamos nuestro análisis, asumiendo que los datos personales habían sido obtenidos directamente del interesado.

Hoy nos centramos en el análisis de qué información y cómo se debe proporcionar cuando los datos personales no se hayan obtenido directamente del interesado.

Para ello acudimos al artículo 14 del RGPD, donde además de indicar que cuando los datos personales no se hayan obtenidos del interesado se debe proporcionar la misma información ya analizada en el anterior post de este mismo blog, el mencionado artículo exige al responsable del tratamiento que facilite al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

1. la categoría de los datos de que se trate.

2. la fuente de la que proceden los datos personales, y en su caso, si proceden de fuentes de acceso público.

Por otro lado, el aparatado 3 del artículo 14 indica que el responsable del tratamiento facilitará la información indicada hasta ahora:

Publicado en Blog

Hace un par de semanas comenzábamos la serie de artículos sobre los derechos del interesado hablando del derecho de transparencia, hoy nos centraremos en:

El derecho de información.

El RGPD,al igual que sucede actualmente en nuestro derecho interno, establece diferentes obligaciones respecto de este derecho en función de la fuente de obtención de los datos personales, es decir, si los datos son recogidos directamente del interesado o afectado, o por el contrario si los datos se han obtenido de un tercero. La diferencia con nuestra normativa es que el RGPD amplía la información que el responsable debe facilitar al interesado.

Analicemos cada caso:

1 Lo datos son recogidos directamente del interesado:

El artículo 13 establece que cuando los datos sean así obtenidos, el responsable del tratamiento, en el momento de su recogida, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; obligación que ya se viene exigiendo en nuestro derecho interno.

b) los datos de contacto del delegado de protección de datos, en su caso; nueva y clara obligación para las entidades obligadas a nombrar un DPO (art.37.1 RGPD).

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

La novedad en este caso la encontramos en la segunda parte cuando habla de indicar la base jurídica del tratamiento que deberá ser clara y precisa y de aplicación previsible para sus destinatarios. Además y tal y como reza la norma a lo largo de sus considerandos podrá venir establecida en el Derecho de la Unión o de los Estados miembros, o contener disposiciones específicas para adaptar la aplicación de normas del Reglamento.

Publicado en Blog
Miércoles, 14 Septiembre 2016 15:41

Derechos del interesado. RGPD. Parte I.

Seguimos con nuestra serie de artículos dedicados al análisis del Reglamento General de Protección de Datos.

Empezamos hoy con una serie de post dedicados a los derechos del interesado, es decir ¿cuáles son los derechos que tenemos todos los que somos titulares de datos de carácter personal según el RGPD?: 

La transparencia como derecho.

En este mismo blog hablamos de transparencia pero como principio, pues el RGPD lo define de ambas formas. El derecho de transparencia supone, tal y como se indica en el artículo 12.1 del RGPD, la obligación del responsable de facilitar al interesado toda la información relativa al tratamiento de sus datos personales de forma concisa, transparente, inteligible y de fácil acceso, en particular cuando esta información se dirija a un niño. Tal información será facilitada por escrito, por medios electrónicos e incluso verbalmente si así lo solicita el interesado y éste demuestra su identidad por un medio distinto

.El derecho de transparencia se posiciona como base que sustenta al resto de derechos recogidos en el RGPD. El mismo artículo 12.2 establece que: el responsable deberá facilitar al interesado el ejercicio de sus derechos, incluidos los mecanismos para solicitar y obtener de forma gratuita el acceso a sus datos personales, su rectificación, supresión y oposición.

Asimismo, el artículo 12.3 de RGPD marca un mes como plazo para que el responsable pueda facilitar al interesado la información relativa a sus actuaciones, tratamientos realizados, tras la recepción de una solicitud por parte del mismo. Es decir, la norma europea establece un mismo y único plazo para todos los derechos (artículos 15 al 22 del RGPD).

Publicado en Blog
Página 1 de 3

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal