Nuestro abogado asociado senior Francisco González-Calero ha participado en la elaboración del Código de buenas prácticas en protección de datos para proyectos de Big Data elaborado conjuntamente por la Agencia Española de Protección de Datos y la Asociación española para el fomento de la seguridad de la información, ISMS Forum Spain. Entre los participantes en su elaboración cabe destacar a Abertis Autopistas, CaixaBank, FCC, Huawei, Mapfre, Orange, Telefónica y UPM.

El Código, que puede ser consultado aqui, está orientado a asesorar a todas aquellas organizaciones que estén pensando en llevar a cabo un proyecto de Big Data y tomando como referencia el nuevo Reglamento Europeo de Protección de Datos.

Publicado en Blog

El pasado mes de marzo el Tribunal de Justicia de la Unión Europea (en adelante el TJUE) resolvía una cuestión prejudicial relativa a la puesta a disposición de datos de abonados de empresas de telecomunicaciones (como Tele 2, Vodafone partes en el litigio), a otras entidades de prestación de servicios de información sobre números de abonados y el suministro de guías de abonados accesibles al público, sin importar el Estado Miembro en el que radiquen.

Es decir se le pedía al TJUE que interpretará el artículo 25, apartado 2, de la conocida Directiva 2002/22/CE Servicio Universal, titulado “Servicios de asistencia mediante operador e información sobre números de abonados”

Se plantea, por tanto, la siguiente cuestión de fondo:

¿Pueden ceder las compañías teleoperadoras radicadas en un Estado Miembro de la Unión Europea datos de carácter personal de sus clientes a compañías de servicios de información que se encuentren en otros países miembros?

Publicado en Blog

Con el artículo de hoy ponemos fin a la serie de artículos dedicada a la figura del Data Protection Officer, para hablar de las funciones que el RGPD le atribuye en sus arts. 38 y 39.

¿Cuáles son las funciones que debe desempeñar el DPD en las organizaciones de responsables o encargados del tratamiento?

Como ya hemos comentado anteriormente en este mismo blog, el art. 38 RGPD establece unas directrices acerca de cuál ha de ser la posición del DPD, pero es en el art. 39 donde se recoge el catálogo de funciones que el DPD debe desempeñar. Dichas funciones son las siguientes:

a. Informar y asesorar al responsable o al encargado de tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y otra normativa aplicable en materia de protección de datos.

b. Supervisar el cumplimiento de lo dispuesto en el RGPD, y demás disposiciones aplicables, así como de las políticas del responsable o del encargado, incluida la asignación de responsabilidades, la concienciación y formación del personal y las auditorías correspondientes.

c. Ofrecer el asesoramiento que se le solicite acerca de la Evaluación de Impacto relativa a la protección de datos y supervisar su aplicación. El DPD puede desempeñar un papel muy importante a la hora de asesorar en relación a la EIPD. El GT29 recomiendo que el responsable o encargado de tratamiento soliciten el asesoramiento sobre las siguientes cuestiones:

Publicado en Blog

Hace unos días, algunos medios de comunicación publicaban una noticia sobre una resolución sancionadora de la Agencia Española de Protección de Datos (en adelante la AEPD) impuesta a una entidad propietaria, según los titulares de la prensa, de una de las webs más activas de piratería digital (R/00267/2017).

A pesar de que titulares así, pueden hacer que parezca que la AEPD ha sancionado por piratería, en realidad lo ha hecho por infracción del artículo 22.2, relativo a los derechos de los usuarios, de la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI), como así aclaran, por otro lado, los diferentes medios de prensa en el cuerpo de sus artículos.

Este tipo de resoluciones sancionadoras hacen que no nos olvidemos de lo importante que es la obligación,de informar para obtener el consentimiento inequívoco de los interesados para el almacenamiento de sus datos de carácter personal a través, en este caso, de las famosas cookies.

Recordemos que las cookies son pequeños ficheros que se descargan en el equipo terminal de un usuario con la finalidad de almacenar, recuperar y/o actualizar datos.

Publicado en Blog

Una semana más, continuamos analizando el Reglamento General de Protección de Datos (RGPD) para hablar de la posición del Data Protection Officer (DPO)/ Delegado de Proteción de Datos(DPD) en las organizaciones de responsables y encargados de tratamiento.

El art. 38 del RGPD estipula que el responsable y el encargado del tratamiento deberán garantizar que el DPD “se involucre de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos”.

Es fundamental que el DPD participe de forma temprana en todas las cuestiones relacionadas con la protección de datos. En este sentido, el GT29 considera que consultar y mantener informado al DPD facilitará el cumplimiento efectivo del Reglamento, asegurando al mismo tiempo un enfoque de privacidad desde el diseño.

Además, el Grupo de Trabajo del artículo 29 (GT29)  recomienda que las organizaciones garanticen, entre otras cuestiones las siguientes:

Publicado en Blog

Siguiendo con nuestro análisis del Data Protection Officer, hoy nos centraremos en las cualidades profesionales que debe tener y cuál ha de ser su relación con el responsable y encargado de tratamiento.

¿Qué titulación debe tener el DPD/DPO?

Realmente el RGPD no exige al DPO ninguna titulación específica, pero si deja claro que para designarlo habrá que atender a su capacitación técnica y experiencia profesional, y en particular a sus conocimientos especializados en derecho, y la práctica en materia de protección de datos. Además, será imprescindible que tenga la capacidad de desempeñar las funciones a las que hace referencia el art. 39 RGPD, que analizaremos en nuestro próximo artículo.

Según ha manifestado la AEPD en su Guía RGPD para Responsables de Tratamiento, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de la actividad de la organización en la que el DPD desempeña su tarea.

Como bien ha expuesto el GT29, el nivel de conocimiento debe ser acorde con el carácter “sensible, la complejidad y la cantidad de datos que procesa una organización”. Por ejemplo, existe una gran diferencia dependiendo de si la organización transfiere sistemáticamente datos personales fuera de la Unión Europea o si dichas transferencias son ocasionales.

Si bien la AEPD ya ha manifestado su negativa al establecimiento de un sistema de oposición para acceder a la profesión, en la ya citada Guía para Responsables de Tratamiento, informa de que se ha optado por promover un sistema de certificación de profesionales de protección de datos, como herramienta que sirva para evaluar que los candidatos a ocupar el puesto de DPD reúnen las cualificaciones profesionales y los conocimientos requeridos. No obstante, es importante saber que esta certificación no será un requisito indispensable para el acceso a la profesión, ya que responsables y encargados pueden tomar en consideración otras cuestiones o medios para demostrar la competencia de los DPD.

¿Debe el DPD mantener una relación laboral con responsables o encargados?

Publicado en Blog

Como ya hemos comentado anteriormente en este blog, la norma europea está llena de novedades. Es el turno ahora del Delegado de Protección de Datos, DPD o DPO en sus siglas en inglés (Data Protection Officer), que es una de las figuras destacadas en el RGPD.

A pesar de que el RGPD no da definición de DPD, podemos definirlo como aquella persona, física o jurídica, designada por el responsable o el encargado del tratamiento, debidamente cualificada para asesorar, informar y supervisar de manera independiente, acerca de la aplicación interna y el cumplimiento de las normas en materia de protección de datos.

Lo que sí que hace el Reglamento en los artículos 37 a 39, es indicarnos cómo y cuándo ha de ser designado, cuál va a ser su posición, y cuáles son sus funciones.

¿Cuándo debe designarse un DPD?

Publicado en Blog
Miércoles, 08 Marzo 2017 16:34

La consulta previa en el RGPD

El Reglamento General Europeo habilita la posibilidad de que los responsables consultemos a la autoridad de control competente antes de proceder a un tratamiento de datos, si como resultado de la realización de una evaluación de impacto, se muestra que el tratamiento entrañará un alto riesgo si no se toman las medidas necesarias para mitigar dicho riesgo.

El artículo 36.2 del RGPD establece que cuando la autoridad de control considere que el tratamiento previsto podría infringir el RGPD debido, principalmente, a que el responsable no ha identificado o mitigado suficientemente el riesgo. La autoridad de control deberá, en un plazo máximo de ocho semanas desde que se formula la consulta, asesorar por escrito al responsable y al encargado, si procede, en el caso en concreto.

Asimismo, la norma europea lista la información que se deberá facilitar a la autoridad de control para que resuelva convenientemente:

Publicado en Blog

Siguiendo con nuestro análisis de esta nueva obligación de RGPD, como ya comentábamos la semana pasada, el RGPD nos proporciona una lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo. La AEPD por su parte, deberá elaborar listas con los tipos de operaciones de tratamiento que requieran una evaluación de impacto.

Por otro lado, el RGPD habilita la posibilidad para que las autoridades de control puedan establecer y publicar listas con los tipos de tratamiento que no requieren de una evaluación de impacto.

Sin embargo, como bien indica nuestra Agencia, la existencia de estos listados no excluye el que los responsables deban realizar el correspondiente análisis de riesgo, que vimos cuando hablamos de las medidas de seguridad, y en caso de que concluyan que existe un alto riesgo para los derechos y libertades de los interesados, lleven a cabo una evaluación de impacto, aun cuando el tratamiento en cuestión no esté incluido en ninguna de las dos listas mencionadas.

El RGPD establece un contenido mínimo que deberán incluir las evaluaciones de impacto (art.35.7):

Publicado en Blog

La obligación de realizar una evaluación de impacto relativa a la protección de datos (EIPD) es, sin duda, una de las novedades destacadas en el Reglamento General de Protección de Datos.

En diferentes considerandos y de forma específica en el artículo 35 del RGPD encontramos su regulación.

La obligación nace en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas. El responsable del tratamiento, con carácter previo a la puesta en marcha de aquellos tratamientos, debe realizar una evaluación de impacto que analice, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

El resultado de la evaluación deberá tenerse en cuenta para que el responsable aplique las medidas adecuadas con el fin de demostrar que el tratamiento de los datos personales es conforme con el RGPD.

Será posible realizar una única EIPD para varios tratamientos similares que entrañen altos riesgos también similares.

Publicado en Blog
Página 1 de 5

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal