Miércoles, 08 Marzo 2017 16:34

La consulta previa en el RGPD

El Reglamento General Europeo habilita la posibilidad de que los responsables consultemos a la autoridad de control competente antes de proceder a un tratamiento de datos, si como resultado de la realización de una evaluación de impacto, se muestra que el tratamiento entrañará un alto riesgo si no se toman las medidas necesarias para mitigar dicho riesgo.

El artículo 36.2 del RGPD establece que cuando la autoridad de control considere que el tratamiento previsto podría infringir el RGPD debido, principalmente, a que el responsable no ha identificado o mitigado suficientemente el riesgo. La autoridad de control deberá, en un plazo máximo de ocho semanas desde que se formula la consulta, asesorar por escrito al responsable y al encargado, si procede, en el caso en concreto.

Asimismo, la norma europea lista la información que se deberá facilitar a la autoridad de control para que resuelva convenientemente:

Publicado en Blog

Siguiendo con nuestro análisis de esta nueva obligación de RGPD, como ya comentábamos la semana pasada, el RGPD nos proporciona una lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo. La AEPD por su parte, deberá elaborar listas con los tipos de operaciones de tratamiento que requieran una evaluación de impacto.

Por otro lado, el RGPD habilita la posibilidad para que las autoridades de control puedan establecer y publicar listas con los tipos de tratamiento que no requieren de una evaluación de impacto.

Sin embargo, como bien indica nuestra Agencia, la existencia de estos listados no excluye el que los responsables deban realizar el correspondiente análisis de riesgo, que vimos cuando hablamos de las medidas de seguridad, y en caso de que concluyan que existe un alto riesgo para los derechos y libertades de los interesados, lleven a cabo una evaluación de impacto, aun cuando el tratamiento en cuestión no esté incluido en ninguna de las dos listas mencionadas.

El RGPD establece un contenido mínimo que deberán incluir las evaluaciones de impacto (art.35.7):

Publicado en Blog

La obligación de realizar una evaluación de impacto relativa a la protección de datos (EIPD) es, sin duda, una de las novedades destacadas en el Reglamento General de Protección de Datos.

En diferentes considerandos y de forma específica en el artículo 35 del RGPD encontramos su regulación.

La obligación nace en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas. El responsable del tratamiento, con carácter previo a la puesta en marcha de aquellos tratamientos, debe realizar una evaluación de impacto que analice, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

El resultado de la evaluación deberá tenerse en cuenta para que el responsable aplique las medidas adecuadas con el fin de demostrar que el tratamiento de los datos personales es conforme con el RGPD.

Será posible realizar una única EIPD para varios tratamientos similares que entrañen altos riesgos también similares.

Publicado en Blog

Esta misma semana os hablábamos de una de las novedades del RGPD, la notificación de violaciones de seguridad a las autoridades de control competentes, por parte tanto de los responsables del tratamiento como de los encargados.

La norma europea no se limita a exigir lo anteriormente mencionado, sino que en su artículo 34 establece la obligación del responsable del tratamiento de comunicar las violaciones de seguridad de los datos a los propios afectados/ interesados, cuando la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas.

La comunicación dirigida al interesado deberá realizarse mediante un lenguaje claro y sencillo, y deberá contener como mínimo:

Publicado en Blog

Una novedad del Reglamento General de Protección de Datos es la obligación de que todo responsable de tratamiento debe notificar las violaciones de seguridad tanto a la autoridad de control competente (art.33 RGPD) como a los interesados/afectados (Art.34 RGPD).

Actualmente, la Directiva 2002/58/CE establece la obligación de notificar las quiebras de seguridad sólo respecto de los proveedores de servicios de comunicaciones electrónicas disponibles para el público, obligación incorporada al Derecho español por la reforma del artículo 34 de la Ley General de Telecomunicaciones. Para ello la AEPD tiene establecido un sistema de notificación de quiebras de seguridad a través de su Sede Electrónica.

La norma europea define violación de la seguridad de los datos personales, como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

La obligación recogida en el RGPD consiste en que el responsable del tratamiento, ante cualquier violación de seguridad, deberá notificarla ante la autoridad competente de su país. Una vez más el RGPD recurre al término sin dilación indebida para indicar el plazo de notificación, estableciendo un máximo de 72 horas desde que se tuvo constancia de la violación. Si se realiza la notificación pasadas esas 72 horas, la misma deberá ir acompañada de la justificación del retraso.

Publicado en Blog
Martes, 31 Enero 2017 12:07

Medidas de seguridad en el RGPD

A pesar de que todavía nos pueda parecer que para mayo 2018 falta “mucho” tiempo, (fecha de aplicación RGPD), debemos empezar a pensar ya en “modo” Reglamento, ya que consideramos que es algo imprescindible si queremos que la adaptación al mismo, se haga de forma gradual y efectiva.

En el artículo de hoy os hablaremos del tipo de medidas de seguridad que a tenor del RGPD se deben implementar.

En el Título VIII del actual RDLOPD 1720/2007 se determinan con detalle y de forma exhaustiva las medidas de seguridad que deben aplicarse según el tipo de datos objeto de tratamiento.

Sin embargo, en el RGPD se establece que tanto responsables como encargados de tratamiento deberán de establecer las medidas técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad. Para ello dice el RGPD (art.32.2) que se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos. Todo ello se detectará en el análisis previo que se debe realizar.

Como se detalla en la Guía del RGPD para responsables de tratamiento publicada por la AEPD hace escasos días, todos los responsables de tratamiento deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas de seguridad deben aplicar y cómo deben hacerlo. Este análisis variará en función de:

Publicado en Blog

Ya habéis podido observar, a través de los diferentes artículos que semanalmente vamos publicando con el análisis pormenorizado del Reglamento General de Protección de Datos, que la norma europea está llena de novedades bien en forma de principios, derechos u obligaciones que debemos empezar ya a tomar conciencia de las mismas, para que nuestra adaptación al RGPD se realice de forma adecuada.

En el presente artículo hablaremos de los <corresponsables> nueva figura que encontramos en el artículo 26 del RGPD.

A pesar de que el RGPD no define a los corresponsables como tal en su artículo 4, el mencionado artículo 26 nos da las pautas para entender cuándo estaremos ante un corresponsable, es decir: “cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento”. Realmente lo que hace el RGPD es dar un nombre a algo que ya veníamos aplicando.

Pero además la norma europea nos indica qué obligaciones deberán cumplir los corresponsables, esto es, deberán:

Publicado en Blog

La semana pasada hacíamos un análisis detallado de las novedades que respecto del derecho de información introduce el Reglamento General de Protección de Datos. Centrábamos nuestro análisis, asumiendo que los datos personales habían sido obtenidos directamente del interesado.

Hoy nos centramos en el análisis de qué información y cómo se debe proporcionar cuando los datos personales no se hayan obtenido directamente del interesado.

Para ello acudimos al artículo 14 del RGPD, donde además de indicar que cuando los datos personales no se hayan obtenidos del interesado se debe proporcionar la misma información ya analizada en el anterior post de este mismo blog, el mencionado artículo exige al responsable del tratamiento que facilite al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

1. la categoría de los datos de que se trate.

2. la fuente de la que proceden los datos personales, y en su caso, si proceden de fuentes de acceso público.

Por otro lado, el aparatado 3 del artículo 14 indica que el responsable del tratamiento facilitará la información indicada hasta ahora:

Publicado en Blog

Hace un par de semanas comenzábamos la serie de artículos sobre los derechos del interesado hablando del derecho de transparencia, hoy nos centraremos en:

El derecho de información.

El RGPD,al igual que sucede actualmente en nuestro derecho interno, establece diferentes obligaciones respecto de este derecho en función de la fuente de obtención de los datos personales, es decir, si los datos son recogidos directamente del interesado o afectado, o por el contrario si los datos se han obtenido de un tercero. La diferencia con nuestra normativa es que el RGPD amplía la información que el responsable debe facilitar al interesado.

Analicemos cada caso:

1 Lo datos son recogidos directamente del interesado:

El artículo 13 establece que cuando los datos sean así obtenidos, el responsable del tratamiento, en el momento de su recogida, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; obligación que ya se viene exigiendo en nuestro derecho interno.

b) los datos de contacto del delegado de protección de datos, en su caso; nueva y clara obligación para las entidades obligadas a nombrar un DPO (art.37.1 RGPD).

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

La novedad en este caso la encontramos en la segunda parte cuando habla de indicar la base jurídica del tratamiento que deberá ser clara y precisa y de aplicación previsible para sus destinatarios. Además y tal y como reza la norma a lo largo de sus considerandos podrá venir establecida en el Derecho de la Unión o de los Estados miembros, o contener disposiciones específicas para adaptar la aplicación de normas del Reglamento.

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal