Si una empresa de seguros quiere investigar un posible fraude de un cliente a través de un detective privado, ¿estaría dicho detective, en el proceso de su investigación, vulnerando la protección de datos del investigado en cuestión?

Es importante conocer que los detectives privados, legalmente habilitados para el tratamiento de datos personales siempre que no se empleen “medios materiales o técnicos que atenten contra el derecho al honor, la intimidad personal y familiar” (art. 5 y 48 LSP), están autorizados por la Ley de Seguridad Privada 5/2014 de 4 de abril, cuando el tratamiento se base en el interés legítimo de un tercero, esto hace que no sea obligatorio obtener el consentimiento de la persona investigada para llevar a cabo el tratamiento de sus datos. Aun así, la normativa de protección de datos que puede afectar a los investigadores privados son los siguientes:

  • Ley de Seguridad Privada, 5/2014, de 4 abril (LSP).

Por tanto ¿Cómo deben cumplir los investigadores privados con la normativa vigente en materia de Protección de Datos de Carácter Personal (RGPD Y LOPDGDD)?

Publicado en Blog

En el Registro de Actividades de Tratamiento (en adelante RAT) no es necesario anotar a los prestadores de servicios como destinatarios. Paso a argumentar nuestra postura:

En el art 30.1.d) del RGPD, sobre el contenido del RAT, se nos dice que cada actividad de tratamiento debe contener:

"las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales"

Cuando habla de categorías de destinatarios, se refiere a que dichos destinatarios, se deben definir de forma general, por categorías, como por ejemplo: "Bancos y Cajas de ahorro", o "administraciones con competencia en la materia".

En ningún caso la ley nos obliga a definir los destinatarios individualmente. No tiene sentido poner todos los bancos del planeta, porque por ejemplo, podemos acabar transmitiendo los datos a cualquier banco del planeta donde el cliente o proveedor tenga cuenta.

Es un esfuerzo ímprobo tanto recopilarlos, como actualizarlos, y no repercute en un aumento de seguridad o una mejor evaluación de los riesgos, porque en el momento que nosotros hacemos la transferencia con nuestro banco, él comunica directamente la transferencia al banco de destino, mediante un proceso al que somos totalmente ajenos.

Además, en el art. 4 del RGPD, el legislador distingue en sus definiciones, entre Encargado del Tratamiento y Destinatario, porque aunque son cosas distintas, muchas personas confunden los conceptos y los utilizan de forma análoga:

Publicado en Blog

 

Para finalizar el estudio y análisis de la guía publicada por la Agencia Española de Protección de Datos (en adelante AEPD) el pasado mes de junio sobre el uso de videocámaras para seguridad y otras finalidades, en el presente artículo vamos a proceder a comentar las dos últimas cuestiones que aborda la AEPD en relación al tratamiento de imágenes a través de las tecnologías emergentes, mediante las denominadas cámaras “on board” y mediante el uso de drones; así como aquellos supuestos donde, a pesar de producirse un tratamiento de imágenes, la normativa de protección de datos no sería de aplicación.

Respecto del tratamiento de imágenes a través de las tecnologías emergentes, se procede a un breve análisis de los tratamientos de las cámaras “On board” y del uso de drones, remitiendo la Guía a una serie de informes jurídicos que permiten ampliar la información de ambos supuestos.

  • Las llamadas cámaras on “board”, son aquellas que se encuentran instaladas en el interior de los vehículos, o bien en el casco del conductor, y cuya finalidad reside en ir grabando el recorrido realizado. Señala la guía una serie de supuestos a los que debemos atender:

    - Cuando éstas se utilizan con finalidades domésticas, se encontrarían excluidas del ámbito de aplicación del Reglamento General de Protección de Datos (en adelante RGPD), salvo que tales grabaciones fueran difundidas en las redes sociales, supuesto donde el Reglamento pasaría a ser de plena aplicación.

    - La Guía hace una especial mención a las grabaciones y captaciones de imágenes en el exterior de los vehículos cuando la finalidad sea la obtención de algún tipo de prueba, a fin de denunciar alguna posible infracción de tráfico. El informe jurídico que se recoge en la Guía da respuesta a esta cuestión, planteando asimismo si tales tratamientos serían o no conformes al RGPD.
    Los sistemas de videovigilancia, al considerarse un tratamiento de datos personales en virtud de los artículos 1.1 y 1.2 del RGPD, han de contar con una fuente de legitimación que ampare dicho tratamiento, previa realización de un juicio de ponderación en aras de determinar qué derecho ha de prevalecer sobre el otro. El interés legítimo, recogido en el art. 6 apartado f) RGPD podría operar siempre y cuando traiga cobertura del derecho de la tutela judicial efectiva.
    Si bien es cierto que la LO 4/1994, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de seguridad en lugares públicos les atribuye competencia exclusiva para la instalación de videocámaras en lugares públicos, podría legitimarse dicho tratamiento de captación de imágenes siempre y cuando se garanticen los principios de limitación y minimización de datos, recogidos en el RGPD. en virtud del art. 5 RGPD .

A pesar de encontrarse dicho tratamiento amparado por el principio de la tutela judicial efectiva, debemos puntualizar que este derecho ha de concretarse de algún modo. El informe de la AEPD de 13 de abril de 2015 expone algunos supuestos :

Publicado en Blog
Martes, 24 Abril 2018 08:18

Guía práctica de análisis de riesgos.

Continuando con el estudio de las guías que, con el fin de ayudar a las entidades públicas y privadas a adaptarse al nuevo Reglamento Europeo de protección de datos (en adelante, RGPD), ha ido publicando la Agencia Española de Protección de Datos (en adelante, AEPD), en el presente artículo abordaremos el estudio de la Guía Práctica de Análisis de Riesgos (en adelante, la Guía).

La plena exigibilidad del RGPD, a partir del próximo 25 de mayo de 2018, hará que responsables y encargados de tratamiento estén obligados a cumplir con todos aquellos requerimientos que esta normativa recoge, entre ellos la necesidad de llevar a cabo un análisis de riesgos. En aras de poder ofrecer las directrices y orientaciones necesarias que permitan cumplir con esta necesidad, publicó, el pasado 28 de febrero la AEPD la guía que ahora analizamos.

Hemos de partir de la base de que todo tratamiento de datos de carácter personal nace expuesto a determinados riesgos con impacto en la protección de datos. Así, el análisis de riesgos es una herramienta que permite realizar una valoración objetiva de los mismos, y las posibles medidas de seguridad y control que podemos aplicar para mitigar los riesgos resultantes y, en consecuencia, garantizar los derechos y libertades de los interesados.

Tal y como refleja la Guía, la gestión de los riesgos es un procedimiento implementado desde hace tiempo y con eficacia demostrada a la hora de identificar y mitigar los daños o riesgos a los que las entidades están expuestas. Sin embargo, el RGPD otorga un nuevo enfoque a esta gestión, centrando la atención en los riesgos que puede suponer una actividad de tratamiento y hasta qué punto la misma, por sus características y el tipo de datos a los que se refiere, puede tener un impacto negativo en los derechos y libertades de los interesados.

La Guía divide este proceso de gestión de riesgos en tres etapas:

Publicado en Blog

Como ya venimos anunciando, el Reglamento General de Protección de datos (RGPD), será plenamente aplicable a partir del próximo 25 de mayo. A su vez, en nuestro país se encuentra en tramitación una nueva Ley Orgánica de Protección de Datos, que va a completar el mencionado RGPD. Al respecto, la Agencia Española de Protección de Datos (AEPD), como ya analizamos en una de nuestras publicaciones (ver aquí) ya publicó en noviembre un documento con las principales medidas que las Administraciones Locales (AALL) debían ir poniendo en marcha.

La AEPD, consciente de la importancia del cambio normativo, ha elaborado también una Guía de Protección de datos y Administración local (en adelante, la Guía), que ha publicado recientemente, y en la cual se analizan los aspectos más relevantes que supone el RGPD en las AALL, y que pasamos a analizar:

1. EL RESPONSABLE DEL TRATAMIENTO

Serán responsables del tratamiento los municipios, las diputaciones provinciales y las islas.
A su vez, son responsables, en la medida que traten datos de carácter personal, las entidades de ámbito territorial inferior al municipal, las comarcas, las áreas metropolitanas y las mancomunidades.
En caso de que los Ayuntamientos cuenten con Administración Institucional, será responsable cada uno de los entes que formen parte de la misma.

2. LEGITIMACIÓN

El RGPD prevé un sistema de legitimación cuyas bases jurídicas no tienen relación entre sí. Son relevantes para las AALL las siguientes:

- El Interés público o poderes públicos y cumplimiento de obligación legal

En este punto, la Guía expone dos ejemplos clarificadores: por un lado, el tratamiento de datos del Padrón Municipal está legitimado por el cumplimiento de la Ley de Bases de Régimen Local y, asimismo el tratamiento de datos de los impuestos municipales se basa en el cumplimiento del Texto Refundido de la Ley reguladora de las Haciendas Locales.
Por otra parte, el tratamiento se puede fundamentar en satisfacer los intereses legítimos perseguidos por un tercero al que el responsable le comunica los datos si ese tercero no tiene la condición de autoridad pública.

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal