Una semana más seguimos con nuestro análisis de las disposiciones relativas a situaciones específicas del tratamiento recogidas en el capítulo IX del Reglamento General de Protección de Datos (RGPD), en concreto respecto a los datos personales en el ámbito laboral.

Como ya indicamos en nuestro anterior post, el artículo 88 indica que los estados miembros pueden establecer normas más concretas en el ámbito laboral, que deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados, así como sus intereses legítimos y derechos fundamentales, señalando que hay que prestar especial atención a:

1. la transparencia del tratamiento.
2. la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
3. los sistemas de supervisión en el lugar de trabajo.

Al análisis de la transparencia del tratamiento le dedicamos nuestro último artículo, por lo que nos centraremos hoy en el punto dos:

TRANSFERENCIA DE DATOS PERSONALES DENTRO DE UN GRUPO EMPRESARIAL O UNA UNIÓN DE EMPRESAS DEDICADAS A UNA ACTIVIDAD ECONÓMICA CONJUNTA

Podemos decir, en primer lugar, que el actual Proyecto de Ley Orgánica de Protección de Datos (PLOPD) no hace referencia, o al menos de forma expresa a este tipo de transferencias dentro de un grupo empresarial. Sin embargo, si sería posible aplicar lo establecido en su artículo 21 en relación con la unión de empresas que se dedican a una misma actividad, donde sería presumible entender la licitud de los tratamientos de datos de los trabajadores que se puedan derivar como consecuencia de alguna operación de restructuración empresarial o de aportación o transmisión de negocio o de rama de actividad.

Si bien es cierto que en la actualidad todo parecer indicar que no existe ninguna norma concreta que contemple expresamente esta cuestión, la Agencia Española de Protección de Datos (AEPD)en su labor doctrinal ha emitido diferentes informes, como por ejemplo el Informe jurídico 0494/2008, cuyo criterio uniforme es el aplicable en la actualidad, y que consiste en que la existencia de un grupo de empresas no afecta al hecho de que aquellas que integran el mismo sean distintas personas jurídicas, de modo que la transferencia de datos personales de los trabajadores se produce entre dos personas jurídicas distintas e independientes, dejando constancia eso sí, de que no existe previsión legal que flexibilice los requisitos para la legitimidad de esta cesión, es decir, ésta sólo podrá realizarse atendiendo a las limitaciones y garantías que las leyes han establecido con carácter general.

Publicado en Blog

Continuando con el recorrido que venimos realizando a lo largo del RGPD, vamos a referirnos en este nuevo post a otra situación específica recogida en el Capítulo IX: el tratamiento de datos personales en el ámbito laboral recogido en el artículo 88:

1. Los Estados miembros pueden a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral.
Estas normas, deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y derechos fundamentales, prestando especial atención a:

• la transparencia del tratamiento,
• la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta y,
• los sistemas de supervisión en el lugar de trabajo.

2. Cada Estado miembro debe notificar a la Comisión las disposiciones legales que adopte a más tardar el 25 de mayo de 2018, y, sin dilación, cualquier modificación posterior de las mismas.

A su vez, el Considerando 155 hace referencia a esta cuestión y, añade que: “pueden establecer normas en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación y la ejecución del contrato laboral.”

Como podemos observar, la norma europea otorga especial protección al tratamiento de estos datos.

A nivel estatal, nuestra Constitución Española, reconoce el derecho a la libertad sindical, y la ley que lo desarrolla (Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical), establece una serie de derechos, competencias y funciones para los representantes de los trabajadores que requiere del tratamiento de datos personales.

Además, disponemos de diferentes recursos en materia de protección de datos para abordar lo relativo a este ámbito, como por ejemplo la Guía sobre protección de datos en las relaciones laborales publicada por la AEPD en el año 2009 con el objetivo de examinar aquellos aspectos acerca de la protección de datos que, o bien resultan fundamentales desde el punto de vista de la propia aplicación y cumplimiento normativo, o bien plantean dificultades de interpretación o aplicación práctica.

Si bien el contenido de esta Guía hace referencia a la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y al Real Decreto 1720/2007, de 21 de diciembre (RDLOPD), sigue siendo una guía útil, y por ello nosotros vamos a utilizarla en este análisis para aquellas cuestiones que no se han visto modificadas con la llegada del RGPD y con el reciente Proyecto de LOPD (en adelante, PLOPD), adaptando su contenido a la normativa más actual.

Sin duda, la gestión de personal en el área de los recursos humanos, la prevención de los riesgos laborales, los controles empresariales, y las relaciones con los sindicatos, que señala la Guía como puntos clave para su análisis, son cuestiones en las que tiene especial relevancia la protección de datos de carácter personal a la que el artículo 88 se refiere.

Publicado en Blog

Como ya hemos dicho en artículos anteriores de este blog, estamos llegando al final de nuestro análisis del Reglamento General de Protección de Datos (RGPD) y, en concreto, nos encontramos abordando el Capítulo IX, relativo a las disposiciones específicas de tratamiento.

En este artículo, vamos a tratar lo relativo al tratamiento del número nacional de identificación (DNI), que recoge el artículo 87 del RGPD y que viene a señalar que:

"Los Estados miembros podrán determinar adicionalmente las condiciones específicas para el tratamiento de un número nacional de identificación o cualquier otro medio de identificación de carácter general. En ese caso, el número nacional de identificación o cualquier otro medio de identificación de carácter general se utilizarán únicamente con las garantías adecuadas para los derechos y las libertades del interesado con arreglo al presente Reglamento.” En relación a esta cuestión, no añade más el propio RGPD.

En lo que respecta a la regulación de esta materia en nuestro país, si bien el reciente Proyecto de LOPD no regula individualmente el tratamiento del DNI en cuanto a dato de carácter personal, sí que es cierto que el artículo 1.2 recoge en su generalidad que “El derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la CE, se ejercerá con arreglo a lo establecido en el RGPD y en esta ley orgánica.” Y, a su vez el artículo 2 señala que “La presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.  

Publicado en Blog

El pasado 27 de noviembre, la Agencia Española de Protección de Datos ha publicado un documento que recoge las principales medidas que las Administraciones Locales (AALL) deben poner en marcha antes del 25 de mayo de 2018, fecha en que será aplicable el Reglamento General de Protección de Datos (RGPD).

Como las AALL actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades, se van a ver afectadas por las previsiones del nuevo RGPD, surgiendo una serie de necesidades, tales como:

Identificar las finalidades y la base jurídica de los tratamientos que llevan a cabo.

En la actividad de las AALL será muy habitual que la base jurídica sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos. Este tratamiento debe estar justificado en una norma con rango de ley formal.

En los casos en que se traten datos de especial protección (sobre salud, ideología, religión, etc.), sólo podrá llevarse a cabo el tratamiento para satisfacer un interés público esencial.

En los casos en que la base jurídica sea el consentimiento, éste deberá ser informado, libre, específico y otorgado por los interesados mediante manifestación de consentimiento o una clara acción afirmativa.

Los consentimientos “tácitos” dejan de ser válidos, incluso para tratamientos ya iniciados.

Adecuar la información que se ofrece a los interesados cuando se recogen sus datos.

Hay que proporcionar una información más amplia, concisa, transparente, inteligible y de fácil acceso, y además el RGPD introduce nuevos derechos, de los cuales el que más puede ejercerse en el ámbito de las AALL es el de limitación del tratamiento, que supone que debe suspenderse cuando los interesados soliciten la rectificación o supresión de sus datos hasta que el responsable decida sobre la solicitud.

Hay que establecer procedimientos para responder a los ejercicios de derechos en los plazos previstos.

Publicado en Blog

Tal y como os comentamos la semana pasada, vamos a dedicar varios artículos de nuestro blog al análisis del Capítulo IX del Reglamento General de Protección de Datos (RGPD) relativo a situaciones específicas de tratamiento, aprovecharemos nuestro análisis para, en caso de que existan, incluir también las consideraciones que al respecto el ya Proyecto de Ley Orgánica de Protección de Datos (Proyecto LOPD) en España pueda recoger.

El artículo 89 del RGPD regula el “tratamiento y acceso del público a documentos oficiales” donde indica que “los datos personales de documentos oficiales en posesión de alguna autoridad pública u organismo público o entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del presente Reglamento.

Por su parte en el considerando 154 del mismo RGPD, añade a este respecto que, la Directiva 2003/98/CE del Parlamento Europeo y del Consejo relativa a la reutilización de la información del sector público no altera ni afecta en modo alguno al nivel de protección de las personas físicas con respecto al tratamiento de datos personales (…) en particular, no altera las obligaciones ni los derechos establecidos en el presente Reglamento.

Publicado en Blog

Estamos llegando al final de nuestro análisis <paso a paso del Reglamento General de Protección de Datos (RGPD)>

En el artículo de hoy abordaremos el análisis de aquellas situaciones específicas de tratamiento que el propio RGPD recoge en sus artículos 85 a 91:

1. Tratamiento y libertad de expresión y de información.

El RGPD recoge expresamente la necesidad de que los Estados miembros deberán conciliar por ley el derecho a la protección de datos personales con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria.
Añade en su artículo 85.2 que para el tratamiento realizado con fines mencionados, los Estados Miembros deben establecer exenciones o excepciones respeto, entre otros, de los dispuesto en diferentes capítulos del Reglamento donde se regulan los principios, derechos del interesado, responsable y encargado de tratamiento, transferencia de datos personales etcétera, siempre que sean necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.

Asimismo, el RGPD establece la obligación a los Estados miembros de notificar a la futura Comisión las disposiciones legislativas que de conformidad con lo antedicho se adopten junto con las posteriores modificaciones

Publicado en Blog

Una semana más, continuamos analizando la regulación del régimen sancionador en el Reglamento Europeo de Protección de Datos (RGPD) y el Anteproyecto de Ley Orgánica de Protección de Datos (Anteproyecto). En esta ocasión, nos centraremos en la figura del apercibimiento y la aplicación del régimen sancionador respecto de los organismos públicos.

Comenzando por la figura del apercibimiento, como es sabido, no nos encontramos ante una figura novedosa, puesto que ya aparece contemplada en la actual Ley Orgánica de Protección de Datos (LOPD) en su artículo 45.6, en el que se establece que el apercibimiento sólo podrá tener lugar cuando las infracciones cometidas sean de carácter leve y grave, nunca muy grave, y siempre que el infractor no haya sido sancionado o apercibido con carácter previo.

Por su parte el RGPD mantiene esta importante figura indicando para ello en su considerando 148 que, si la infracción cometida fuese leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, las autoridades de control podrán imponer un apercibimiento en lugar de sanción mediante multa.

Además, el artículo 58 en sus letras a y b dice “Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento; b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento”.

Publicado en Blog

Tal y como adelantábamos en nuestro anterior artículo, hoy analizaremos las sanciones a imponer, a responsables y encargados de tratamiento, por la comisión de infracciones tipificadas y la regulación que de las mismas hace el Reglamento Europeo de Protección de Datos (en adelante RGPD), y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, Anteproyecto) con respecto a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)

Las sanciones deberán ser individuales, efectivas, proporcionadas y disuasorias, así lo establece el RGPD en su artículo 83.1. Será la Agencia Española de Protección de Datos (en adelante AEPD) a quién corresponderá su imposición (art.48 Anteproyecto en relación con art.58 RGPD), teniendo en cuenta los criterios de graduación (atenuantes y agravantes) que el RGPD recoge en su artículo 83.2:

a. La naturaleza, la gravedad y la duración de la infracción cometida.
b. La intencionalidad o negligencia a la hora de cometer la infracción.
c. Las medidas tomadas por el responsable para paliar los efectos de la infracción.
d. El grado de responsabilidad del responsable o encargado del tratamiento, habida cuenta de las medidas técnicas y organizativas aplicadas a los tratamientos.
e. Las infracciones anteriormente cometidas por el responsable o encargado del tratamiento.
f. El grado de cooperación con la autoridad de control para poner remedio a la infracción así como para mitigar sus efectos.
g. Las categorías de datos afectados con la infracción.
h. La forma en que la autoridad de control tuvo conocimiento de la infracción.
i. El cumplimiento de las medidas establecidas en el artículo 58, apartado 2, del RGPD siempre que estas hayan sido previamente ordenadas contra el responsable o encargado de que se trate en relación con el asunto.
j. La adhesión a Códigos de conducta o mecanismos de certificación aprobados por el RGPD.
k. Demás factores atenuantes o agravantes aplicables a las circunstancias del caso concreto.

Haciendo uso de lo indicado en este último apartado k referido, el legislador español ha incluido otros factores que podrán tenerse en cuenta para graduar las sanciones (art.76.2), esto es:

Publicado en Blog

Siguiendo con nuestro estudio y análisis del Reglamento Europeo de Protección de Datos (en adelante RGPD), en esta ocasión, nos centraremos en el desarrollo del Régimen Sancionador.

¿Cómo se encuentra regulado en el RGPD?, ¿Qué novedades introduce el RGPD respecto de la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)? Y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, ¿qué indica al respecto?

En el Capítulo VIII del RGPD, que reza “Recursos, responsabilidades y sanciones” se introducen las principales novedades respecto del régimen sancionador, representado los derechos y deberes de las partes y estableciendo condiciones generales y límites a la imposición de multas de carácter administrativo.

Comenzando por la tipificación de las infracciones, en el RGPD no encontramos un artículo como el 44 de nuestra actual LOPD, con una clasificación clara de infracciones en leves, graves y muy graves. El RGPD, en este sentido, podemos decir que es bastante genérico recogiendo en su considerando 148 que con el fin de reforzar la aplicación de las normas del RGPD, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del RGPD, o en sustitución de estas medidas.

Sin embargo, en España, el Anteproyecto mantiene la clasificación que conocemos, a lo largo de sus artículos 72 a 74, es decir, efectúa una relación detallada de las conductas recogidas en el RGPD donde su incumplimiento será considerado como :

1. Infracciones muy graves, de entre las 17 conductas tipificadas como muy graves por el legislador español, destacamos:

Publicado en Blog
Página 11 de 17

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal