Si la semana pasada nos centrábamos de la primera parte del art. 4.11 del RGPD, hoy nos centramos en la segunda parte del mismo donde se introduce el verdadero cambio:

1. Consentimiento como manifestación libre, específica, informada e inequívoca “(...) ya sea mediante una declaración o acción afirmativa (...)”.

A este respecto nos vemos en la necesidad de realizar una comparativa con nuestra normativa actual, recordemos plenamente aplicable. En nuestro derecho interno se admiten, principalmente, dos formas de obtener el consentimiento:

1. Expreso: manifestado mediante un acto positivo y declarativo de la voluntad.

El cual se ajusta perfectamente a lo establecido en el RGPD.

2. Tácito: cuando pudiendo manifestar un acto de voluntad contrario, éste no se lleva a cabo, es decir, cuando el silencio se presume o se presupone como un acto de aquiescencia o aceptación.

En cambio el RGPD excluye el uso de este último consentimiento, ya que como reza el artículo sólo será posible recabar el consentimiento mediante una clara acción afirmativa del afectado.

Por tanto y atendiendo a esta nueva situación nos podemos preguntar:

¿Seguirán siendo válidos los consentimientos tácitos obtenidos con anterioridad a la fecha de aplicación del Reglamento?

Publicado en Blog
Jueves, 25 Agosto 2016 09:46

El consentimiento.RGPD.Parte I

Como viene siendo habitual en nuestro blog, seguimos analizando y escudriñando el Reglamento General de Protección de Datos.

En las próximas semanas hablaremos del consentimiento, uno de los pilares fundamentales de toda la normativa de protección de datos, motivo por el cual le dedicaremos varios posts.

El RGPD define el consentimiento del interesado en su art. 4.11 como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Interpretemos el artículo por partes:

1. “(...) manifestación de voluntad libre (...)”: tal y como nos aclara el propio RGPD en su considerando 32: el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. Por lo tanto estaremos cumpliendo el Reglamento mediante la obtención de una declaración por escrito. Sería válida la obtenida por medios electrónicos como por ejemplo, marcar una casilla de un sitio web de internet o escoger parámetros técnicos para la utilización de servicios de la sociedad de la información.

Publicado en Blog

Durante las últimas semanas hemos hablado y analizado los diferentes principios recogidos en el RGPD, esto es: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación e integridad y confidencialidad.

Terminamos hoy la serie artículos al respecto, con el que podría considerarse como el principio esencia del RGPD, esto es el principio de Accountability.

Derivado de este principio, los responsables y encargados del tratamiento, recordemos que el RGPD les considera sujetos obligados per se, no sólo están obligados de dar cumplimiento a los principios de tratamiento antes mencionados, sino que deben ser capaz de demostrarlo: responsabilidad proactiva.

Para dar cumplimiento a este principio, nos encontramos a lo largo de todo el RGPD, diferentes medidas preventivas y actuaciones que se deberán de llevar a cabo, de manera proactiva, por parte de los agentes implicados en el tratamiento de datos de carácter personal. Si bien hablaremos de todos ellos, mencionamos por ejemplo:

Publicado en Blog

Una semana más abordamos el análisis de los principios recogidos en el RGPD.

Como ya hemos indicado en anteriores posts, el artículo 5 de la norma europea establece los “Principios relativos al tratamiento”.

En el apartado f del citado artículo, se establece que “los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”, es decir lo que denomina «integridad y confidencialidad».

Lo que viene a decir el RGPD, y así lo detalla en el considerando 39, es que las medidas deben ir orientadas a impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

Publicado en Blog

En el artículo de hoy nos centraremos en:

1. El principio de minimización de datos -

Art. 5.1 c)” Los datos personales serán: (...) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

También sobre este principio la norma europea establece limitaciones y aclaraciones para su correcta aplicación, como por ejemplo:

- En el considerando 156 se establece que “para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica, histórica o fines estadísticos, además de ser un tratamiento supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento, dichas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos.” Es decir, el tratamiento ulterior de datos personales con los fines descritos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita. 

A este respecto en el artículo 89 del RGPD se especifica aún más indicando que: “tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados (...)”.

Publicado en Blog

Una semana más seguimos con nuestro análisis del RGPD. Hoy hablamos del principio de limitación de la finalidad

El artículo 5.1.b indica “Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (...)”. Asimismo, estos fines explícitos y legítimos deberán determinarse en el momento de su recogida.

Además, tal y como se específica en el considerando 39, los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Tanto es así, que el RGPD requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación, para ello deberán tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.

También la nueva norma europea nos indica las excepciones y aclaraciones para llevar a cabo una correcta aplicación de este principio, destacamos las siguientes:

Publicado en Blog
Viernes, 22 Julio 2016 10:52

Transparencia. Principios RGPD. Parte II

Si en un anterior artículo hablábamos de licitud, hoy nos centraremos en el principio de transparencia.

El RGPD introduce el concepto de transparencia como principio en su art. 5.1.a): "Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado (...)”.

Pero también nos encontramos en la norma europea que lo establece como un derecho: Sección 1 del Capítulo III “Derechos del interesado”.

Derecho del interesado y por ende obligación del responsable del tratamiento, a recibir/proporcionar toda información y comunicación relativa al tratamiento de datos de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, y, además, en su caso, que se visualice. Todo ello reforzado cuando la información vaya dirigida específicamente a un niño.

Asimismo, la información podrá ser facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos, por ejemplo, cuando esté dirigida al público, mediante un sitio web.

Publicado en Blog

Seguimos una semana más con nuestro análisis pormenorizado del RGPD. En esta ocasión nos centraremos en los “Principios relativos al tratamiento” (Capítulo II del RGPD).

El artículo 5.1 a) del RGPD establece: “Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”

Vayamos por partes:

1. Licitud.-

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones (art.6 RGPD):

1. Que el interesado dé su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
Es decir, para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando consultando o tratando de otra manera datos personales que les conciernen.

2. Que el tratamiento resulte necesario para la celebración o ejecución de un contrato o precontrato en el que el interesado es parte.

3. Que el tratamiento sea necesario para el cumplimiento de una obligación o deber impuesta por una norma legal a cumplir por el responsable del tratamiento.

A este respecto el RGPD establece margen de maniobra para que los Estados miembros puedan mantener o introducir disposiciones más específicas en aras de garantizar un tratamiento lícito y equitativo.

4. Que el tratamiento es preciso para proteger el interés vital del interesado o de otra persona física.

5. Que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

El RGPD aclara que la base jurídica del tratamiento indicado en este punto podrá contener disposiciones específicas, entre otras:

Publicado en Blog

En el artículo 4 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), encontramos el elenco de definiciones. La primera de ellas, nos indica lo que debemos entender como dato de carácter personal y lo define como “toda información sobre una persona física identificada o identificable" .

Nos encontramos por tanto, que el RGPD establece que han de tenerse en cuenta todos aquellos medios, como por ejemplo la singularización, que pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física.

A este respecto en el considerando 26 se establece que: “para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos”. Por tanto, deberemos excluir toda información anónima, inclusive aquella con fines estadísticos o de investigación.

Por otro lado y respecto de lo que debemos entender por identificable, el RGPD nos dice “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Es en este punto donde encontramos algunas novedades:

Publicado en Blog

Como bien indicábamos en nuestro anterior post, el RGPD diferencia entre ámbito de aplicación material y territorial. Una vez hablado del ámbito de aplicación material, toca ahora hablar del territorial.

En el artículo 3.1 del RGPD indica: “El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no”.

Para aclarar qué debemos entender por establecimiento, acudimos al considerando 22, donde un establecimiento implicará el ejercicio de manera efectiva y real de una actividad a través de modalidades estables, siendo indiferente la forma jurídica que revistan tales modalidades, esto es sucursal, filial etcétera.

Por otro lado, el artículo 3.2 RGPD dice “El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:.

Publicado en Blog
Página 16 de 17

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal