Actualmente internet nos permite encontrar y conocer a la mayoría de las empresas o entidades, que hacen de su página web su primera pantalla de presentación, y en la que es fundamental proporcionar una información, clara, precisa y sencilla que reforzará la imagen de la empresa ante los potenciales clientes.

Pero, ¿qué textos legales ha de incluir una página web?

En gran cantidad de portales web podemos ver, habitualmente anclados en su parte inferior, un Aviso Legal, Política de Privacidad y Política de Cookies.

Si bien es cierto que acostumbramos a ver estos tres textos juntos, es importante saber que la adecuación legal de una página web deriva por una parte de la normativa aplicable en materia de protección de datos, y por otra parte de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI).

Normativa en materia de protección de datos.

Respecto de esta materia, es necesario centrar nuestra atención en la obligación de informar a los interesados cuando se recaben sus datos de carácter personal.

Ya la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), establecía en su artículo 5 las obligaciones respecto de la información que se ha de facilitar a los interesados en el momento en que se soliciten sus datos:

 La existencia del fichero o tratamiento, su finalidad y destinatarios.
 El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
 La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
 La identidad y datos de contacto del responsable del tratamiento.

Sin embargo, ya ha sido objeto de análisis en este Blog (ver aquí), que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, incorporando, en líneas generales, los siguientes detalles:

 Los datos de contacto del Delegado de Protección de Datos, en su caso.
 La base jurídica o legitimación para el tratamiento.
 El plazo o los criterios de conservación de la información.
 La existencia de decisiones automatizadas o elaboración de perfiles.
 La previsión de transferencias a Terceros Países.
 El derecho a presentar una reclamación ante las Autoridades de Control.

Ahora bien, ¿cómo se puede facilitar toda esta información al interesado?

Publicado en Blog

¿Alguna vez te has preguntado como tratar los datos que aparecen reflejados en la tarjeta de contacto facilitada por un profesional?.

La consideración como datos de carácter personal de los, por todos conocidos, datos de contacto profesionales ha ido variando a lo largo de las diferentes regulaciones españolas en materia de protección de datos de carácter personal. Pongámonos en situación:

1. Situación actual en la Ley Orgánica de Protección de datos 15/1999 (en adelante, LOPD) y el Real Decreto 1720/2007 (en adelante RDLOPD) que la desarrolla.

El artículo 2.1 de la LOPD, establece que dicha ley será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, (…) entendiendo como datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables (artículo 3 LOPD).

Esta consideración fue igualmente recogida por el RDLOPD al establecer, en su artículo 2, que la LOPD sólo aplica al tratamiento de datos realizado respecto de personas físicas.

Sin embargo, nos encontramos con determinados datos de carácter personal relativos a personas físicas identificadas o identificables, cuyo tratamiento queda fuera del ámbito de aplicación de la normativa actual (artículo 2.2 RDLOPD):

1. Personas físicas que presten sus servicios en entidades jurídicas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales, es decir los datos que podemos encontrar en una tarjeta de visita.

2. Empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o naviero.

En consecuencia, resulta clara la exención del régimen de protección de datos de la LOPD y el RDLOPD los datos de contacto profesionales.

Así lo ha venido ratificando la Agencia Española de Protección de Datos, en sus diversas resoluciones como por ejemplo la resolución de fecha 27 de febrero de 2001. e informes jurídicos de entre los que destacamos: Informes 0038/2010 y 0443/2008.

Pero, ¿cuál será el régimen de protección que tendrán los datos de contacto de profesionales, una vez comience a ser plenamente exigible el Reglamento General de Protección de Datos (en adelante, RGPD)?

Publicado en Blog

Todos coincidimos en que, en las últimas semanas, el Reglamento Europeo de Protección de Datos (RGPD), está en boca de todos, y cuanto más se acerca el 25 de mayo más motivos aparecen para hablar del mismo.

Uno de esos motivos y que creemos que va a tener más de un capítulo es cuál es el procedimiento óptimo para solicitar el consentimiento de los interesados en el marco de una relación contractual para fines no relacionados directamente con la misma.

El RGPD en su artículo 4.11 señala que el consentimiento del interesado tiene que ser una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”; es decir, el único consentimiento válido es el explícito.

Por su parte, el Proyecto de LOPD actual añade en su artículo 6 que, en el momento en que se pretenda fundar el tratamiento de los datos en el consentimiento del interesado para una pluralidad de finalidades, tiene que constar específica e inequívocamente que se otorga para cada una de ellas.

Además, la ejecución de un contrato no puede condicionar a que el afectado consienta el tratamiento de sus datos para otras finalidades que no estén relacionadas con el mantenimiento, desarrollo o control de la relación contractual.

En la actual y todavía vigente regulación española se aborda esta cuestión en el artículo 15 del Real Decreto 1720/2007, que desarrolla la LOPD 15/1999, el cual recoge que para estos casos, el responsable del tratamiento deberá: "permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos”.

Publicado en Blog
Martes, 24 Abril 2018 08:18

Guía práctica de análisis de riesgos.

Continuando con el estudio de las guías que, con el fin de ayudar a las entidades públicas y privadas a adaptarse al nuevo Reglamento Europeo de protección de datos (en adelante, RGPD), ha ido publicando la Agencia Española de Protección de Datos (en adelante, AEPD), en el presente artículo abordaremos el estudio de la Guía Práctica de Análisis de Riesgos (en adelante, la Guía).

La plena exigibilidad del RGPD, a partir del próximo 25 de mayo de 2018, hará que responsables y encargados de tratamiento estén obligados a cumplir con todos aquellos requerimientos que esta normativa recoge, entre ellos la necesidad de llevar a cabo un análisis de riesgos. En aras de poder ofrecer las directrices y orientaciones necesarias que permitan cumplir con esta necesidad, publicó, el pasado 28 de febrero la AEPD la guía que ahora analizamos.

Hemos de partir de la base de que todo tratamiento de datos de carácter personal nace expuesto a determinados riesgos con impacto en la protección de datos. Así, el análisis de riesgos es una herramienta que permite realizar una valoración objetiva de los mismos, y las posibles medidas de seguridad y control que podemos aplicar para mitigar los riesgos resultantes y, en consecuencia, garantizar los derechos y libertades de los interesados.

Tal y como refleja la Guía, la gestión de los riesgos es un procedimiento implementado desde hace tiempo y con eficacia demostrada a la hora de identificar y mitigar los daños o riesgos a los que las entidades están expuestas. Sin embargo, el RGPD otorga un nuevo enfoque a esta gestión, centrando la atención en los riesgos que puede suponer una actividad de tratamiento y hasta qué punto la misma, por sus características y el tipo de datos a los que se refiere, puede tener un impacto negativo en los derechos y libertades de los interesados.

La Guía divide este proceso de gestión de riesgos en tres etapas:

Publicado en Blog

Como ya venimos anunciando, el Reglamento General de Protección de datos (RGPD), será plenamente aplicable a partir del próximo 25 de mayo. A su vez, en nuestro país se encuentra en tramitación una nueva Ley Orgánica de Protección de Datos, que va a completar el mencionado RGPD. Al respecto, la Agencia Española de Protección de Datos (AEPD), como ya analizamos en una de nuestras publicaciones (ver aquí) ya publicó en noviembre un documento con las principales medidas que las Administraciones Locales (AALL) debían ir poniendo en marcha.

La AEPD, consciente de la importancia del cambio normativo, ha elaborado también una Guía de Protección de datos y Administración local (en adelante, la Guía), que ha publicado recientemente, y en la cual se analizan los aspectos más relevantes que supone el RGPD en las AALL, y que pasamos a analizar:

1. EL RESPONSABLE DEL TRATAMIENTO

Serán responsables del tratamiento los municipios, las diputaciones provinciales y las islas.
A su vez, son responsables, en la medida que traten datos de carácter personal, las entidades de ámbito territorial inferior al municipal, las comarcas, las áreas metropolitanas y las mancomunidades.
En caso de que los Ayuntamientos cuenten con Administración Institucional, será responsable cada uno de los entes que formen parte de la misma.

2. LEGITIMACIÓN

El RGPD prevé un sistema de legitimación cuyas bases jurídicas no tienen relación entre sí. Son relevantes para las AALL las siguientes:

- El Interés público o poderes públicos y cumplimiento de obligación legal

En este punto, la Guía expone dos ejemplos clarificadores: por un lado, el tratamiento de datos del Padrón Municipal está legitimado por el cumplimiento de la Ley de Bases de Régimen Local y, asimismo el tratamiento de datos de los impuestos municipales se basa en el cumplimiento del Texto Refundido de la Ley reguladora de las Haciendas Locales.
Por otra parte, el tratamiento se puede fundamentar en satisfacer los intereses legítimos perseguidos por un tercero al que el responsable le comunica los datos si ese tercero no tiene la condición de autoridad pública.

Publicado en Blog

Cada vez más, los gigantes tecnológicos como Google o Facebook, se convierten en el foco de atención, entre otras cuestiones, con motivo del tratamiento de datos que realizan respecto de sus millones de usuarios y la forma en que lo llevan a cabo.

A este respecto, ha tenido gran repercusión mediática la resolución del procedimiento sancionador iniciado de oficio en septiembre de 2017 por la Agencia Española de Protección de Datos (en adelante AEPD), en la que la autoridad de control española impone a Whatsapp y a Facebook una multa de 300.000 € a cada una de las entidades: a Whatsapp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento.

Esta no es la primera vez que la AEPD analiza la comunicación de datos entre Whatsapp y Facebook, pues hemos de recordar que como analizamos en otro artículo de este Blog, en agosto de 2017 la AEPD archivó las actuaciones iniciadas a este respecto mediante expediente Nº E/04948/2016, entendiendo en aquel momento que no se vulneraba lo establecido en la normativa de protección de datos.

¿Por qué en esta ocasión la AEPD sí ha sancionado a ambas entidades?

Para poder analizar la resolución y las consideraciones de la AEPD, debemos comenzar recordando que en el año 2014 Whatsapp fue adquirida por Facebook Inc., y en agosto de 2016 la primera entidad actualizó los términos de su servicio y la política de privacidad, introduciendo cambios como el hecho de compartir información de los usuarios de Whatsapp con Facebook.

Publicado en Blog

Recientemente, una de las autoridades de control de protección de datos en España, la Autoridad Catalana de Protección de Datos (en adelante ACPD), se ha pronunciado, a través de una resolución a su procedimiento sancionador 22/2017, poniendo en jaque una práctica altamente extendida en nuestra sociedad: la anotación de contraseñas de acceso a nuestra información, en un soporte físico a la vista de terceros.

En una era de los medios digitales como la actual, en la cual las contraseñas de acceso a la información almacenada en nuestros ordenadores, correos electrónicos y otros servicios, configuran nuestro llavero virtual y cuando la confianza en nuestra memoria entra en juego, ¿quién no ha optado, en alguna ocasión, por un “cómodo” almacenamiento escrito de las contraseñas en aras de evitar hacer uso del molesto “¿Ha olvidado su contraseña?”.

Por todos es sabido que este método de almacenamiento de las contraseñas no es el más adecuado en lo que a seguridad de los datos de carácter personal se refiere. Sin embargo, la ACPD va un paso más allá, al considerar que esta práctica supone un acto de vulneración de una de las medidas de seguridad contempladas en el Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de datos (en adelante, RDLOPD y LOPD).

En concreto, supondría la vulneración de la medida de seguridad prevista en el capítulo III, artículo 93.3 del RDLOPD: “Identificación y autenticación” que se pronuncia en los siguientes términos: "3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas, debe haber un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad

Publicado en Blog

Como ya comentamos anteriormente, el 27 de febrero, se celebró una sesión de comparecencias por la Comisión de Justicia donde se analizaron los objetivos perseguidos por el Proyecto de Ley Orgánica de protección de datos de carácter personal (El Proyecto), y donde además, se dio respuesta a aquellas dudas que han surgido sobre el mismo.

Por su parte, Mar España, directora de la Agencia Española de protección de datos (AEPD) manifestó su opinión sobre aquellas cuestiones que han despertado más dudas y preocupaciones a raíz de la publicación del mismo:

1. La edad a partir de la cual el menor puede prestar el consentimiento para el tratamiento de sus datos.

El Reglamento general de protección de datos (RGPD) establece como regla general la edad de dieciséis años, permitiendo a los Estados miembros rebajarla hasta un mínimo de trece, siendo esta opción la que ha adoptado el Proyecto, para lo cual ha tenido en cuenta el derecho comparado, ya que mayoritariamente así lo han establecido el resto de los países de la UE.

Por otra parte, la AEPD no considera que se deba aumentar la edad por encima de la actualmente establecida, que son los catorce años y, considera que sea cual sea la edad determinada, se debe acompañar de medidas enfocadas tanto a mejorar la educación de los menores y sus padres en materia de protección de datos y privacidad como a asegurar un uso apropiado de los datos de los menores por parte de los responsables de su tratamiento.

No obstante, esta es la regla general para aquellos supuestos en que no exista otra restricción al consentimiento del menor, como sucede en el sector sanitario, donde la edad es de dieciséis años.

2. Existen asociaciones científicas que han manifestado su inquietud con lo dispuesto en el artículo 6 del Proyecto, al exigir éste un consentimiento específico e inequívoco para cada uno de los tratamientos  que pretendan llevarse a cabo, pudiendo puede suponer un obstáculo para el desarrollo de la investigación biomédica.

Publicado en Blog

El pasado 27 de febrero, tuvo lugar la sesión de la Comisión de Justicia convocada para la celebración de comparecencias en relación con el Proyecto de Ley Orgánica de protección de datos de carácter personal (en adelante, El Proyecto). La directora de la Agencia Española de Protección de Datos, Mar España, centró su intervención en exponer, a sus señorías, dos aspectos principales:

1. Los propósitos que El Proyecto pretende cumplir,
2. las dudas y preocupaciones que han surgido a raíz de la publicación de este.

En palabras de la Directora, el Reglamento General de protección de datos (RGPD) supone un cambio sustancial en el régimen jurídico de la protección de datos en Europa, resaltando como puntos claves:

- Se refuerzan las garantías para salvaguardar los derechos del interesado, estableciéndose figuras tales como el consentimiento, el derecho a la información, vinculado al principio de transparencia, o el reconocimiento de nuevos derechos como los de limitación o portabilidad.

- Se evoluciona a un modelo de cumplimiento normativo mucho más flexible, basado en el principio de responsabilidad activa, sin listas predeterminadas de cumplimiento. Serán los responsables y los encargados, quienes valoren qué medidas concretas deben aplicar.

- Se modifica el régimen de supervisión. Las autoridades están obligadas a cooperar tanto en la fijación de los criterios para su interpretación, como para su aplicación si varias autoridades se viesen afectadas como consecuencia de un determinado tratamiento.

Estos cambios suponen la necesidad de que el derecho interno de cada uno de los estados miembros se adecue al modelo previsto en el RGPD, y para ello, en España se ha elaborado el Proyecto, con unos objetivos concretos que, la Directora explicó detalladamente en su exposición:

1. Adaptar el derecho español al modelo establecido en el RGPD, y para ello es muy importante tener aprobada la Ley Orgánica, sobre todo, recalca Mar España, en:

• La regulación de los procedimientos transfronterizos (art.61 del Proyecto). En este sentido, el art.63 establece que el régimen jurídico aplicable a estos procedimientos será el del RGPD, el propio del Proyecto y, subsidiariamente las normas generales del procedimiento administrativo común.

Publicado en Blog

Continuando con el estudio de las situaciones específicas contempladas en el Reglamento General de Protección de Datos (en adelante RGPD), a lo largo de esta publicación, abordaremos el análisis del artículo 89 relativo a las “Garantías y excepción aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos”.

Este precepto del RGPD contempla por una parte las garantías específicas que deben aplicarse a estos tratamientos de datos, y por otro lado las excepciones a principios y derechos básicos recogidos en la nueva norma europea, así como en el Proyecto de Ley Orgánica de Protección de Datos (en adelante PLOPD).

¿Cuáles son entonces las garantías adecuadas a implementar en el tratamiento con fines de archivo en interés público, investigación científica o histórica, y/o estadísticos?

A tenor de lo establecido en el RGPD debemos tener en consideración las siguientes:

- Disponer e implementar las medidas técnicas y organizativas que garanticen el respeto al principio de minimización de los datos personales, como por ejemplo la seudonimización (artículo 89.1 del RGPD).

- El tratamiento ulterior de datos personales con los fines anteriormente mencionados solamente se efectuará cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (considerando 156 del RGPD).

- Posibilidad de establecer procedimientos específicos para que los interesados ejerzan sus derechos en materia de protección de datos, si resulta adecuado a la luz de los fines perseguidos por el tratamiento específico (considerando 156 del RGPD).

Por otra parte, en lo que respecta a las excepciones a principios y derechos básicos que aplican a estos tratamientos de datos, el RGPD recoge a lo largo de su articulado y considerandos las que a continuación se exponen:

Publicado en Blog
Página 9 de 16

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal