Martes, 24 Abril 2018 08:18

Guía práctica de análisis de riesgos.

Continuando con el estudio de las guías que, con el fin de ayudar a las entidades públicas y privadas a adaptarse al nuevo Reglamento Europeo de protección de datos (en adelante, RGPD), ha ido publicando la Agencia Española de Protección de Datos (en adelante, AEPD), en el presente artículo abordaremos el estudio de la Guía Práctica de Análisis de Riesgos (en adelante, la Guía).

La plena exigibilidad del RGPD, a partir del próximo 25 de mayo de 2018, hará que responsables y encargados de tratamiento estén obligados a cumplir con todos aquellos requerimientos que esta normativa recoge, entre ellos la necesidad de llevar a cabo un análisis de riesgos. En aras de poder ofrecer las directrices y orientaciones necesarias que permitan cumplir con esta necesidad, publicó, el pasado 28 de febrero la AEPD la guía que ahora analizamos.

Hemos de partir de la base de que todo tratamiento de datos de carácter personal nace expuesto a determinados riesgos con impacto en la protección de datos. Así, el análisis de riesgos es una herramienta que permite realizar una valoración objetiva de los mismos, y las posibles medidas de seguridad y control que podemos aplicar para mitigar los riesgos resultantes y, en consecuencia, garantizar los derechos y libertades de los interesados.

Tal y como refleja la Guía, la gestión de los riesgos es un procedimiento implementado desde hace tiempo y con eficacia demostrada a la hora de identificar y mitigar los daños o riesgos a los que las entidades están expuestas. Sin embargo, el RGPD otorga un nuevo enfoque a esta gestión, centrando la atención en los riesgos que puede suponer una actividad de tratamiento y hasta qué punto la misma, por sus características y el tipo de datos a los que se refiere, puede tener un impacto negativo en los derechos y libertades de los interesados.

La Guía divide este proceso de gestión de riesgos en tres etapas:

Publicado en Blog

Como ya venimos anunciando, el Reglamento General de Protección de datos (RGPD), será plenamente aplicable a partir del próximo 25 de mayo. A su vez, en nuestro país se encuentra en tramitación una nueva Ley Orgánica de Protección de Datos, que va a completar el mencionado RGPD. Al respecto, la Agencia Española de Protección de Datos (AEPD), como ya analizamos en una de nuestras publicaciones (ver aquí) ya publicó en noviembre un documento con las principales medidas que las Administraciones Locales (AALL) debían ir poniendo en marcha.

La AEPD, consciente de la importancia del cambio normativo, ha elaborado también una Guía de Protección de datos y Administración local (en adelante, la Guía), que ha publicado recientemente, y en la cual se analizan los aspectos más relevantes que supone el RGPD en las AALL, y que pasamos a analizar:

1. EL RESPONSABLE DEL TRATAMIENTO

Serán responsables del tratamiento los municipios, las diputaciones provinciales y las islas.
A su vez, son responsables, en la medida que traten datos de carácter personal, las entidades de ámbito territorial inferior al municipal, las comarcas, las áreas metropolitanas y las mancomunidades.
En caso de que los Ayuntamientos cuenten con Administración Institucional, será responsable cada uno de los entes que formen parte de la misma.

2. LEGITIMACIÓN

El RGPD prevé un sistema de legitimación cuyas bases jurídicas no tienen relación entre sí. Son relevantes para las AALL las siguientes:

- El Interés público o poderes públicos y cumplimiento de obligación legal

En este punto, la Guía expone dos ejemplos clarificadores: por un lado, el tratamiento de datos del Padrón Municipal está legitimado por el cumplimiento de la Ley de Bases de Régimen Local y, asimismo el tratamiento de datos de los impuestos municipales se basa en el cumplimiento del Texto Refundido de la Ley reguladora de las Haciendas Locales.
Por otra parte, el tratamiento se puede fundamentar en satisfacer los intereses legítimos perseguidos por un tercero al que el responsable le comunica los datos si ese tercero no tiene la condición de autoridad pública.

Publicado en Blog

Cada vez más, los gigantes tecnológicos como Google o Facebook, se convierten en el foco de atención, entre otras cuestiones, con motivo del tratamiento de datos que realizan respecto de sus millones de usuarios y la forma en que lo llevan a cabo.

A este respecto, ha tenido gran repercusión mediática la resolución del procedimiento sancionador iniciado de oficio en septiembre de 2017 por la Agencia Española de Protección de Datos (en adelante AEPD), en la que la autoridad de control española impone a Whatsapp y a Facebook una multa de 300.000 € a cada una de las entidades: a Whatsapp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento.

Esta no es la primera vez que la AEPD analiza la comunicación de datos entre Whatsapp y Facebook, pues hemos de recordar que como analizamos en otro artículo de este Blog, en agosto de 2017 la AEPD archivó las actuaciones iniciadas a este respecto mediante expediente Nº E/04948/2016, entendiendo en aquel momento que no se vulneraba lo establecido en la normativa de protección de datos.

¿Por qué en esta ocasión la AEPD sí ha sancionado a ambas entidades?

Para poder analizar la resolución y las consideraciones de la AEPD, debemos comenzar recordando que en el año 2014 Whatsapp fue adquirida por Facebook Inc., y en agosto de 2016 la primera entidad actualizó los términos de su servicio y la política de privacidad, introduciendo cambios como el hecho de compartir información de los usuarios de Whatsapp con Facebook.

Publicado en Blog

Recientemente, una de las autoridades de control de protección de datos en España, la Autoridad Catalana de Protección de Datos (en adelante ACPD), se ha pronunciado, a través de una resolución a su procedimiento sancionador 22/2017, poniendo en jaque una práctica altamente extendida en nuestra sociedad: la anotación de contraseñas de acceso a nuestra información, en un soporte físico a la vista de terceros.

En una era de los medios digitales como la actual, en la cual las contraseñas de acceso a la información almacenada en nuestros ordenadores, correos electrónicos y otros servicios, configuran nuestro llavero virtual y cuando la confianza en nuestra memoria entra en juego, ¿quién no ha optado, en alguna ocasión, por un “cómodo” almacenamiento escrito de las contraseñas en aras de evitar hacer uso del molesto “¿Ha olvidado su contraseña?”.

Por todos es sabido que este método de almacenamiento de las contraseñas no es el más adecuado en lo que a seguridad de los datos de carácter personal se refiere. Sin embargo, la ACPD va un paso más allá, al considerar que esta práctica supone un acto de vulneración de una de las medidas de seguridad contempladas en el Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de datos (en adelante, RDLOPD y LOPD).

En concreto, supondría la vulneración de la medida de seguridad prevista en el capítulo III, artículo 93.3 del RDLOPD: “Identificación y autenticación” que se pronuncia en los siguientes términos: "3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas, debe haber un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad

Publicado en Blog

Como ya comentamos anteriormente, el 27 de febrero, se celebró una sesión de comparecencias por la Comisión de Justicia donde se analizaron los objetivos perseguidos por el Proyecto de Ley Orgánica de protección de datos de carácter personal (El Proyecto), y donde además, se dio respuesta a aquellas dudas que han surgido sobre el mismo.

Por su parte, Mar España, directora de la Agencia Española de protección de datos (AEPD) manifestó su opinión sobre aquellas cuestiones que han despertado más dudas y preocupaciones a raíz de la publicación del mismo:

1. La edad a partir de la cual el menor puede prestar el consentimiento para el tratamiento de sus datos.

El Reglamento general de protección de datos (RGPD) establece como regla general la edad de dieciséis años, permitiendo a los Estados miembros rebajarla hasta un mínimo de trece, siendo esta opción la que ha adoptado el Proyecto, para lo cual ha tenido en cuenta el derecho comparado, ya que mayoritariamente así lo han establecido el resto de los países de la UE.

Por otra parte, la AEPD no considera que se deba aumentar la edad por encima de la actualmente establecida, que son los catorce años y, considera que sea cual sea la edad determinada, se debe acompañar de medidas enfocadas tanto a mejorar la educación de los menores y sus padres en materia de protección de datos y privacidad como a asegurar un uso apropiado de los datos de los menores por parte de los responsables de su tratamiento.

No obstante, esta es la regla general para aquellos supuestos en que no exista otra restricción al consentimiento del menor, como sucede en el sector sanitario, donde la edad es de dieciséis años.

2. Existen asociaciones científicas que han manifestado su inquietud con lo dispuesto en el artículo 6 del Proyecto, al exigir éste un consentimiento específico e inequívoco para cada uno de los tratamientos  que pretendan llevarse a cabo, pudiendo puede suponer un obstáculo para el desarrollo de la investigación biomédica.

Publicado en Blog

El pasado 27 de febrero, tuvo lugar la sesión de la Comisión de Justicia convocada para la celebración de comparecencias en relación con el Proyecto de Ley Orgánica de protección de datos de carácter personal (en adelante, El Proyecto). La directora de la Agencia Española de Protección de Datos, Mar España, centró su intervención en exponer, a sus señorías, dos aspectos principales:

1. Los propósitos que El Proyecto pretende cumplir,
2. las dudas y preocupaciones que han surgido a raíz de la publicación de este.

En palabras de la Directora, el Reglamento General de protección de datos (RGPD) supone un cambio sustancial en el régimen jurídico de la protección de datos en Europa, resaltando como puntos claves:

- Se refuerzan las garantías para salvaguardar los derechos del interesado, estableciéndose figuras tales como el consentimiento, el derecho a la información, vinculado al principio de transparencia, o el reconocimiento de nuevos derechos como los de limitación o portabilidad.

- Se evoluciona a un modelo de cumplimiento normativo mucho más flexible, basado en el principio de responsabilidad activa, sin listas predeterminadas de cumplimiento. Serán los responsables y los encargados, quienes valoren qué medidas concretas deben aplicar.

- Se modifica el régimen de supervisión. Las autoridades están obligadas a cooperar tanto en la fijación de los criterios para su interpretación, como para su aplicación si varias autoridades se viesen afectadas como consecuencia de un determinado tratamiento.

Estos cambios suponen la necesidad de que el derecho interno de cada uno de los estados miembros se adecue al modelo previsto en el RGPD, y para ello, en España se ha elaborado el Proyecto, con unos objetivos concretos que, la Directora explicó detalladamente en su exposición:

1. Adaptar el derecho español al modelo establecido en el RGPD, y para ello es muy importante tener aprobada la Ley Orgánica, sobre todo, recalca Mar España, en:

• La regulación de los procedimientos transfronterizos (art.61 del Proyecto). En este sentido, el art.63 establece que el régimen jurídico aplicable a estos procedimientos será el del RGPD, el propio del Proyecto y, subsidiariamente las normas generales del procedimiento administrativo común.

Publicado en Blog

Continuando con el estudio de las situaciones específicas contempladas en el Reglamento General de Protección de Datos (en adelante RGPD), a lo largo de esta publicación, abordaremos el análisis del artículo 89 relativo a las “Garantías y excepción aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos”.

Este precepto del RGPD contempla por una parte las garantías específicas que deben aplicarse a estos tratamientos de datos, y por otro lado las excepciones a principios y derechos básicos recogidos en la nueva norma europea, así como en el Proyecto de Ley Orgánica de Protección de Datos (en adelante PLOPD).

¿Cuáles son entonces las garantías adecuadas a implementar en el tratamiento con fines de archivo en interés público, investigación científica o histórica, y/o estadísticos?

A tenor de lo establecido en el RGPD debemos tener en consideración las siguientes:

- Disponer e implementar las medidas técnicas y organizativas que garanticen el respeto al principio de minimización de los datos personales, como por ejemplo la seudonimización (artículo 89.1 del RGPD).

- El tratamiento ulterior de datos personales con los fines anteriormente mencionados solamente se efectuará cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (considerando 156 del RGPD).

- Posibilidad de establecer procedimientos específicos para que los interesados ejerzan sus derechos en materia de protección de datos, si resulta adecuado a la luz de los fines perseguidos por el tratamiento específico (considerando 156 del RGPD).

Por otra parte, en lo que respecta a las excepciones a principios y derechos básicos que aplican a estos tratamientos de datos, el RGPD recoge a lo largo de su articulado y considerandos las que a continuación se exponen:

Publicado en Blog

Retomamos el análisis realizado en anteriores publicaciones sobre las situaciones específicas del tratamiento de datos personales en el ámbito laboral, recogido en el artículo 88 del Reglamento General de Protección de Datos (RGPD).

Como ya hemos indicado, el artículo 88, habilita a los Estados miembros a crear normas más concretas, que incluyan las medidas adecuadas y específicas al respecto, prestando especial atención a:

1. la transparencia del tratamiento,
2. la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta,
3. los sistemas de supervisión en el lugar de trabajo.

Los dos primeros puntos ya han sido objeto de nuestro análisis, por lo que nos centraremos hoy en el punto tres.

En nuestro ordenamiento jurídico, encontramos normativa específica relativa a los sistemas de supervisión en el lugar de trabajo. Nuestro Estatuto de los Trabajadores (ET), contempla esta cuestión en su artículo 20 al atribuir facultades concretas a los empresarios para controlar el desarrollo de la prestación laboral por parte de sus empleados.

En este sentido, las empresas podrán:

-Adoptar medidas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, respetando debidamente su dignidad humana. Pensemos en los sistemas de videovigilancia.

Publicado en Blog

En enero 2017 la Comisión Europea publicaba su Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas, que será de directa aplicación en todos los estados miembros de la UE a partir del 25 de mayo de 2018, al unísono del RGPD, pretendiéndose así que no queden lagunas respecto a la protección de los datos, precisándolo y completándolo.
Además, aquellas cuestiones relacionadas con el tratamiento de datos personales que no se contemplan específicamente en esta propuesta, quedan amparadas por el RGPD.

Este Reglamento va a sustituir a la actual Directiva 2002/58/CE y por tanto derogarla. En este artículo del blog vamos a analizar qué principales novedades trae consigo la Propuesta en comparación con lo que se recoge en la Directiva mencionada, cuyo cumplimiento es obligatorio dentro del sector publicitario.             

Publicado en Blog

El pasado 20 de diciembre de 2017, la Sala Segunda del TJUE, se pronunciaba mediante sentencia sobre el asunto C-434/2016 con relación a una cuestión que ha tenido gran trascendencia mediática dado el carácter novedoso que ha supuesto en materia de protección de datos personales. Los hechos a los que nos estamos refiriendo son los siguientes:

El irlandés Peter Nowak, se presentó a los exámenes oficiales de contabilidad que organizaba el Institute of Chartered Accountants of Ireland (Instituto de Auditores Públicos de Irlanda), los cuales se componían de varias pruebas. Nowak suspendió la última de ellas a finales de 2009 y, decidió reclamar al Instituto la calificación que obtuvo en la misma.

Para su sorpresa, el Instituto desestimó su reclamación, y decidió presentar la correspondiente solicitud para acceder a todos los datos personales que constaban en la citada prueba escrita.

En 2010, recibió por parte del Instituto algunos documentos, pero se negó a enviarle el ejemplar de ese examen en cuestión, por considerar que no contenía datos personales, momento en el cual, decidió dirigirse al Comisario de Protección de Datos (equivalente a la AEPD en nuestro país), para impugnar los fundamentos legales de la negativa del envío por parte del Instituto, pero la respuesta que obtuvo por el mismo fue similar: “los exámenes escritos no son datos de carácter personal”.

Ante esta situación, recurrió ante los distintos órganos jurisdiccionales irlandeses, hasta que finalmente el asunto llegó a la Supreme Court (Tribunal Supremo de Irlanda), y fue éste quien finalmente, declaró la admisibilidad del recurso interpuesto por Nowak contra la resolución del Comisario de protección de datos, y además ante las dudas que se habían suscitado al respecto, a la vez que suspendía el procedimiento, formuló al TJUE las siguientes cuestiones:

- ¿La información contenida en las respuestas dadas por un candidato durante un examen profesional constituye un dato personal en el sentido de la Directiva 95/46?
- ¿Qué factores han de tenerse en cuenta para determinar que un examen escrito constituye un dato personal y qué importancia debe atribuirse a tales factores?

Publicado en Blog
Página 10 de 17

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal