Como siempre hemos recalcado en este blog, cuando se vaya a realizar un tratamiento de datos de carácter personal debemos plantearnos si dicho tratamiento se realiza de forma lícita, y para ello, actualmente debemos examinar las bases que lo legitiman contempladas en el artículo 6 del Reglamento General de Protección de Datos (RGPD). En caso de que no se cumpla al menos con una de las condiciones que recoge este artículo, el tratamiento de datos se considerará ilícito.

Precisamente, sobre la licitud del tratamiento de los datos de los empleados de una empresa de Contact-Center, se ha pronunciado recientemente la Sala Cuarta de lo Social del Tribunal Supremo (TS) mediante una sentencia (ver aquí) con relación a la validez de la obtención del consentimiento de los empleados a través de una cláusula genérica recogida en el propio contrato laboral, para poder usar su imagen en las video llamadas realizadas para prestar los servicios de telemarketing.

En concreto, la cláusula tipo que incorpora la empresa a los contratos establece que “El trabajador consiente expresamente , conforme a la LO 1/1982, de 5 de mayo, RD 1720/2007 de Protección de Datos de carácter personal y Ley Orgánica 3/1985 de 29 de mayo, a la cesión de su imagen, tomada mediante cámara web o cualquier otro medio, siempre con el fin de desarrollar una actividad propia de telemarketing y cumplir, con el objeto del contrato y los requerimientos del contrato mercantil del cliente” .

El único fin que la empresa pretende conseguir con esta cláusula, es poder prestar correctamente sus servicios de atención al cliente, y para ello instala una cámara Webcam en los terminales de los trabajadores que intervienen en la videollamada.

Cabe señalar que, si, además, por cualquier motivo, la empresa desea utilizar la imagen de los trabajadores para la realización de actividades promocionales y publicitarias, en este caso la empresa sí estaba solicitando el consentimiento mediante una autorización específica y diferente.

Entonces, cabe plantearse dos preguntas:

¿Es necesario solicitar el consentimiento de los empleados para poder usar su imagen en el marco de las labores propias de su actividad? Y de ser necesario, ¿es válido obtenerlo mediante una cláusula contractual genérica?

Publicado en Blog

Hace unas semanas publicábamos en este Blog un artículo sobre los conceptos y claves de la anonimización de datos de carácter personal, partiendo para ello del análisis de la guía de la Agencia Española de Protección de Datos (AEPD) que recoge una serie de orientaciones y garantías en los procesos de anonimización de datos de carácter personal.

Si bien es cierto que la guía no tenía un carácter novedoso, ya que fue publicada por la AEPD hace varios años, los procesos de anonimización sobre conjuntos de datos personales son actualmente un pilar base para responsables y encargados del tratamiento, en lo que a medidas de seguridad se refiere.

Sin embargo, una de las problemáticas que estos mecanismos plantean, y así lo hacíamos constar en el artículo mencionado, es la dificultad de aplicar un proceso de anonimización que garantice de manera absoluta, la no reidentificación posterior de los titulares de los datos.

Precisamente para abordar cuáles son los límites en la efectividad de esos procesos de anonimización, la AEPD ha publicado hace unos días una nota técnica, en la que también analiza hasta qué punto la información está realmente anonimizada, y cómo se puede gestionar el riesgo de reidentificación.

En este documento, elaborado por la Unidad de Evaluación y Estudios Tecnológicos de la autoridad española de protección de datos, se parte de la base de que, en aplicación del principio de responsabilidad proactiva o accountability establecido en el Reglamento General de Protección de Datos (RGPD), el responsable debe analizar los riesgos en los tratamientos de datos, en este caso concreto, los de reidentificación derivado de sus procesos de anonimización, así como los generados en el proceso posterior y en el enriquecimiento de conjuntos de datos. El fin último de este análisis, no es otro que alcanzar un balance correcto entre la necesidad de obtener unos resultados con una determinada fidelidad, y el coste que el tratamiento puede tener para los derechos y libertades de los ciudadanos.

Para dar solución a este problema y evitar la desanonimización de un conjunto de datos, se ha desarrollado una disciplina conocida como Control de Revelación Estadística o técnicas SDC (Statistical Disclosure Control, más información a este respecto aquí), que tiene como objeto estudiar la forma más óptima de realizar un tratamiento adicional sobre la información de los sujetos de datos, consiguiendo al mismo tiempo maximizar la privacidad y mantener los objetivos establecidos en la aplicación o servicio que explota tales datos.

Si bien es cierto que existen diferentes técnicas orientadas a preservar la privacidad de los datos personales de individuos, todas ellas encaminadas a limitar las amenazas a la privacidad que pueden materializarse al desanonimizar la información, la AEPD centra su análisis en la K-anonimización, técnica ya mencionada por el antiguo Grupo de Trabajo del Artículo 29 en su Opinión 05/2014.

¿En qué consiste realmente la K-anonimidad?

Publicado en Blog

Solamente unos días después de que hayamos tenido las últimas elecciones en España, el Tribunal Constitucional (TC) se ha pronunciado al respecto del artículo 58 bis apartado 1 de la Ley Orgánica de Régimen Electoral General (LOREG) incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales(LOPDGDD), el cual permitía a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos, diciendo textualmente:

“La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”.

Al respecto de este artículo, el pleno del TC ha aprobado por unanimidad una Sentencia cuyo fallo se ha conocido este mismo miércoles.

En este post vamos a destacar los puntos más importantes, en materia de protección de datos que se disponen en la mencionada Sentencia del TC.

¿Quién y porqué se interpuso este recurso?

El Recurso fue presentado por el Defensor de Pueblo en el mes de marzo, en el que, atendiendo a quejas y solicitudes de diferentes ciudadanos y juristas, se decidió solicitar la anulación del artículo 58.1 bis de la LOREG.

Los motivos de la interposición de este Recurso se fundamentan en la consideración de que se está produciendo la vulneración de los siguientes artículos de la Constitución Española (CE):

  • Principio de seguridad jurídica (Art. 9.3 CE).
  • Derecho a la libertad ideológica (Art. 16 CE).
  • Derecho a la Protección de Datos Personales (Art. 18.4 CE).
  • Derecho de participación política (Art.23.1 CE).
  • Principio de vinculatoriedad, reserva de ley y control constitucional de las leyes de desarrollo. (Art. 53.1 CE).

El Recurso fundamenta esta vulneración en el hecho de que el mencionado artículo permitía algo inédito en nuestro país, como es recopilar datos personales relativos a las opiniones políticas de los ciudadanos y utilizar este perfilado de cada persona enviar propaganda electoral por medios electrónicos o sistemas de mensajería.

Para poder entender por qué es algo inédito, hemos de tener en cuenta que las opiniones políticas de las personas son consideradas por la normativa de protección de datos como “datos de carácter personal especialmente protegidos” (art.9.2.a LOPDGDD), por lo que como regla general para tratar estos datos necesitaríamos el consentimiento explícito del interesado.

A lo anterior, debemos de añadir que el art 9.1. LOPGDD indica que el solo consentimiento del afectado no bastará para levantar la prohibición de tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Para anular esta prohibición es precisamente para lo que se realizó la modificación normativa por la que se introdujo el apartado 1 del artículo 58 bis de la LOREG.

Cabe en este punto por tanto traer a colación los tres elementos más importantes de la interposición del recurso:

  • No se ha determinado la finalidad del tratamiento, más allá de la mención al “interés público”.
  • No se ha limitado el tratamiento de esos datos.
  • No se han establecido las garantías adecuadas para proteger los derechos fundamentales de los afectados.

Por lo que, debido a estas insuficiencias, se considera que el precepto impugnado habría incurrido en una doble y simultanea vulneración, por infringir la reserva de ley y por no respetar el contenido esencial del derecho fundamental a la protección de datos personales.

Precisamente esta consideración es ahora reafirmada por el TC en su sentencia, al estimar que el derecho fundamental afectado es el de protección de datos personales (Art.18.4 CE), desde una doble perspectiva:

En primer lugar, como derecho autónomo dirigido a controlar el flujo de informaciones concernientes a cada persona.

En segundo lugar, como derecho fundamental instrumental ordenado a la protección del también derecho fundamental a la libertad ideológica.

Una vez sentado esto, el TC enjuicia los tres elementos antes mencionados que conforman la impugnación central:

Publicado en Blog

La entrada en vigor del Reglamento Europeo de Protección de Datos (en adelante RPGD) en mayo del 2016, trajo consigo tal cambio de paradigma en lo relativo a regulación y armonización de la normativa en materia de protección de datos en todos los países miembros de la UE, que, aún a día de hoy, transcurridos tres años desde su entrada en vigor y un año desde su plena aplicación, pasando a ser directamente aplicable en todos y cada uno de los estados miembros, nos es muy difícil predecir cómo las autoridades de control van a manifestarse y proceder a sancionar todos y cada uno de los incumplimientos de las obligaciones contenidas en el mismo.

En nuestro país, no ha sido hasta el pasado 7 de diciembre del 2018 hasta que nos hemos dotado de una regulación a nivel nacional tras la entrada en vigor del RGPD. La nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales (en adelante, LOPDGDD) tiene, como principal objetivo, el adaptar nuestro ordenamiento jurídico español en materia de protección de datos al RGPD, así como garantizar los derechos digitales de los ciudadanos, al amparo de lo dispuesto en el artículo 18.4 de la Constitución Española, precepto que limita el uso de la informática con el fin de garantizar el honor y la intimidad personal y familiar de los ciudadanos, así como el pleno ejercicio de los derechos. 

La LOPDGDD incorpora grandes cambios respecto a las exigencias contenidas tanto en la ya derogada LOPD 15/1999 como en su Reglamento de Desarrollo, siendo el más significativo, el desarrollo en su Título X de la garantía de los derechos digitales de los ciudadanos.

No es motivo de este artículo proceder a enumerar todos los cambios normativos que la nueva LOPDGDD introduce respecto de la anterior normativa, al ya haber sido objeto de análisis en varias publicaciones (ver aquí, ver aquí), pero sí considero interesante el realizar un sucinto análisis del cambio que se ha producido respecto a la notificación y gestión de las brechas de seguridad, así como realizar un breve resumen de las brechas que han sido notificadas ante la Agencia Española de Protección de Datos (en adelante, AEPD) a lo largo del pasado año desde la entrada en vigor del RGPD.

En primer lugar, debemos hacer una clara diferencia entre “incidente de seguridad” y “brecha de seguridad”, puesto que son dos términos que tienen a confundirse.

Publicado en Blog

Realizar una copia de seguridad consiste en duplicar la información existente de un soporte a otro para poder recuperarla en caso de que falle el primer alojamiento de los datos. En el ámbito empresarial, se trata de una medida indispensable para garantizar la continuidad del negocio y conservar la imagen positiva y la confianza que los clientes depositan en las entidades.

En este post vamos a destacar los aspectos más relevantes que hay que saber sobre la realización de las copias de seguridad, tomando como base una de las guías publicadas por el Instituto Nacional de Ciberseguridad (INCIBE) para comprender la importancia de su implantación en las empresas. (ver Copias de seguridad: una guía de aproximación para el empresario”)

¿Qué información se debe copiar?

Para establecer cuál es la información de la que se realizará la copia de seguridad, se debe realizar un inventario de activos de información y una clasificación de los mismos en base a su criticidad para el negocio.

Los criterios para realizar esta clasificación deben estar relacionados con las medidas de seguridad aplicables sobre la información, como por ejemplo por el nivel de accesibilidad o confidencialidad, por su utilidad o funcionalidad y/o por el impacto en caso de robo, borrado o pérdida.

Frecuencia y tipo de copias

Para saber cada cuanto tiempo se deben realizar las copias de seguridad, será necesario atender a los siguientes factores:

- el número de datos o archivos generados y/o modificados

- el coste de almacenamiento;

- las obligaciones legales que apliquen. En este sentido cabe señalar que el propio Reglamento Europeo de Protección de Datos (RGPD) prevé que responsables y encargados del tratamiento apliquen las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. 

Teniendo en cuenta estos elementos hay que elegir el tipo de copia de seguridad, siendo las siguientes las más comunes:

Copia de seguridad en espejo o RAID 1

Mientras se trabaja con la información se crea una copia espejo en una ubicación alternativa, creándose una copia exacta de los datos en tiempo real.

Su mayor desventaja es que, si borramos un archivo accidentalmente también se borra de la copia de seguridad.

Copia de seguridad completa

Consiste en hacer una copia de todos los datos de nuestro sistema en otro soporte, proporcionando una fácil restauración de los datos.

Sin embargo, se necesita mucho espacio de almacenamiento, puesto que se copian todos los ficheros del sistema, e implica tener información redundante.

Copia de seguridad diferencial

Cada vez que se vuelve a lanzar, se copian los datos que se han modificado desde la última copia completa realizada. Por tanto, con el tiempo, estos tipos de copia se van haciendo más grandes hasta que se vuelve a realizar la copia completa. No es tampoco la solución más óptima en cuanto a espacio.

Publicado en Blog

Estas últimas semanas, los medios de comunicación se han hecho eco de la obligación aplicable a empresarios o autónomos que cuenten con trabajadores a su cargo, de cumplir con un registro de la jornada laboral de los trabajadores, obligación que deriva del  Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que modifica el artículo 34 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante Estatuto de los Trabajadores), y que será aplicable a partir del día 12 de mayo.

Pero, ¿qué supone la llevanza de este registro en la práctica?

  • Este registro deberá incluir como mínimo el horario concreto de inicio y finalización de la jornada de cada trabajador, sin perjuicio de la flexibilidad horaria establecida. Además, se ha manifestado, que no será suficiente la realización de un cuadrante, pues no se consideran un registro de jornada a efectos de cumplir lo establecido en el Estatuto de los Trabajadores.
  • También resulta de aplicación a trabajadores que realicen teletrabajo, o con movilidad geográfica.
  • La organización y la documentación del registro debe abordarse vía negociación colectiva o acuerdo de empresa. En su defecto, se establecerá por decisión unilateral del empresario previa consulta con la representación legal de los trabajadores.
  • El legislador no ha establecido una fórmula legal subsidiaria ante la falta de acuerdo.
  • En el supuesto de que no exista representación legal de los trabajadores, la ley no prevé la creación de una comisión ad hoc, por lo que debe quedar claro que la obligación de garantizar un registro horario corresponde al empleador.

¿Qué impacto tiene este registro en materia de protección de datos?

Publicado en Blog

En la actualidad, muchas empresas dudan acerca de si deben o no firmar contratos con entidades externas que les prestan servicios, como pueden ser las Mutuas, aseguradoras o empresas de prevención de riesgos laborales, entre otras.

Con carácter previo a clarificar esta cuestión, hemos de comenzar haciendo referencia a que la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su disposición adicional transitoria quinta, nos indica cómo tenemos que actuar en lo que respecta a los contratos en materia de protección de datos:

“los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”.

Por lo tanto, en relación con este artículo, debemos de tener actualizados todos los contratos con nuestros encargados del tratamiento para el año 2022, pero ¿también debemos de realizar este contrato con nuestra Mutua?

Precisamente sobre este tema versará el presente artículo, y para ello, resulta necesario analizar el informe 172302/2018 de la Agencia Española de Protección de Datos (en adelante, AEPD).

A este respecto, en el informe mencionado, la AEPD resuelve una consulta que se le plantea:

¿Las Mutuas colaboradoras con la Seguridad Social tienen la calidad de responsables del tratamiento? O, por el contrario, ¿Deberíamos de firmar un contrato con ellas al ser Encargados del tratamiento?

Como punto de partida cabe aclarar que el Reglamento (UE) 2016/679 de protección de datos (en adelante, RGPD) define la figura de responsable y encargado del tratamiento del siguiente modo:

Artículo 4.7. RGPD configura al responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento…”.

Artículo 4.8 RGPD se refiere al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

Por lo tanto, como podemos comprobar, la clave en la distinción de ambas figuras, reside en que el responsable determina los fines y medios del tratamiento de los datos, mientras que el encargado debe de tratar los datos limitándose a las indicaciones del responsable del tratamiento.

Una vez distinguidas las dos figuras, como ya hemos comentado en alguno de los artículos de nuestro blog (AquíAquí ) es necesario referenciar el artículo 28.3 RGPD, el cual exige la existencia de un contrato u otro acto jurídico con arreglo al derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable. En dicho contrato deberá de contemplarse, entre otras, la estipulación en la que se indique que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, como hemos mencionado antes.

En este punto, nos centraremos en determinar cuál de las dos figuras asumen las Mutuas colaboradoras con la seguridad social, y, en consecuencia, si resulta necesario regular la relación existente entre las partes, mediante el contrato o acto jurídico mencionado.

Al respecto, la AEPD expone en el informe que estamos analizando las siguientes consideraciones para poder fundamentar el criterio establecido:

Publicado en Blog

A partir del 14 de septiembre del presente año, entra en vigor el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (en adelante, el Reglamento).  

El objeto del presente artículo es dotar al lector de una visión más aproximada acerca de las cuestiones que plantea el citado Reglamento, el cual, y a la vista está, no ha gozado de tanto reconocimiento ni repercusión como el ya conocido Reglamento General de Protección de Datos (en adelante, RGPD).

No son baladíes las cuestiones que se recogen, tanto en la Directiva (UE) 2015/2366 (en adelante, la Directiva), como en el Reglamento que la complementa, al entrar a regular y desarrollar ambas normativas las cuestiones relativas a la autenticación reforzada del cliente en lo referido a aquellos servicios de pago ofrecidos electrónicamente.

Con el avance de la tecnología, los riesgos en la seguridad relativa a los pagos electrónicos se han visto notoriamente incrementados. Anterior a la entrada en vigor del Reglamento, la legislación europea relativa a los sectores del mercado de pagos, que comprendía los pagos realizados con tarjeta, por internet, y los pagos móviles, no se encontraba lo suficientemente armonizada, generando tal inseguridad jurídica y desprotección de los consumidores, que la necesidad de una regulación común y una aplicación uniforme del marco regulación en la Unión era acuciante.

Debemos recalcar la importancia de la seguridad de los pagos electrónicos con el fin de establecer en la práctica, las medidas necesarias enfocadas a garantizar la protección de los usuarios dentro del comercio electrónico. Todos estos servicios ofrecidos de manera electrónica deben gozar de una adecuada protección, de manera que permitan garantizar una autenticación segura por parte del usuario, minimizando así el riesgo de fraude en el pago, u otro tipo de abusos que puedan llegar a producirse a la hora de realizar transacciones por internet.

Es por ello, que la Directiva, procede a definir, en su artículo 4, el concepto de “autenticación reforzada de cliente”, que hace referencia a la autenticación basada en dos o más elementos, de carácter independiente, entre los que encontramos los siguientes:

  • Conocimiento (algo que solamente conoce el usuario, como pudiera ser una contraseña).
  • Posesión (algo que solo posee el usuario, como un smartphone o una Tablet).
  • Inherencia (algo que es del usuario, por ejemplo, sensores biométricos, como puede ser su huella dactilar o reconocimiento facial).

La última cuestión relativa a la inherencia del usuario puede plantear interesantes cuestiones en lo que se refiere a la determinación de las obligaciones de los proveedores que realicen el tratamiento de los datos biométricos, catalogados en el RGPD como datos personales de carácter sensible, y que gozan de una especial atención a la hora de su tratamiento. 

Publicado en Blog

En una sociedad en la que la explotación de datos de carácter personal y la privacidad del usuario pueden llegar a verse enfrentados, resulta necesario establecer mecanismos que permitan que el avance de la sociedad de la información continúe, sin que este pueda suponer un menoscabo de la protección de los datos de carácter personal de los usuarios.

A este respecto se pronunció la Agencia Española de Protección de Datos (en adelante, AEPD) mediante la publicación de una guía que recoge una serie de orientaciones y garantías a tener en cuenta, por parte de responsables y encargados del tratamiento, en los procesos de anonimización de datos de carácter personal. La mencionada guía tiene como fin último, plasmar cómo ha de llevarse a cabo el proceso de anonimización de los datos de carácter personal para eliminar o, en su defecto, reducir al mínimo los riesgos inherentes a la reidentificación de los datos personales previamente anonimizados.

Pero ¿qué es y qué supone, realmente, la anonimización de los datos de carácter personal?

La anonimización ha sido considerada, por la propia AEPD, como “la ruptura de la cadena de identificación de las personas.”. En otras palabras, se trata del proceso mediante el cual, eliminaremos aquellos datos susceptibles de identificar, directa o indirectamente, a personas concretas, manteniéndose, así, sólo aquella tipología de datos que no puedan asociarse, de ninguna manera, con la persona titular de los mismos. Hablamos de datos tales cómo rangos de edad, nivel medio de renta, estudios...etc., que, en definitiva, no afectan a la privacidad personal y que pueden ser usados con fines estadísticos o analíticos.

Es en este punto, donde conviene recordar que los datos anonimizados se encontrarían fuera del ámbito de aplicación de la normativa vigente en materia de protección de datos, esto es, el Reglamento Europeo de Protección de Datos (en adelante, RGPD) y la Ley Orgánica Española de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (en adelante, LOPD – GDD). Así lo recoge el propio RGPD en su considerando 26 cuando indica que: “(…), el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”.

A este respecto, y para que el tratamiento de esos datos quede fuera de la aplicación del RGPD y la LOPD - GDD, es necesario que el proceso de anonimización sea plenamente efectivo, de tal manera que resulte imposible, o casi, identificar, por ningún medio, a una persona física concreta, una vez los datos hayan sido anonimizados.

No obstante, a día de hoy, y como consecuencia del avance tecnológico, la anonimización absoluta no puede garantizarse. Así lo expresa la AEPD. El motivo radica en que la misma capacidad de la tecnología, que nos permite anonimizar datos personales, puede ser utilizada para la reidentificación de las personas, de tal manera que lo que en un determinado momento podía ser irreversible, tal vez no lo sea en el futuro.  

Por ello, la clave sobre la efectividad, o no, del proceso de anonimización de los datos, recaerá en el esfuerzo que le suponga, a la persona o entidad con acceso posterior a la información anonimizada, reidentificar los datos anonimizados. Así, la anonimización adquirirá una mayor fortaleza si este esfuerzo es de tal magnitud, que o bien el coste de dicho proceso no pueda ser asumible, o bien, no compense el beneficio que se obtendría con la reidentificación.

¿Cómo ha de desarrollarse, entonces, el proceso de anonimización?

Publicado en Blog

En la actualidad, muchas empresas valoran considerablemente proteger su “Know How, término anglosajón acuñado para referirnos a cierta información relativa, tanto a la adquisición de determinados conocimientos, como a ciertos datos empresariales relacionados con clientes, proveedores, planes comerciales, estrategias de mercado, etc.

El valor que dan las empresas a dicha protección es equiparable a los derechos de propiedad industrial e intelectual, ya que utilizan la confidencialidad como una herramienta de gestión de la competitividad empresarial, así como de transferencia de conocimientos e innovación.

Sin embargo, la globalización, una creciente externalización, la longitud de las nuevas cadenas de suministro y un mayor uso de las tecnologías de la información, han contribuido a que las entidades innovadoras estén cada vez más expuestas a prácticas desleales que persiguen la apropiación indebida de tal información, y que a su vez provocan que la innovación y la creatividad se vean desincentivadas, con la consiguiente repercusión que puede ocasionar en la buena marcha del negocio.

¿Se encuentra este deber de secreto o confidencialidad regulado en nuestro ordenamiento?

- PROTECCIÓN DE DATOS PERSONALES

• El artículo 5.1 f) del Reglamento General de Protección de Datos (RGPD), señala como uno de los principios básicos, la exigencia de que todo tratamiento de datos debe garantizar una seguridad apropiada de dichos datos, “incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.

• Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), recoge en su artículo 5 el deber de confidencialidad al que están sujetos los responsables y encargados del tratamiento de datos, así como las personas que intervengan en cualquier fase de dicho tratamiento. Asimismo, este artículo señala que esta obligación general es complementaria de los deberes de secreto profesional, y que se mantendrá, aun habiendo finalizado la relación del obligado con el responsable o encargado del tratamiento.

- CÓDIGO PENAL

El Código Penal (CP) tipifica la violación de los secretos empresariales en sus artículos 278 y 279 donde se castiga con una pena de prisión de 2 a 4 años y multa de doce a 24 meses a quienes, teniendo legal o contractualmente deber de guardar secreto, difundan o revelen un secreto de empresa, apoderándose por cualquier medio de datos que se refieran al mismo.

- LEY DE SECRETOS EMPRESARIALES

El pasado 13 de marzo entró en vigor la nueva Ley 1/2019, de 20 de febrero, de Secretos Empresariales (en adelante, la Ley), la cual supone la trasposición de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas.

Publicado en Blog
Página 1 de 12

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal