close

AEPD

AEPDGDPRMedidas UrgentesPrivacidadProtección de DatosReal Decreto Ley

Principales aspectos del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

servicio-LOPD

El Reglamento Europeo (GDPR) recoge una serie de cuestiones que pueden ser desarrolladas de manera distinta por cada Estado miembro.

En concreto en España, sin una nueva Ley Orgánica de Protección de Datos y con un Reglamento de plena aplicación, el Consejo de Ministros ha aprobado el Real Decreto Ley que desarrolla y adapta todos aquellos aspectos que no requieren rango de Ley Orgánica pero que sí se consideran de carácter urgente. De ahí a que el Real Decreto Ley se llame Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (RDL).

La vigencia del RDL se limita al período existente entre el día siguiente de su publicación en el Boletín Oficial del Estado y la entrada en vigor de la nueva ley orgánica de protección de datos.

A continuación destacaré los principales puntos a tener en cuenta:

Prescripciones

El RDL indica que el plazo de prescripción para las infracciones previstas en el artículo 83.4 del GDPR será de 2 años y para las infracciones previstas en el artículo 83.5 y 83.6 de 3 años.

El plazo de prescripción de las sanciones será el siguiente:

  • Sanciones superiores a 300.000 €: 3 años
  • Sanciones entre 40.001 y 300.000 €: 2 años
  • Sanciones iguales o inferiores a 40.000 €: 1 año

Responsabilidades

Bajo el RDL se consideran sujetos responsables a:

  1. a) Los responsables de los tratamientos.
  2. b) Los encargados de los tratamientos.
  3. c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  4. d) Las entidades de certificación.
  5. e) Las entidades acreditadas de supervisión de los códigos de conducta.

El RDL sigue las consideraciones del GDPR y excluye a los Delegados de Protección de Datos de responsabilidad.

Procedimientos

El RDL distingue dos tipos de procedimientos tramitados por la Agencia Española de Protección de Datos (AEPD). El primero se daría cuando el afectado reclama la falta de atención de su solicitud del ejercicio de sus derechos y el segundo cuando se investigue la infracción del GDPR o la normativa española en materia de protección de datos.

En este sentido cabe mencionar que la AEPD podrá inadmitir cualquier reclamación recibida cuando:

  • No verse sobre cuestiones de protección de datos de carácter personal.
  • Carezca de fundamento.
  • Sea abusivas.
  • No aporte indicios racionales de la existencia de una infracción.
  • Cuando el responsable o encargado del tratamiento, previa advertencia de la AEPD, hubiera adoptado medidas correctivas, siempre que no haya causado perjuicio al interesado y el derecho del afectado quede garantizado.

Inspecciones

La AEPD podrá realizar actuaciones de investigación durante un periodo de 12 meses desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación. Estas actuaciones permitirán evaluar y determinar con más precisión las circunstancias que justifican la tramitación del procedimiento.

Contratos

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 sujetos al artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

No obstante, durante los mencionados plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a las nuevas exigencias del GDPR.

leer más
AEPDAgencia Española de Protección de DatosGDPRProtección de DatosRegistro de Actividades del Tratamiento

Registro de las Actividades del Tratamiento de la AEPD

proteccion_de_datos

Con el objetivo de ayudar a los responsables del tratamiento a comprender y cumplir el requisito exigido por el Reglamento General de Protección de Datos (RGPD) de llevar sus registros de actividades de tratamiento de manera actualizada, la Agencia Española de Protección de Datos (AEPD) ha publicado recientemente sus propios registros con el fin de proporcionar más información al respecto.

Si bien esta iniciativa, a priori, parece ir más orientada a las organizaciones que realizan tratamientos de datos de alto riesgo, la AEPD ha puesto asimismo un instrumento de registro a disposición de las organizaciones que tratan datos de menor riesgo.

A continuación indicaré algunos de los principales registros de la AEPD que pueden ser aplicables a la mayoría de las organizaciones. No obstante, cada compañía deberá, evidentemente, adaptar sus registros según la operativa y negocio que desarrolle.

1. Atención a los derechos de las personas

a) Base jurídica: RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

b) Fines del tratamiento: Atender las solicitudes de los ciudadanos en el ejercicio de los derechos que establece el Reglamento General de Protección de Datos.

c) Colectivo: Personas físicas que reclaman ante la AEPD.

d) Categorías de Datos: Nombre y apellidos, dirección, firma y teléfono

e) Categoría destinatariosDefensor del Pueblo.

f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.

g) Plazo supresión: Se conservarán durante el tiempo necesario para resolver las reclamaciones. Será de aplicación lo dispuesto en la normativa de archivos y documentación.

h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.

i) Entidad responsable: Agencia Española de Protección de Datos

2. Encuestas y estudios

a) Base jurídica: RGPD: 6.1.e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

b) Fines del tratamiento: Gestión de las consultas y estudios realizadas desde la AEPD con objeto de verificar y promover el conocimiento y cumplimiento de la normativa de protección de datos, cuya supervisión tiene atribuida a la AEPD.

c) Colectivo: Personas físicas, incluidas las representantes de personas jurídicas, que participan en las iniciativas propuestas por la AEPD.

d) Categorías de Datos: Nombre y apellidos, DNI/CIF/Documento identificativo, dirección, firma y teléfono y puesto en entidad a la que representa.

e) Categoría destinatarios: No están previstas comunicaciones de datos.

f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.

g) Plazo supresión: Los datos de carácter personal se suprimirán una vez la campaña de verificación del cumplimiento hubiera concluido.

h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.

i) Entidad responsable: Agencia Española de Protección de Datos

3. Formación

a) Base jurídica: RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. Y RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

b) Fines del tratamiento: Gestión y control de las actividades formativas que organiza la AEPD en su función de promoción del derecho fundamental a la protección de datos: profesores, alumnos, alumnos en prácticas y asistentes a cursos de la Agencia.

c) Colectivo: Profesores y alumnos que participan en los cursos de formación de la AEPD.

d) Categorías de Datos: Nombre y apellidos, DNI/NIF/Documento identificativo, dirección, teléfono, imagen, firma. Detalles de empleo: entidad u organismo y puesto que ocupa. Datos académicos y profesionales: formación, titulaciones. Datos económico-financieros: datos bancarios.

e) Categoría destinatarios: Los datos de los profesores podrán aparecer reflejados en folletos o en la Web de la AEPD como parte de la divulgación de las actividades formativas. Los datos de los profesores de actividades remuneradas serán comunicados a las entidades financieras, Agencia Estatal de la Administración Tributaria,  Intervención General de la Administración del Estado, Tribunal de Cuentas.

f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.

g) Plazo supresión: Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación. Los datos de los profesores se conservarán para futuras acciones formativas, salvo que soliciten su supresión. En el caso de actividades remuneradas se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.

h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.

i) Entidad responsable: Agencia Española de Protección de Datos

4. Gestión de brechas de seguridad

a) Base jurídica: RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento y Ley 9/2014, de 9 de mayo, General de Telecomunicaciones

b) Fines del tratamiento: Gestión y evaluación de las brechas de seguridad notificadas por los responsables de tratamiento.

c) Colectivo: Personas físicas, incluidas las representantes de personas jurídicas.

d) Categorías de Datos: Nombre y apellidos, dirección, firma y teléfono y puesto en la entidad a la que representa.

e) Categoría destinatarios: Fuerzas y cuerpos de seguridad del Estado. Autoridades de control pertenecientes a la UE en el marco del desarrollo de las acciones conjuntas que se establecen el Título VII del RGPD. Equipos de respuesta ante emergencias informáticas (CERT) del Centro Criptológico Nacional y de los previstos en la Directiva 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.

g) Plazo supresión: Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.

h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.

i) Entidad responsable: Agencia Española de Protección de Datos.

5. Gestión de recursos humanos

a) Base jurídica: RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales y RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Asimismo, la Ley 30/1984, de 2 de agosto, de medidas para la reforma de la Función Pública, el Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba la Ley del Estatuto Básico del Empleado Público y el Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.

b) Fines del tratamiento: Gestión de personal, funcionario y laboral, destinado en la AEPD. Expediente personal. Control horario. Incompatibilidades. Formación. Planes de pensiones. Acción social. Prevención de riesgos laborales. Emisión de la nómina del personal de la Agencia, así como de todos los productos derivados de la misma. Gestión económica de la acción social y obtención de estudios estadísticos o monográficos destinados a la gestión económica del personal. Gestión de la actividad sindical en la AEPD.

c) Colectivo: Personal laboral y funcionario destinado en la AEPD y de sus familiares.

d) Categorías de Datos: Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, número de Seguridad Social/Mutualidad, dirección, firma y teléfono. Categorías especiales de datos: datos de salud (bajas por enfermedad, accidentes laborales y grado de discapacidad, sin inclusión de diagnósticos), afiliación sindical, a los exclusivos efectos del pagos de cuotas sindicales (en su caso), representante sindical (en su caso), justificantes de asistencia de propios y de terceros. Datos de características personales: Sexo, estado civil, nacionalidad, edad, fecha y lugar de nacimiento y datos familiares. Datos de circunstancias familiares: Fecha de alta y baja, licencias, permisos y autorizaciones. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Datos de detalle de empleo y carrera administrativa. Incompatibilidades.Datos de control de presencia: fecha/hora entrada y salida, motivo de ausencia. Datos económico-financieros: Datos económicos de nómina, créditos, préstamos, avales, deducciones impositivas baja de haberes correspondiente al puesto de trabajo anterior (en su caso), retenciones judiciales (en su caso), otras retenciones (en su caso). Datos bancarios. Otros datos: datos relativos a la acción social, datos sobre sanciones en materia de función pública.

e) Categoría destinatarios: Instituto Nacional de Administración Pública, Registro Central de Personal, Entidad a quien se encomiende la gestión en materia de riesgos laborales. Instituto Nacional de la Seguridad Social y mutualidades de funcionarios. Entidad gestora y depositaria del Plan de Pensiones de la Administración General del Estado. Tesorería General de la Seguridad Social. Dirección General de Costes de Personal y Pensiones Publicas. Colegios de Huérfanos. Organizaciones sindicales. Entidades financieras. Agencia Estatal de Administración Tributaria. Intervención General de la Administración del Estado y Tribunal de Cuentas.

f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.

g) Plazo supresión: Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.

Los datos económicos de esta actividad de tratamiento se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.

h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.

i) Entidad responsable: Agencia Española de Protección de Datos

6. Provisión de puestos de trabajo

a) Base jurídica: RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales y RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Asimismo, el Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba la Ley del Estatuto Básico del Empleado Público y el Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.

b) Fines del tratamiento: Selección de personal y provisión de puestos de trabajo mediante convocatorias públicas.

c) ColectivoCandidatos presentados a procedimientos de provisión de puestos de trabajo.

d) Categorías de Datos: Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, dirección, firma y teléfono. Categorías especiales de datos: datos de salud (discapacidades). Datos de características personales: Sexo, estado civil, nacionalidad, edad, fecha y lugar de nacimiento y datos familiares. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Datos de detalle de empleo y carrera administrativa.

e) Categoría destinatarios: Al Registro Central de Personal, la Dirección General de Función Pública y el Boletín Oficial de Estado.

f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.

g) Plazo supresión: Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.

h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.

i) Entidad responsable: Agencia Española de Protección de Datos

7. Registro de los delegados de protección de datos (DPD)

a) Base jurídica: RGPD: 6.1.e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

b) Fines del tratamiento: Gestión de notificaciones de delegados de protección de datos designados de acuerdo al artículo 37 del RGPD, que sirven de punto de contacto con la AEPD.

c) Colectivo: Delegados de protección de datos y de las personas de contacto cuando el delegado sea una persona jurídica y personas físicas que efectúan la notificación de los delegados de protección de datos a la AEPD.

d) Categorías de Datos: Personas que realizan la notificación y personas físicas delegados de protección de datos:Nombre y apellidos, DNI/CIF/Documento identificativo, dirección, firma y teléfono. El puesto en entidad a la que representa. Personas de contacto en el caso de que el Delegado de Protección de Datos sea una entidad jurídica privada o entidad pública: Nombre y apellidos, dirección, teléfono.

e) Categoría destinatarios: Publicación en la web de la AEPD y Autoridades de control pertenecientes a la UE en el marco del desarrollo de las acciones conjuntas que se establecen el Título VII del RGPD.

f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.

g) Plazo supresión: Cuando el cese como DPD de la entidad que representa haya sido comunicado y sus datos hayan dejado de ser necesarios para determinar responsabilidades en relación con su actuación profesional.

h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.

i) Entidad responsable: Agencia Española de Protección de Datos.

NOTA: A fecha de la publicación del presente artículo el link directo a la página web de la AEPD con toda la información sobre sus registros da error. No obstante, si estáis interesado en tener todo el registro que días atrás publicó la AEPD, no dudéis en escribirme y os lo proporcionaré todo completo encantada.

leer más