close

GDPR

GDPRProtección de Datos

Iconos Normalizados

material-design-icons_google

Si bien la LOPD y el RLOPD no dedican un artículo concreto a la regulación de los iconos normalizados, la AEPD en su documento “20 años de Protección de Datos[1] del año 2013, indica que uno de los principios básicos en materia de protección de datos es el de la claridad y comprensibilidad de la información destinada a los interesados, que puede incluir diferentes niveles de profundidad y recurrir también al uso de iconos que identifiquen los tipos de tratamiento de datos, sus condiciones y sus consecuencias. Asimismo, la AEPD añade que la información al interesado debe adecuarse a las posibilidades de éste para su comprensión en tanto que consumidor medio, o a los conocimientos y capacidades del segmento específico de usuarios a los que vaya dirigida; por ejemplo, en el caso de los menores.

Trasladándonos a las nuevas exigencias legales que el RGPD establece, se observa la inclusión de una serie de requisitos en relación con los mencionados iconos. En este sentido, el Considerando 60[2] determina en base a los principios de tratamiento leal y transparente, el responsable del tratamiento deberá facilitar al interesado toda la información complementaria que sea necesaria para garantizar dichos principios teniendo en cuenta las circunstancias y el contexto específico en que se traten los datos personales. Asimismo, indica el presente Considerando, que dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Asimismo, cuando los iconos se presenten en formato electrónico deberán ser legibles mecánicamente.

Siguiendo con lo dispuesto en el RGPD, el artículo 12[3], relativo al principio de transparencia de la información, en su apartado 7 indica que la información que se facilita al interesado cuando se obtengan sus datos por él mismo o a través de terceros, podrá transmitirse mediante iconos normalizados. Ahora bien, con la condición de que los mismos, tal y como indica el Considerando 60, mencionado anteriormente, sean fácilmente visible, inteligibles y claramente legibles a fin de garantizar que el interesado tenga una visión adecuada del tratamiento que se llevará a cabo con sus datos. Asimismo, tanto el apartado 8[4] del mismo artículo 12, como el Considerando 166[5], establecen la facultad de la Comisión para adoptar actos delegados que especifiquen con más detalle la información que se ha de presentar mediante iconos normalizados, así como los procedimientos que se deberán llevar a cabo para proporcionar dichos iconos.

Por otro lado, cabe mencionar que la AEPD se ha pronunciado en su “Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento[6] sobre la utilización de los iconos estandarizados. En este sentido, la AEPD indica que se podrá combinar la información que se da a los interesados con distintos iconos estandarizados, siempre y cuando ofrezcan una “visión de conjunto del tratamiento previsto”.

Además, la autoridad de control de Reino Unido, ICO (Information Commissioner’s Office), en su guía “Privacy notices, transparency and control. A code of practice on communicating privacy information to individuals[7] establece que se podrán utilizar iconos y símbolos cuando se informe por capas a los clientes. Esta autoridad, entiende que podrá aparecer un icono que indique o signifique que la información será utilizada para fines relacionados con actividades de marketing, una vez el usuario haya incorporado su dirección de correo electrónico. Asimismo, se podrá utilizar un icono para que cuando el interesado ponga encima del icono el cursor del ordenador, el icono indique “marketing” y si el usuario desea obtener más información deberá clicar sobre dicho icono.

La mencionada guía también establece que los iconos deberán ser claros y limitados, es decir, cuantos más iconos aparezcan más difícil será para el interesado entender el significado de los mismos. En este sentido, se recomienda realizar pruebas con los usuarios para ver si los iconos que se pretenden utilizar permiten una comprensión fácil y clara por parte del usuario. Así pues, se aconseja incorporar pocos iconos pero entendibles, en vez de muchos iconos difíciles de comprender.

Por lo tanto, de todo lo anterior se concluye que si bien, por un lado, será posible la utilización de iconos normalizados siempre y cuando cumplan los requerimientos legales mencionados del RGPD, entendemos que dicha utilización deberá ser desarrollada de una manera más pormenorizada con el fin de cumplir el objetivo perseguido que no es otro que el de facilitar al usuario, a través de mensajes más cortos y visuales, el entendimiento del tratamiento concreto de sus datos personales

[1] Agencia Española de Protección de Datos.”20 años de Protección de Datos”. La Agencia Española de Protección de Datos permite a los responsables del tratamiento de datos recurrir a la utilización de iconos normalizados para cumplir con el deber de información, siempre que dichos iconos identifiquen fácilmente los tipos de tratamientos de datos que se llevarán a cabo. https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/monografias/20_anos_Proteccion_Datos_Espana.pdf

[2] Considerando 60 del RGPD: “Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específico en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente”.

[3] El artículo 12.7 del RGPD permite que la información que deba facilitarse a los interesados se pueda transmitir mediante la combinación de iconos normalizados que permitan proporcionar de “forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto”. Asimismo, los iconos que se presenten en formato electrónico deberán ser legibles mecánicamente.

[4] Añade el apartado 8 del artículo 12 del RGPD que la Comisión estará facultada para adoptar actos delegados de conformidad a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados.

[5] Considerando 166 del RGPD: “A fin de cumplir los objetivos del presente Reglamento, a saber, proteger los derechos y las libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, y garantizar la libre circulación de los datos personales en la Unión, debe delegarse en la Comisión el poder de adoptar actos de conformidad con el artículo 290 del TFUE. En particular, deben adoptarse actos delegados en relación con los criterios y requisitos para los mecanismos de certificación, la información que debe presentarse mediante iconos normalizados y los procedimientos para proporcionar dichos iconos. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos. Al preparar y redactar los actos delegados, la Comisión debe garantizar la transmisión simultánea, oportuna y apropiada de los documentos pertinentes al Parlamento Europeo y al Consejo”.

[6] http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

[7] https://ico.org.uk/media/for-organisations/guide-to-data-protection/privacy-notices-transparency-and-control-1-0.pdf

leer más
GDPRInterés LegítimoProtección de Datos

Ficheros relativos al cumplimiento de obligaciones dinerarias en el extranjero

solvencia-estado

Al informar a los interesados ¿Es posible la inclusión genérica de la mención a ficheros relativos al cumplimiento de obligaciones dinerarias y que esta mención se entienda extendida a dichos ficheros aunque se encuentren establecidos en el extranjero? ¿Se requiere consentimiento expreso del cliente para la inclusión de sus datos en el fichero de morosidad extranjero? ¿Se podría basar la inclusión de los datos personales en los ficheros de morosidad extranjeros en el interés legítimo?

Para dar una respuesta en vistas al cumplimiento con el nuevo Reglamento General de Protección de Datos, es necesario hacer previamente una distinción. Así, la respuesta será distinta si la cesión de los datos sobre incumplimiento de obligaciones dinerarias se hace a países dentro del Espacio Económico Europeo (“EEE”) o países localizados fuera de los mismos. En este último caso, tratándose de una transferencia internacional, hay que hacer una segunda diferenciación, a saber, si dicha transferencia se realiza a un país que goza de una Decisión de Adecuación o mediante garantías adecuadas, o si por el contrario no concurren ni la existencia de una Decisión de Adecuación ni de garantías adecuadas.

En cuanto a la primera distinción:

A) Si la inclusión (cesión) de los datos sobre incumplimiento de obligaciones dinerarias se realizase en ficheros localizados dentro del EEE, estaríamos dentro de la definición de cesión de datos. En este caso, el tratamiento está legitimado por una habilitación legal específica, en concreto el artículo 29.2 de la LOPD, siempre y cuando se cumplan todos los requisitos de información y de operativa previstos en dicho artículo. Es decir, deberá notificarse a los interesados, en un plazo de 30 días, desde que se realice el registro un referencia a los datos incluidos y la información de su derecho a recabar información de la totalidad de esos ficheros.

Asimismo, conforme al artículo 5 de la LOPD, se debería informar con detalle de los cesionarios de dicha información, y en el caso que dichos cesionarios se encuentren establecidos en países de la UE, fuera de España, entendemos que es conveniente recoger los concretos destinatarios, o al menos la actividad de dichas compañías, junto con los países donde realizan dicha actividad.

En cualquier caso, los ficheros de morosos establecidos en estos países tendrán que cumplir con una serie de requisitos a nivel local y, el hecho de incluir información en dichos ficheros, puede traer consigo tener que cumplir con obligaciones adicionales que establezca la propia normativa local.

El Reglamento General de Protección de Datos no contiene regulación alguna sobre ficheros de solvencia patrimonial. Aunque quepa esperar que la situación no sufra importantes cambios, dado que la habilitación legal específica para este tipo de tratamiento tiene como trasfondo el “interés legítimo de preservación y estabilidad del sistema financiero”, tal y como apunta el Grupo de Trabajo del Artículo 29 en su documento sobre las listas negras, habrá que esperar al texto definitivo que recoja nuestra modificación legislativa. En cualquier caso, siempre ha de ser tenido en consideración que el interés legítimo ha de ser ponderado con los derechos de los interesados, y especialmente en casos como este en que el tratamiento de los datos “implica efectos adversos y perjudiciales para las personas incluidas en las [listas]” según el Grupo de Trabajo del Artículo 29.

B) Si la inclusión se realiza en ficheros localizados fuera del EEE, se trataría de una transferencia internacional, de modo que habría que hacer otra distinción:

    • Si la transferencia se realiza a un Estado que no disfruta de una Decisión de Adecuación o dicha transferencia no se lleva a cabo ofreciendo garantías adecuadas de acuerdo con el artículo 46 del Reglamento, será necesario el consentimiento explícito del interesado, que habrá debido ser informado de los riesgos de la ausencia de una Decisión de Adecuación y de garantías adecuadas. No cabe la posibilidad de articular el interés legítimo para justificar transferencias internacionales sin la adopción de garantías adecuadas.
    • Si la transferencia se realiza a un Estado que disfruta de una Decisión de Adecuación o la transferencia se lleva a cabo mediante garantías adecuadas, habría que tener en cuenta los requisitos recogidos en el punto A.
leer más
GDPRInterés LegítimoProtección de Datos

Scoring: análisis de la solvencia del cliente para ofrecerle una posterior financiación

no thumb

En su Informe 195/2017, la Agencia Española de Protección de Datos (AEPD) responde – entre otras- a una consulta planteada por la Asociación Española de Banca (AEB) que versa sobre de la legitimación de los tratamientos de datos de carácter personal consistentes en la realización del análisis de la solvencia de un cliente con la finalidad de ofrecerle financiación.

La AEB se refiere en este supuesto al tratamiento de datos identificativos del cliente, así como de datos de relacionados con la solvencia o el riesgo, llevándose a cabo un perfilado.

En la consulta planteada, la AEB solicita a la AEPD que tenga en consideración que para conceder financiación las entidades bancarias han de realizar necesariamente y con carácter previo un análisis de la solvencia del cliente, en línea con lo previsto en la legislación sectorial y sus propias políticas de riesgo.

Asimismo, la AEB entiende que cuando sea la propia entidad la que por iniciativa propia ofrezca la financiación al cliente, ésta debería poder ampararse en su interés legítimo, habida cuenta que este tipo de acción puede aportar un enorme beneficio a los clientes, quienes son en último término los que deciden voluntariamente si acceden o no al producto o servicio ofertado.

Dando respuesta a la mencionada consulta, la AEPD considera que resulta preciso distinguir los dos siguientes supuestos:

  • Análisis llevado a cabo para valorar la solvencia del cliente que solicita un producto de financiación (p.ej., la concesión de un préstamo o crédito) para determinar el riesgo que puede generar el mismo y decidir sobre la conclusión o no del contrato.

Este tratamiento vendría legitimado atendiendo a la ejecución de contrato (artículo 6.1.b del RGPD), en conexión con normativa sectorial que eventualmente imponga el deber de recabar información necesaria para la valoración del riesgo.

Además, en este caso, la legitimación sería la misma, independientemente de que la información utilizada para llevar a cabo el análisis de solvencia proviniese de fuentes meramente internas, o también de fuentes externas a las entidades bancarias.

Enlazando con lo anterior, es necesario indicar que en el caso de la consulta de los ficheros de solvencia patrimonial y de crédito, la protección de los intereses económicos del cliente debe también conjugarse con el derecho fundamental a la protección de datos personales. Dado que la información relativa al cumplimiento o incumplimiento de obligaciones dinerarias facilitadas por el acreedor o por quien actúe por su cuenta o interés tendrá la consideración de dato de carácter personal, se debe tener en cuenta que nuestro ordenamiento jurídico impone ciertas limitaciones en cuanto al tratamiento de esta tipología de dato de carácter personal.

Así, el aún vigente -a fecha de emisión del presente informe- artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) establece que quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y crediticia, sólo podrán tratar datos de carácter personal procedentes de los registros y fuentes accesibles al público establecido para tal uso o aquellos datos obtenidos de informaciones facilitadas por el interesado o con su consentimiento. De esta manera, queda establecido en el artículo 38.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD que sólo se podrá acceder y disponer de datos relativos a la solvencia del cliente, para proceder a su análisis, en los casos en los que se cumplan los siguientes requisitos:

  1. La existencia previa de una deuda cierta, vencida y exigible.
  2. El impago de ésta.
  3. La no reclamación de la deuda por vía judicial, arbitral o administrativa.
  4. Que no hayan transcurrido seis años desde la fecha en que estaba fijado el pago de la deuda o el vencimiento de la obligación o del plazo concreto si se tratara de una obligación periódica.
  5. La realización de un requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

Asimismo, cabe indicar que el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal regula las posibles habilitaciones legales para el tratamiento de datos personales fundadas en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el GDPR, cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá determinar las condiciones generales del tratamiento.

Ahora bien, de conformidad con el GDPR, a pesar de no tener que recabar el consentimiento, las entidades bancarias deberán facilitar la siguiente información a los interesados:

  1. Información significativa sobre la lógica aplicada.
  2. La importancia y las consecuencias de su negativa a la realización del scoring, que puede suponer que la entidad no pueda proceder con la concesión del crédito o la prestación del servicio.Asimismo, la entidad bancaria deberá adoptar siempre medidas adecuadas para salvaguardar los derechos e intereses legítimos del interesado.
  • Análisis llevado a cabo sin que el cliente haya solicitado producto de financiación, empleado para ofrecerle un producto no solicitado (p.ej., la “preconcesión” de un crédito).

Cuando el perfilado se lleva a cabo con información distinta de la derivada de la relación del cliente con la entidad (información de fuentes externas), se requerirá el consentimiento del interesado.

Cuando el perfilado se lleva a cabo exclusivamente con información propia de la entidad, aplicará el interés legítimo dado que se puede entender que el interesado tiene una expectativa razonable de que la contratación de un producto o servicio de implicará un seguimiento posterior de los mismos con el fin de determinar si pueden o no ser potenciales beneficiarios de otras ofertas de productos o servicios de la entidad. En este supuesto, se habrá de informar al interesado de que se va a llevar a cabo este perfilado no bastando únicamente con informarle sobre la remisión de publicidad y se le deberá dar la oportunidad de oponerse al mismo.

 

leer más
GDPRInterés LegítimoProtección de Datos

Actividades de marketing directo amparadas en interés legítimo

merca-798×350

El Considerando 47 del RGPD establece que el tratamiento de datos personales con fines de mercadotecnia directa podrá considerarse realizado atendiendo al interés legítimo del responsable del tratamiento. Por lo tanto, con carácter preliminar resulta necesario definir el concepto de marketing directo o mercadotecnia directa.

Según se puede extraer del Dictamen 6/2014 del Grupo de Trabajo del Artículo 29 (en adelante, el “GT Art. 29”) sobre el concepto de Interés legítimo, por “marketing directo” debe entenderse la realización de actividades convencionales de marketing dirigidas indistintamente a una pluralidad de clientes, distintas del marketing comportamental basado en técnicas de monitorización como las cookies o de perfilamiento. En concreto, el GT Art. 29 menciona:

  • Las campañas de marketing diseñadas para el contexto tradicional del correo postal.
  • Los sistemas de llamadas automáticos, fax, SMS y e-mail.

 

Por otra parte, la Agencia Española de Protección de Datos (en adelante, la “AEPD”) en su Informe Jurídico 195/2017 – mediante el que dio respuesta a una serie de consultas relacionadas con el RGPD planteadas por la Asociación Española de Banca (en adelante, la “AEB”) – indica que en el caso de la mercadotecnia directa, las acciones comerciales tienen lugar sobre la información general facilitada por el cliente, de modo que no se produce su segmentación basada en la realización de un perfilado.

Pues bien, una vez indicado qué debe entenderse por mercadotecnia directa, a la hora de interpretar el Considerando 47 y dado que éste no viene desarrollado por el articulado del RGPD, debemos remitirnos de nuevo al Informe Jurídico 195/2017 de la AEPD. En dicho Informe, la AEPD analiza específicamente, entre otros, cómo debe entenderse en la práctica la aplicación del Considerando 47 del RGPD. En concreto, la AEPD lo vincula con lo previsto en el artículo 21.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, la “LSSI”):

“[…] exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita lo datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

Así pues, para poder entender que un tratamiento de mercadotecnia directa efectuado por el Banco puede ampararse en un interés legítimo, tendrían que concurrir las siguientes circunstancias:

(1) La comunicación ha de versar sobre productos y/o servicios similares

La LSSI no define dicha referencia ni tampoco ofrece un criterio inequívoco para la determinación de la “similitud” entre productos y servicios. No obstante, el Informe 195/2017 de la AEPD recoge lo siguiente en su apartado IV:

“[…] será preciso que se haga una interpretación razonable de lo que debe ser considerado como un producto o servicio similar al previamente contratado por el cliente, de forma que la habilitación que podría ampararse en la regla a la que se está haciendo referencia debería igualmente vincularse con la naturaleza de los productos y servicios previamente contratados, no extendiéndose a aquéllos respecto de los que no pueda aplicarse una identificación lógica basada en la expectativa razonable del cliente.

De este modo, no cabría duda de que sería posible la oferta de otros productos relacionados con el ahorro o el crédito, pero sería necesario establecer ya un primer análisis restrictivo cuando la acción de publicidad se refiriese a servicios que pudieran encajar en el concepto amplio de “servicios financieros”, como sucedería en el caso de los seguros. […]”

(2) La comunicación ha de versar sobre productos/servicios de la propia empresa

De nuevo, la LSSI no define dicha referencia, pero el Informe 195/2017 de la AEPD recoge lo siguiente:

“[…] Finalmente, la ponderación a la que estamos haciendo referencia no operaría cuando se tratase de publicidad u oferta de productos o servicios que no guardan relación con la actividad de la entidad, sino que la acción publicitaria deriva de la existencia de un determinado acuerdo con el anunciante al que se refiriese la publicidad o afectase a productos o servicios no financieros pero ofrecidos por empresas del grupo o participadas por la entidad.

Por otra parte, la ponderación que acaba de realizarse sería aplicable a los supuestos en que el interesado mantuviera una relación con la entidad, sin afectar a aquéllos en que el cliente hubiese cesado en esa relación.

[…] Sin embargo, esta conclusión no puede predicarse de aquellos supuestos en que el afectado ha decidido voluntariamente cesar en la relación con la entidad, bien por haber resuelto sobre la base de su propia decisión la relación con aquélla, bien por el hecho de haberse cumplido plenamente dicha relación sin que el afectado haya manifestado su voluntad de contratar nuevos productos o servicios de la entidad. En este caso, sin perjuicio de que pueda apreciarse un interés legítimo de la entidad en llevar a cabo la oferta de esos productos o servicios, no cabría considerar que exista una expectativa razonable en quien ya no es cliente de una entidad o lo ha sido eventualmente de seguir recibiendo las ofertas de productos o servicios de esa entidad a menos que manifieste su negativa a ello.”

 

leer más
GDPRProtección de Datos

Mapa de Riesgos en Materia de Protección de Datos

Security-Leak-Word-Cloud

En algunos casos es necesario que, antes de empezar a realizar ciertos tratamientos de datos, se realice un análisis de riesgos para valorar si dichos tratamientos pueden tener consecuencias negativas para los derechos y libertades de las personas. De esta manera, mediante el análisis de riesgos podremos llevar a cabo una valoración objetiva y decidir las medidas que se pueden utilizar para mitigar los posibles efectos negativos.

El análisis de riesgos forma parte del principio de responsabilidad proactiva de los responsables, con el fin de poder demostrar la licitud de los tratamientos particularizada a sus circunstancias específicas. Es decir, permite elaborar un mapa de riesgos y salvaguardas adecuados a cada tratamiento.

¿Cuáles son los pasos para la mitigación?

  • Determinar las medidas de seguridad técnica y organizativa para proteger los datos personales.
  • La protección de datos desde el diseño y por defecto.
  • Las evaluaciones de impacto.

En la práctica, el análisis de riesgos es un estudio metódico y sistemático para cuantificar el grado de riesgo. Para llevar a cabo este estudio es necesario utilizar una metodología que nos ayudará a trazar los niveles de riesgo aceptables en cada caso. Estas metodologías pueden venir del sector corporativo, del mundo normativo (ISO) o de las propias Administraciones. En este sentido, cabe indicar que existen en el mercado estándares y normas que pueden ser tenidas en cuenta para la realización de análisis de riesgos, por ejemplo las normas ISO 31OOO y 31010 para el análisis y la gestión del riesgo o la norma ISO 27005 para los riesgos de la seguridad de la información.

La suma de los posibles riesgos de una organización constituye su mapa de riesgos. Cada tratamiento de datos personales y cada organización tendrán su propio mapa, ya que el mismo tratamiento puede tener diferente mapa en función de la organización o el espacio físico en el que tenga lugar.

El catálogo o mapa de riesgos debe de estar actualizado con los cambios y experiencias de la organización. A cada riesgo, siempre que sea posible, se le asociará al menos una salvaguarda y, por lo tanto, existirá un mapa de riesgos y otro de salvaguardas.

¿Qué aspectos hay que tener en cuenta para preparar un mapa de riesgos/salvaguardas?

  • Estructurar el análisis de riesgos dentro de una organización.
  • Gestionar el riesgo en línea con los objetivos que se hubieran planteado en la fase anterior. Es decir, valorar si tras la gestión del riesgo el valor residual es aceptable y por lo tanto se encuentra dentro de los objetivos del marco de trabajo.
  • Mejorar el diseño del marco de trabajo en base a los resultados.

En conclusión, las principales fases para implementar una política de riesgos son:

  • COMUNICACIÓN: involucrar a toda la organización, identificar riesgos y probabilidades de que los mismos se materialicen, establecer prioridades y objetivos, concienciación y formación del personal.
  • CONTEXTO: definir el marco en el que se desarrolla la política de análisis de riesgos teniendo en cuenta normativas aplicables, riesgos aceptables y el mapa de elementos implicados en los tratamientos de datos personales (activos).
  • IDENTIFICAR RIESGOS: elaboración del mapa de riesgos de la organización, cuantificar posibles daños.
  • ANALIZAR Y EVALUAR EL RIESGO: mediante escalas cuantitativas o cualitativas se establecen valores objetivos para cada riesgo.
  • GESTIONAR EL RIESGO: determinar para cada riesgo las salvaguardas aplicables teniendo en cuenta la relación costo-beneficio que pueda existir en cada caso.
  • SEGUIMIENTO DEL RIESGO: auditorías, informes, incorporación de activos, en general cualquier cambio que implique una modificación del riesgo y sus salvaguardas correspondientes.

 

leer más
GDPR

El Gobierno aprueba el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal

data_protection

El Consejo de Ministros ha aprobado el Proyecto de Ley Orgánica de Protección de Datos que adaptará nuestra legislación a las disposiciones del Reglamento UE 2016/679, introduciendo novedades y mejoras en la regulación de este derecho fundamental en nuestro país. A continuación, se destacan las principales observaciones:

  1. Se adelanta a los 13 años la edad de consentimiento para el tratamiento de datos en consonancia con la normativa de otros países de nuestro entorno.
  2. Se tomará en cuenta el tratamiento de los datos correspondientes a personas fallecidas en base a la solicitud de sus herederos.
  3. Se excluye la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado y se recoge manifiestamente el deber de confidencialidad.
  4. En caso de una inexactitud en los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable de su tratamiento si éste ha adoptado todas las medidas razonables para su rectificación o supresión.
  5. Se incorpora el principio de transparencia en cuanto al derecho de los afectados a ser informados sobre dicho tratamiento y contempla de forma expresa los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición.
  6. Se mantiene la prohibición de almacenar datos de especial protección, como ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias. En estas categorías, el solo consentimiento del interesado no basta para dar viabilidad al tratamiento.
  7. Se introduce algunos supuestos en los que el legislador contempla como presunción, la prevalencia del interés legítimo del responsable del tratamiento de los datos en cumplimiento de determinados requisitos, como en el caso de los sistemas de información crediticia.
  8. Se regula situaciones en las que se aprecia la existencia de interés público, como los relacionados con la videovigilancia y sistemas de exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado.
  9. Se destaca la potenciación de la figura del delegado de protección de datos, persona física o jurídica cuya designación ha de ser comunicada a la autoridad competente, que mantendrá relación con la Agencia Española de Protección de Datos (AEPD).
  10. La AEPD se configura como autoridad administrativa independiente cuyas relaciones con el Gobierno se realizan a través del Ministerio de Justicia. Se establece la necesaria cooperación y coordinación con las correspondientes autoridades autonómicas de protección de datos.
  11. Se promueve la existencia de mecanismos de autorregulación tanto en el sector público como en el privado e introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes (como la AEPD) para la exigencia de posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para encubrir el incumplimiento.
leer más
GDPR

Delegado de Protección de Datos

retos-cumplimiento-ante-la-reciente-aprobacion-del-Reglamento-Europeo-de-Proteccion-de-datos-min

A continuación recojo las consideraciones que establece el Grupo de Trabajo del Artículo 29 acerca de la figura del DPO, en sus Directrices adoptadas el 13 de diciembre de 2016 y revisadas por última vez el 5 de abril de 2017:

Identificación de tratamiento de datos a gran escala: el Grupo de Trabajo establece unas pautas a la hora de considerar que se está llevando a cabo un tratamiento de datos a gran escala:

  • El número de sujetos interesados afectados,
  • el volumen de datos o el rango de tipos de datos diferentes que se traten,
  • la duración o continuidad del tratamiento y
  • extensión geográfica del tratamiento.

Noción de monitorización “regular y sistemática” relativa a la elaboración de perfiles y a la trazabilidad de los interesados en Internet: en la guía se establece que se considerará como regular y sistemática toda observación que se lleve a cabo de forma recurrente tanto en ciertos momentos puntuales como de forma periódica así como si dicho control forma parte de una estrategia de negocio o en el marco de un plan de recogida de datos predeterminada.

Competencias profesionales y nivel de experiencia exigibles al DPO: el DPO debe contar con requisitos competenciales específicos entre los cuales se encuentran (i) conocimientos especializados en Derecho y, en particular, un nivel alto de experiencia probada en materia de protección de datos, (ii) la capacidad para desempeñar las funciones exigibles al DPO por parte del GDPR (principios del tratamiento de datos, derechos de los sujetos interesados, “Privacy by Default and by Design”, notificación de incidentes de seguridad, etc.), (iii) la independencia y transparencia en el ejercicio de sus funciones y (iv) la capacidad de reportar a la Alta Dirección de la compañía. Por el momento no se considera necesaria ningún tipo de certificación pero en todo caso se deberá contar con las aptitudes detalladas anteriormente. No obstante, el Grupo de Trabajo recomienda a las Autoridades de control de los Estados Miembros que promuevan cursos de formación especializada para DPOs. 

Funciones del DPO: entre las principales funciones que atribuye el GDPR a la figura del DPO, el Grupo de Trabajo del Artículo 29 destaca (i) la de monitorizar y controlar el cumplimiento de la compañía de lo dispuesto en el GDPR, (ii) el rol fundamental de éste en la realización de Evaluaciones de Impacto relativas a la protección de datos (PIAs), (iii) la de identificar y analizar los riesgos asociados a las operaciones de tratamiento de datos por la naturaleza, alcance, contexto y finalidades de éstas y (iv) la de apoyar al Responsable o Encargado en la creación y llevanza de un registro actualizado de los tratamientos de datos que la realice la compañía. 

Recursos necesarios para que el DPO pueda desempeñar sus funciones: tras el nombramiento del DPO la compañía debe facilitar el desempeño de sus funciones garantizando, entre otros aspectos, que: (i) el DPO participe y aporte su asesoramiento en todas las cuestiones relativas a protección de datos que lleve a cabo la compañía,(ii) que se dote de carácter vinculante a las recomendaciones del DPO y (iii) que se notifique de forma inmediata al DPO en caso de que se produzca un incidente de seguridad.

Asimismo, conforme a lo establecido en el artículo 37 de GDPR, el Responsable o Encargado de tratamiento podrá optar entre otras opciones, por externalizar las funciones relativas al DPO y que estas sean asumidas por una empresa especializada externa, así como por nombrar un DPO interno que sea empleado de la compañía y que éste a su vez cuente con el apoyo de una oficina técnica de funciones de DPO que asuma una empresa especializada externa a la compañía.

leer más
GDPR

Novedades LOPD- Anteproyecto de ley orgánica

leyes-min

El pasado 24 de junio, el Consejo de Ministros recibió por parte del Ministerio de Justicia el Anteproyecto de Ley Orgánica de Protección de datos de Carácter Personal. Si bien la Disposición final séptima del mencionado Anteproyecto indica que la ley orgánica entrará en vigor el 25 de mayo de 2018, podemos empezar a deducir cómo se aplicará el GDPR (General Data Protection Regulation), es decir, el nuevo Reglamento europeo en materia de protección de datos, en España.

A continuación señalo los aspectos más relevantes y novedosos que nos ofrece el Anteproyecto:

Se incluye en el ámbito de la protección de datos el tratamiento de los datos de personas fallecidas por parte de sus herederos. No obstante, se deberá tener en cuenta que, en caso de que la persona fallecida hubiese prohibido de manera expresa el acceso a sus datos, el heredero no tendrá derecho a ello.

Se excluye, tal y como ya íbamos apreciando en el GDPR,  el “consentimiento tácito”. Es decir, el consentimiento deberá ser expreso y afirmativo, ya sea mediante una declaración o una acción.

Se da por válida la presunción de exactitud y actualización de los datos personales que sean obtenidos directamente del interesado.

En relación con los menores, el tratamiento de los datos de los mismos solamente se podrá basar en su consentimiento cuando el menor sea mayor de trece años y no de catorce como venía siendo hasta el momento.

Se regulan nuevos aspectos, que si bien ya conocíamos, la actual LOPD no contemplaba o no lo hacía con tanta exactitud. Dichos aspectos son:

  • Los sistemas de información crediticia
  • Tratamientos con fines de videovigilancia
  • Los sistemas de exclusión publicitaria
  • La función estadística pública
  • Tratamientos relacionados con ciertas operaciones mercantiles
  • Las denuncias internas en el sector privado

Respecto a los derechos de los interesados, se regulan los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad. En concreto, sobre el bloqueo de los datos, se indica que los datos bloqueados quedarán a disposición exclusiva de: (i) el tribunal, (ii) el Ministerio Fiscal, (iii) Administraciones Públicas competentes y (iv) autoridades de protección de datos.

En el siguiente enlace podréis encontrar el Anteproyecto de Ley:

http://diariolaley.laley.es/Content/Documento.aspx?params=H4sIAAAAAAAEAFXMsQrCMBAG4LfJfI3SuNzUuDpll2vvDwTDRVJb6NuLi9D94yuq_LgT0XC5-nALbkdfSzP2NAQa_eisKVKceDNFLgb9kZKP2JZ0vMFZ6gqHubXXaXr-h6VCepQPJqkwlc6pb_gCXYZF-HoAAAA=WKE

leer más