close

Privacidad

Encargado del TratamientoPrivacidadProtección de DatosReglamento de Protección de DatosResponsable del Tratamiento

Diferencias entre responsables, corresponsables y encargados del tratamiento

wHAT-IS-THE-DIFFERENCE-BETWEEN-gdpr-Data-Controller-and-Data-Processor2

Es cierto que en entender si nuestra organización actúa como responsable o encargado del tratamiento es esencial para entender las obligaciones a las que la misma está sujeta. Asimismo, es necesario tener en cuenta que las autoridades de control en materia de protección de datos (por ejemplo, la AEPD en España, CNIL en Francia o ICO en el Reino Unido) pueden llevar a cabo acciones en contra de ambas figuras, es decir de los responsables y de los encargados del tratamiento de los datos personales.

La autoridad de control inglesa ICO, ha publicado recientemente una lista de variables que pueden ayudar a determinar si nuestra organización asume el rol de responsable, corresponsable o encargado del tratamiento. A continuación, se detallan las mencionadas variables.

¿Somos el responsable del tratamiento?

☐ Decidimos obtener y tratar los datos personales.

☐ Decidimos cuál es la finalidad del tratamiento.

☐ Decidimos qué datos personales se deben obtener.

☐ Decidimos sobre qué personas recoger los datos personales.

☐ Obtenemos una ganancia comercial u otro beneficio gracias al tratamiento de los datos.

☐ Tratamos los datos personales como resultado de un contrato entre nuestra organización y los interesados (entendiendo interesados como los sujetos de los que se obtienen los datos personales).

☐ Los interesados son nuestros empleados.

☐ Tomamos decisiones sobre las personas afectadas como parte del tratamiento o como resultado del mismo.

☐ Ejercemos nuestro criterio profesional en el tratamiento de los datos personales.

☐ Tenemos una relación directa con los interesados.

☐ Tenemos total autonomía en el tratamiento de los datos personales.

☐ Hemos designado a los encargados del tratamiento para que traten los datos personales en nuestro nombre.

¿Somos corresponsables del tratamiento?

☐ Tenemos un objetivo común con otros en cuanto al tratamiento.

☐ Estamos tratando los datos personales con la misma finalidad que otro responsable del tratamiento.

☐ Para este tratamiento utilizamos el mismo conjunto de datos personales (por ejemplo, una base de datos) que otro responsable del tratamiento.

☐ Hemos diseñado la actividad o el tratamiento de datos personales con otro responsable del tratamiento.

☐ Tenemos reglas comunes de gestión de la información / datos personales con otro responsable.

¿Somos el encargado del tratamiento?

☐ Seguimos las instrucciones de un tercero, normalmente este tercero será otra organización, en relación con el tratamiento de datos personales.

☐ Un cliente o un tercero similar nos ha facilitado los datos personales, o nos ha indicado qué datos debemos recopilar.

☐ No decidimos obtener datos personales de particulares.

☐ No decidimos qué datos personales deben ser obtenidos de los individuos.

☐ No decidimos la base legal para el tratamiento de esos datos.

☐ No decidimos para qué finalidad se utilizarán los datos.

☐ No decidimos si revelamos los datos, o a quién.

☐ No decidimos cuánto tiempo conservaremos los datos.

☐ Podemos tomar algunas decisiones sobre cómo se tratan los datos, pero estas decisiones deben estar cubiertas bajo un contrato con otra organización.

☐ No nos interesa el resultado final del tratamiento.

Así pues, podemos resumir las características principales de cada uno de los tres roles o categorías analizadas anteriormente.

  • Los responsables del tratamiento son los principales responsables de la toma de decisiones: ejercen un control global sobre los fines y medios del tratamiento de datos personales.
  • Si dos o más responsables del tratamiento determinan conjuntamente los fines y medios del tratamiento de los mismos datos personales, son corresponsables del tratamiento. Sin embargo, no son corresponsables si tratan los mismos datos para fines diferentes.
  • Los encargados del tratamiento actúan en nombre del responsable correspondiente y sólo bajo sus instrucciones.

Finalmente, no hay que olvidar que una misma organización puede actuar al mismo tiempo tanto de responsable como de encargado del tratamiento, en función de sus relaciones con terceros y de la gestión que realiza de los datos personales.

leer más
BrexitICOPrivacidadProtección de DatosRGPDTransferencias Internacionales

Brexit y RGPD: Alcance e Impacto

bigstock-brexit-blue-european-union-eu-129138920

El Reglamento General de Protección de Datos (RGPD) tiene efecto extraterritorial, por lo que también se ven afectados los países no pertenecientes a la Unión Europea (UE). A pesar de que el Reino Unido tiene previsto abandonar la UE, el Reino Unido tendrá que cumplir con el RGPD. Una de las razones es el período de transición entre la entrada en vigor del RGPD y la salida del Reino Unido de la UE. El Reino Unido tendrá que cumplir con el Reglamento mientras siga formando parte de la UE. Asimismo, las empresas británicas que continúen haciendo negocios con la UE después de Brexit tendrán que cumplir con el Reglamento para evitar infracciones.

Estas últimas semanas se ha hablado mucho del objetivo de llegar a un acuerdo entre el Reino Unido y la UE con el fin de garantizar que las empresas y los particulares salgan de ella lo más fácilmente posible, y dar tiempo a las dos partes para que establezcan una relación comercial permanente. Pero,  ¿qué pasa si no hay acuerdo? ¿Cómo impacta el no-acuerdo en la protección de datos? Pues bien, el RGPD es un Reglamento de la UE y, en principio, ya no se aplicará al Reino Unido si éste se va de la UE sin un acuerdo. Sin embargo, si las empresas operan dentro del Reino Unido, tendrán que cumplir con la ley de protección de datos del Reino Unido. El gobierno británico tiene la intención de incorporar el RGPD a la ley de protección de datos del Reino Unido cuando se haya salido de la UE, por lo que en la práctica habrá pocos cambios en los principios, derechos y obligaciones básicas de protección de datos que se encuentran en el RGPD.

El ICO, la autoridad inglesa de Protección de Datos,  no será el regulador de ninguna actividad específica europea contemplada por la versión de la UE del RGPD. Sin embargo, ya ha publicado que el gobierno inglés ha comunicado que las transferencias de datos del Reino Unido al Espacio Económico Europeo (EEE) no estarán restringidas. Sin embargo, si no hay acuerdo con la UE, las normas de transferencia del RGPD se aplicarán a cualquier dato procedente del EEE al Reino Unido, por lo que se deberá considerar qué salvaguardias pueden o deben establecerse para garantizar que los datos puedan seguir fluyendo hacia el Reino Unido.

A continuación, indicaré algunas de las recomendaciones que el ICO ha publicado en relación con las transferencias internacionales de datos:

1. Transferencias de Datos Personales de países del EEE al Reino Unido

Si la empresa inglesa recibe datos de organizaciones del EEE, el remitente deberá cumplir con las disposiciones sobre transferencias del régimen de la UE. Esto significa que el remitente debe asegurarse de que existen las salvaguardias adecuadas, o de que se aplican las excepciones enumeradas en el RGPD.

Si, finalmente, el Reino Unido y la UE acuerdan una decisión formal de adecuación, el régimen del Reino Unido ofrecerá un nivel adecuado de protección y no habrá necesidad de salvaguardias específicas. Sin embargo, sin acuerdo se debe planear la implementación de las medidas adecuadas de seguridad como las cláusulas contractuales tipo o, en el caso de multinacionales, las normas corporativas vinculantes (BCRs). No obstante, todo esto queda sujeto a la confirmación del EDPB (Consejo Europeo de Protección de Datos).

2. Transferencias de Datos Personales del Reino Unido a países del EEE

2.1. Transferencias desde Reino Unido a Europa

El gobierno del Reino Unido ha declarado que, cuando el Reino Unido salga de la UE, las transferencias a países del EEE no se verán restringidas. Esto significa que se podrá continuar enviando datos personales desde el Reino Unido a EEE sin requisitos adicionales.

2.2. Transferencias desde Reino Unido a países que se encuentran fuera del EEE

Es probable que las normas sobre transferencias a países fuera del EEE sigan siendo similares. El gobierno del Reino Unido confirmó que habrá disposiciones transitorias para reconocer las actuales decisiones de adecuación, cláusulas contractuales tipo y las BCRs aprobadas.

 

Dicho todo lo anterior, cabe añadir que el impacto del RGPD en el Brexit es un tema sujeto a cambios y a debate por lo que se necesitará esperar a futuros pronunciamientos y a posibles acuerdos.

leer más
AEPDGDPRMedidas UrgentesPrivacidadProtección de DatosReal Decreto Ley

Principales aspectos del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

servicio-LOPD

El Reglamento Europeo (GDPR) recoge una serie de cuestiones que pueden ser desarrolladas de manera distinta por cada Estado miembro.

En concreto en España, sin una nueva Ley Orgánica de Protección de Datos y con un Reglamento de plena aplicación, el Consejo de Ministros ha aprobado el Real Decreto Ley que desarrolla y adapta todos aquellos aspectos que no requieren rango de Ley Orgánica pero que sí se consideran de carácter urgente. De ahí a que el Real Decreto Ley se llame Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (RDL).

La vigencia del RDL se limita al período existente entre el día siguiente de su publicación en el Boletín Oficial del Estado y la entrada en vigor de la nueva ley orgánica de protección de datos.

A continuación destacaré los principales puntos a tener en cuenta:

Prescripciones

El RDL indica que el plazo de prescripción para las infracciones previstas en el artículo 83.4 del GDPR será de 2 años y para las infracciones previstas en el artículo 83.5 y 83.6 de 3 años.

El plazo de prescripción de las sanciones será el siguiente:

  • Sanciones superiores a 300.000 €: 3 años
  • Sanciones entre 40.001 y 300.000 €: 2 años
  • Sanciones iguales o inferiores a 40.000 €: 1 año

Responsabilidades

Bajo el RDL se consideran sujetos responsables a:

  1. a) Los responsables de los tratamientos.
  2. b) Los encargados de los tratamientos.
  3. c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  4. d) Las entidades de certificación.
  5. e) Las entidades acreditadas de supervisión de los códigos de conducta.

El RDL sigue las consideraciones del GDPR y excluye a los Delegados de Protección de Datos de responsabilidad.

Procedimientos

El RDL distingue dos tipos de procedimientos tramitados por la Agencia Española de Protección de Datos (AEPD). El primero se daría cuando el afectado reclama la falta de atención de su solicitud del ejercicio de sus derechos y el segundo cuando se investigue la infracción del GDPR o la normativa española en materia de protección de datos.

En este sentido cabe mencionar que la AEPD podrá inadmitir cualquier reclamación recibida cuando:

  • No verse sobre cuestiones de protección de datos de carácter personal.
  • Carezca de fundamento.
  • Sea abusivas.
  • No aporte indicios racionales de la existencia de una infracción.
  • Cuando el responsable o encargado del tratamiento, previa advertencia de la AEPD, hubiera adoptado medidas correctivas, siempre que no haya causado perjuicio al interesado y el derecho del afectado quede garantizado.

Inspecciones

La AEPD podrá realizar actuaciones de investigación durante un periodo de 12 meses desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación. Estas actuaciones permitirán evaluar y determinar con más precisión las circunstancias que justifican la tramitación del procedimiento.

Contratos

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 sujetos al artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

No obstante, durante los mencionados plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a las nuevas exigencias del GDPR.

leer más
Privacidad

Nueva Sentencia del Tribunal Europeo de Derechos Humanos- La privacidad del trabajador

privacidad-min

En las siguientes líneas se analiza la sentencia que el 5 de septiembre de 2017 dictó la Gran Sala del Tribunal Europeo de Derechos Humanos (Caso Barbulescu contra Rumanía (app no. 61496/08)), en adelante, la “STEDH” y que anula la sentencia anterior, dictada el 12 de enero de 2016, por el propio Tribunal.

Objeto de la STEDH:

La STEDH tiene por objeto  el control del uso de internet (mensajería instantánea) por un trabajador en su puesto de trabajo y  la utilización de los datos obtenidos para justificar su despido.

Resumen de los hechos:

El supuesto de hecho se basa en el despido disciplinario de un trabajador por haber efectuado comunicaciones personales a través de los medios electrónicos profesionales, en concreto un sistema de mensajería instantánea, pese a haber sido informado previamente de que la normativa interna de la empresa prohibía su uso personal. Asimismo, en dos reuniones con su superior, el trabajador manifestó que el contenido de las comunicaciones realizadas a través de la aplicación de mensajería objeto de monitorización era meramente profesional.

En el proceso ante el TEDH, el demandante alegó que su despido se basaba en una violación de su derecho al respecto a su vida privada y a su correspondencia y que los tribunales de su país -Rumanía-  no habían protegido dicho derecho.

Razonamientos jurídicos:

  1. Aplicabilidad del art.8, relativo al derecho a la vida privada, del Convenio para la Protección de los Derechos Humanos y de las libertades fundamentales (en adelante, “CEDH“):

    El tipo de mensajería instantánea por internet en este caso es una forma de comunicación que forma parte del ejercicio de la vida privada en sociedad. Por otro parte, la noción de “correspondencia” se aplica al envío y recepción de mensajes, incluso desde el ordenador propiedad de la empresa. El trabajador había sido bien informado de la prohibición de uso de internet para fines personales impuesta por el reglamento interno de la empresa. De todas formas, el trabajador no fue informado con carácter previo del alcance y de la naturaleza del control de sus comunicaciones por el empresario, ni tampoco de la posibilidad de que éste accediese al contenido mismo de sus comunicaciones.

    La STEDH añade que las indicaciones de un empresario no pueden reducir a la nada el ejercicio de la vida privada social en el puesto de trabajo.  El respeto de la vida privada y de la confidencialidad de las comunicaciones continúa imponiéndose, incluso si estas últimas pueden ser limitadas en la medida de lo necesario. Así, las comunicaciones del trabajador, realizadas desde su puesto de trabajo están amparadas por las nociones de “vida privada” y “correspondencia”; de lo que se concluye que el art.8 del CEDH resulta de aplicación al caso.

  2. Recomendación CM/REC(2015) del comité de Ministros de los Estados miembros sobre el tratamiento de datos personales en el marco del empleo:De los fundamentos que se exponen en la sentencia, cabe destacar que tampoco se ha podido comprobar si el trabajador fue notificado o constaba en el contrato de trabajo sobre la supervisión de las comunicaciones, ni tampoco si existían medios menos intrusivos para la vida privada. En este sentido, la sentencia no determina la forma de preaviso al trabajador y el tiempo de antelación. Los tribunales nacionales omitieron comprobar si el trabajador había sido advertido previamente de la posibilidad de que su empresario emplease medidas de vigilancia, así como del alcance y naturaleza de las mismas. Para poder considerarse como previo, el aviso del empresario debe producirse antes de que comience su actividad de vigilancia;  más aún y con mayor razón cuando la vigilancia implique también el acceso al contenido de las comunicaciones de los trabajadores.

    La cuestión del alcance de la vigilancia llevada a cabo y del grado de intromisión en la vida privada del trabajador no ha sido examinada por ningún tribunal nacional, habiendo el empresario registrado en tiempo real la totalidad de las comunicaciones efectuadas por el trabajador durante el período en que fue vigilado, que ha tenido acceso y que ha imprimido su contenido. En este sentido, la STEDH indica que los tribunales nacionales no han verificado suficientemente la presencia de razones legítimas que justifiquen la puesta en marcha de la vigilancia de las comunicaciones del trabajador.

    Admitir que el acceso al contenido de las comunicaciones pueda hacerse sin importar el momento disciplinario va en contra e infringe el principio de transparencia (Recomendación CM/REC(2015).

Conclusiones:

La nueva doctrina del TEDH impone a los órganos jurisdiccionales -también al Tribunal Constitucional- observar los siguientes estándares mínimos en los casos de vigilancia de las comunicaciones por correo electrónico, en particular cuando la cuenta de correo y el ordenador sean de propiedad de la empresa:

  • Información previa al trabajador  de la posibilidad de que el empresario adopte medidas de vigilancia de su correspondencia y de sus otras comunicaciones, así como de la puesta en práctica de tales medidas. El carácter previo supone que la información ha de ser anterior al inicio de la vigilancia.
  • Ha de valorarse el alcance de la vigilancia realizada por el empresario y el grado de intrusión en la vida privada del empleado. Tal valoración exigirá poner en relación la finalidad concreta pretendida por el empresario y los medios utilizados para ello. Por ejemplo, para saber si el trabajador usa el teléfono de la empresa para llamadas privadas es absolutamente innecesario el acceso al contenido de las llamadas, basta con conocer los titulares de los números marcados.
  • El empresario ha de proporcionar motivos que justifiquen la vigilancia de las comunicaciones del trabajador, más allá del art. 20.3[1] del Estatuto de los Trabajadores. El TEDH se refiere claramente a motivos concretos.
  • La vigilancia ha de ser proporcionada: hay que determinar si  hubiera sido posible emplear un sistema de vigilancia conforme a medios y medidas menos intrusivas que el acceso directo al contenido de las comunicaciones del empleado.
  • El trabajador debe haber  recibido las debidas garantías, en particular cuando las medidas de vigilancia del empresario tenían un carácter intrusivo.

 

[1] Artículo 20.3 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad“.
leer más
Privacidad

Aspectos clave sobre la Propuesta de Reglamento de Privacidad Electrónica (ePrivacy)

e-privacy_blogpost_pic[1]

El pasado 10 de enero de 2017 la Comisión Europea publicó la Propuesta de Reglamento sobre Privacidad y comunicaciones electrónicas, conocido como el Reglamento ePrivacy, que tiene por objeto sustituir  la Directiva 2002/58 de ePrivacy.

A continuación se destacan algunas de las principales novedades que nos ofrece el mencionado Reglamento:

  • Nuevos prestadores de servidores de comunicación: la normativa en materia de privacidad será aplicable para todos los prestadores de servicios de comunicaciones electrónicas, tales como el WhatsApp, Facebook Messenger y el Skype. En este sentido, los mencionados servicios garantizarán el mismo nivel de confidencialidad para las comunicaciones, que los operadores de telecomunicaciones tradicionales.
  • Contenido de las comunicaciones y los metadatos: la privacidad estará garantizada para el contenido y los metadatos derivados de las comunicaciones electrónicas. Ambos tienen un alto componente de privacidad y, en virtud de las normas propuestas, deberán anonimizarse o suprimirse si los usuarios no han dado su consentimiento, salvo que se necesiten los datos. No obstante, se amplía la posibilidad de uso por parte de los prestadores de servicios de los metadatos incluidos en las comunicaciones electrónicas siempre y cuando se cuente con el consentimiento previo por parte de los usuarios finales.
  • Reglas más sencillas sobre las cookies: la provisión de cookies, que ha dado lugar a una sobrecarga de solicitudes de consentimiento para los usuarios de Internet, se racionalizará. La nueva regla será más fácil de usar, ya que la configuración del navegador proporcionará una forma fácil de aceptar o rechazar el seguimiento de las cookies. La propuesta también aclara que no será necesario el consentimiento para que las cookies intrusivas o invasivas que no sean de privacidad mejoren la experiencia en Internet, o las cookies utilizadas para efectuar el recuento del número de visitantes a dicho sitio por ejemplo.
  • Protección contra el spam: esta propuesta prohíbe las comunicaciones electrónicas no solicitadas por correos electrónicos, SMS y máquinas de llamadas automatizadas. Los Estados miembros podrán optar por una solución que otorgue a los consumidores el derecho a oponerse a la recepción de llamadas comerciales de voz, por ejemplo mediante el registro de su número en una lista «no llame». Quienes realicen llamadas comerciales deberán indicar su número de teléfono o utilizar un prefijo especial que indique que se trata de una llamada de este tipo.
  • Internet de las cosas: se deberá informar de manera transparente, a través de avisos legales, sobre el uso que se llevará a cabo con los datos personales.
  • Aplicación más eficaz: la aplicación de las normas de confidencialidad será responsabilidad de las autoridades encargadas de la protección de datos.

Finalmente, indicar que la Comisión ha indicado que esta propuesta de Reglamento pretende ir en línea con el Reglamento General de Protección de Datos, por lo que su entrada en vigor se estima en mayo de 2018.

 

 

 

leer más