close

Reglamento de Protección de Datos

Encargado del TratamientoPrivacidadProtección de DatosReglamento de Protección de DatosResponsable del Tratamiento

Diferencias entre responsables, corresponsables y encargados del tratamiento

wHAT-IS-THE-DIFFERENCE-BETWEEN-gdpr-Data-Controller-and-Data-Processor2

Es cierto que en entender si nuestra organización actúa como responsable o encargado del tratamiento es esencial para entender las obligaciones a las que la misma está sujeta. Asimismo, es necesario tener en cuenta que las autoridades de control en materia de protección de datos (por ejemplo, la AEPD en España, CNIL en Francia o ICO en el Reino Unido) pueden llevar a cabo acciones en contra de ambas figuras, es decir de los responsables y de los encargados del tratamiento de los datos personales.

La autoridad de control inglesa ICO, ha publicado recientemente una lista de variables que pueden ayudar a determinar si nuestra organización asume el rol de responsable, corresponsable o encargado del tratamiento. A continuación, se detallan las mencionadas variables.

¿Somos el responsable del tratamiento?

☐ Decidimos obtener y tratar los datos personales.

☐ Decidimos cuál es la finalidad del tratamiento.

☐ Decidimos qué datos personales se deben obtener.

☐ Decidimos sobre qué personas recoger los datos personales.

☐ Obtenemos una ganancia comercial u otro beneficio gracias al tratamiento de los datos.

☐ Tratamos los datos personales como resultado de un contrato entre nuestra organización y los interesados (entendiendo interesados como los sujetos de los que se obtienen los datos personales).

☐ Los interesados son nuestros empleados.

☐ Tomamos decisiones sobre las personas afectadas como parte del tratamiento o como resultado del mismo.

☐ Ejercemos nuestro criterio profesional en el tratamiento de los datos personales.

☐ Tenemos una relación directa con los interesados.

☐ Tenemos total autonomía en el tratamiento de los datos personales.

☐ Hemos designado a los encargados del tratamiento para que traten los datos personales en nuestro nombre.

¿Somos corresponsables del tratamiento?

☐ Tenemos un objetivo común con otros en cuanto al tratamiento.

☐ Estamos tratando los datos personales con la misma finalidad que otro responsable del tratamiento.

☐ Para este tratamiento utilizamos el mismo conjunto de datos personales (por ejemplo, una base de datos) que otro responsable del tratamiento.

☐ Hemos diseñado la actividad o el tratamiento de datos personales con otro responsable del tratamiento.

☐ Tenemos reglas comunes de gestión de la información / datos personales con otro responsable.

¿Somos el encargado del tratamiento?

☐ Seguimos las instrucciones de un tercero, normalmente este tercero será otra organización, en relación con el tratamiento de datos personales.

☐ Un cliente o un tercero similar nos ha facilitado los datos personales, o nos ha indicado qué datos debemos recopilar.

☐ No decidimos obtener datos personales de particulares.

☐ No decidimos qué datos personales deben ser obtenidos de los individuos.

☐ No decidimos la base legal para el tratamiento de esos datos.

☐ No decidimos para qué finalidad se utilizarán los datos.

☐ No decidimos si revelamos los datos, o a quién.

☐ No decidimos cuánto tiempo conservaremos los datos.

☐ Podemos tomar algunas decisiones sobre cómo se tratan los datos, pero estas decisiones deben estar cubiertas bajo un contrato con otra organización.

☐ No nos interesa el resultado final del tratamiento.

Así pues, podemos resumir las características principales de cada uno de los tres roles o categorías analizadas anteriormente.

  • Los responsables del tratamiento son los principales responsables de la toma de decisiones: ejercen un control global sobre los fines y medios del tratamiento de datos personales.
  • Si dos o más responsables del tratamiento determinan conjuntamente los fines y medios del tratamiento de los mismos datos personales, son corresponsables del tratamiento. Sin embargo, no son corresponsables si tratan los mismos datos para fines diferentes.
  • Los encargados del tratamiento actúan en nombre del responsable correspondiente y sólo bajo sus instrucciones.

Finalmente, no hay que olvidar que una misma organización puede actuar al mismo tiempo tanto de responsable como de encargado del tratamiento, en función de sus relaciones con terceros y de la gestión que realiza de los datos personales.

leer más
ConsentimientoGDPRProtección de DatosReglamento de Protección de Datos

Mitos Sobre El Consentimiento

preview-e1445946436738-700×300

Hoy vamos a hablar de algunos mitos que se han generado alrededor del Reglamento General de Protección de Datos (GDPR) y que se deberían intentar aclarar. Si bien es cierto que últimamente recibimos a diario varias actualizaciones de políticas de privacidad, seguimos sintiendo que nos falta información. Así pues, poco a poco desmitificando ciertas afirmaciones espero que algunas dudas se vayan solventando. En particular, hoy el artículo trata sobre el consentimiento.

Mito 1: Se debe obtener el consentimiento explícito si se desea tratar datos personales.

El GDPR aclara que las casillas pre-marcadas no son indicadores de consentimiento válidos. Por otro lado, la nueva normativa establece que hay que facilitar a la los interesados, es decir a las personas titulares de los datos, su derecho a retirar su consentimiento. En este sentido, las organizaciones deberán asegurarse de que los consentimientos que ya han ido obteniendo de los interesados cumplen con los requisitos del GDPR. En caso contrario, los deberán renovar.

Todo lo anterior ha creado ciertas incertidumbres y dudas, pero seamos claros: el consentimiento no es la única forma de cumplir con el GDPR. Los interesados a menudo carecen de contexto o comprensión sobre las diferentes bases legales que las empresas y organizaciones pueden utilizar para el tratamiento de información personal bajo el GDPR. Para que el tratamiento sea legal bajo el GDPR, en primer lugar, se necesita identificar una base legal que ampare cada uno de los tratamientos.

Las autoridades locales tratan la información fiscal de los ayuntamientos, los bancos comparten datos con fines de protección contra el fraude, las compañías de seguros tratan la información sobre reclamaciones. Cada uno de estos ejemplos utiliza una base legal diferente al consentimiento para tratar información personal. El GDPR establece otras bases legitimadoras para tratar datos que pueden ser más apropiadas que el consentimiento, como por ejemplo, en algunos casos, el interés legitimo.

Mito 2: Hay que renovar el consentimiento – es decir, solicitarlo de nuevo- de todos nuestros clientes para cumplir con el GDPR.

No, no es necesario que se renueven todos los consentimientos existentes, pero el GDPR pone el listón bastante alto en relación con el consentimiento, así que es importante revisar los procesos y registros para asegurarse de que los consentimientos existentes cumplan con el estándar GDPR. Si lo hacen, no hay necesidad de obtener un nuevo consentimiento.

Cuando ya existe una relación con los clientes que han comprado bienes o contratado servicios, puede que no sea necesario obtener un nuevo consentimiento. Es el llamado soft opt-in según las normas PECR/ePrivacy. La persona debe haber dado su consentimiento para la comercialización electrónica en régimen de consentimiento previo a fin de que esa relación inicial se utilice como base para la comercialización electrónica posterior, por ejemplo, correo electrónico o SMS. Si han dado su consentimiento sobre esta base, no es necesario obtener un nuevo consentimiento. Sin embargo, siempre debe estar disponible una función para darse de baja.

Así pues, parece que el consentimiento no es la solución milagrosa. Como han indicado varias autoridades de control, como la ICO en el Reino Unido, el consentimiento no es la “bala de plata” para el cumplimiento de la nueva normativa europea. Tal y como ya se ha indicado en esta publicación, el consentimiento es una forma de cumplir con los GDPR, pero no es la única. Ninguna base por sí sola es “mejor” o más importante que las otras. ¿Cuál es la más apropiada? Eso dependerá de las finalidades del tratamiento y de la relación con el individuo.

leer más
Reglamento de Protección de Datos

Guía del Grupo de Trabajo del artículo 29 sobre decisiones automatizadas y perfilados

AAEAAQAAAAAAAAeBAAAAJDIyYjM3OGQyLWRkOGMtNDdkZS1hNGNmLTVkMGVmNDk3NjA0ZA

 Principales indicaciones de la Guía sobre decisiones automatizadas y perfilados:

  1. Concepto de Decisión Automatizada: Es toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.
  2. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que   produzca efectos jurídicos en él o le afecte significativamente de modo similar. No obstante, todo lo anterior no se aplicará si la decisión: (i) Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado o  (ii) se basa en el consentimiento explícito del interesado.
  3. Los interesados deberán ser informados en relación con: (i) la lógica aplicada en el perfilado, (ii) las consecuencias de dicha lógica y perfilado y (iii) las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
  4. Excepciones a la prohibición de ser objeto de tratamientos basados en decisiones automatizadas: (i) por contrato: a fin de garantizar la no comisión de errores humanos, discriminaciones y/o abuso de poder, (ii) autorizaciones por leyes de Estados Miembros, en relación con la monitorización en aras de prevenir el fraude fiscal y la evasión fiscal y (iii) si el interesado ha dado su consentimiento, el responsable podrá llevar a cabo actividades que impliquen decisiones automatizadas de datos (perfilados).
  5. Consentimiento expreso: si el interesado ha dado su consentimiento, el responsable podrá llevar a cabo actividades que impliquen decisiones automatizadas de datos (perfilados).
  6. Datos especialmente protegidos: para realizar tratamientos que impliquen decisiones automatizadas de datos especialmente protegidos será necesario el consentimiento expreso del afectado o una base legitimadora como el interés público, siempre adoptando las correspondientes garantías para salvaguardar los derechos y libertades fundamentales de las personas físicas.
  7. Decisiones automatizadas en datos de menores: se deberá tener ene cuenta que el Reglamento indica que los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño. Si bien el Reglamento no hace una distinción entre mayores y menores de edad en relación con la ejecución de decisiones automatizadas, sí es cierto que el Grupo de Trabajo del artículo 29 ha considerado que se podrá realizar este tipo de decisiones a menores de edad, sin perjuicio de que el responsable deba respetar los mismos requisitos que para los mayores de edad. Es decir, se deberá basar en un contrato, una autorización de los Estados Miembros o el consentimiento expreso de los menores o de aquél que tenga su patria potestad.
  8. PIAs: Dada la importancia del principio de responsabilidad proactiva, se recomienda desde el Grupo de Trabajo realizar evaluaciones de impacto en materia de perfilados. En este sentido el Reglamento señala que será necesaria una evaluación de impacto en caso de evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  9. Medidas de seguridad: se debe incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor.
leer más
Reglamento de Protección de Datos

El derecho de limitación del tratamiento de datos personales

untitled

A continuación, se analizan tres aspectos sobre el derecho de limitación que pueden dar lugar a debate:

  • ¿Es el derecho de limitación del tratamiento siempre voluntario?

El contenido del derecho de limitación del tratamiento se refiere a dos procesos:

 (i)  Suspensión temporal del tratamiento cuando se ha ejercitado el derecho de rectificación (artículo 18.1.a) y cuando se ha ejercitado el derecho de oposición frente a un tratamiento legitimado por interés legítimo, mientras se dirime la existencia de dicho interés legítimo (artículo 18.1d).

(ii)   Conservación de los datos cuando el Responsable va a proceder a la supresión de los datos y el interesado solicita en su lugar la limitación de los mismos para el ejercicio y defensa de reclamaciones frente a la AEPD. Estos datos se conservarán bloqueados, siendo inaccesibles salvo requerimiento de jueces y tribunales, o en el ejercicio y defensa de reclamaciones frente a la AEPD (artículo 18.1c).

La duda que surge en este sentido es si el ejercicio de este derecho debe llevarse a cabo por el interesado voluntariamente en todos los casos, o solamente en el supuesto recogido en el punto (ii), procediendo el responsable del tratamiento a limitar el tratamiento “de oficio” en los supuestos recogidos en el punto (i).

Entiendo que al tratarse de un derecho del interesado, este debe ejercitarse de forma voluntaria por él en todos los casos (siendo esta la principal diferencia entre las obligaciones del responsable del tratamiento y los derechos del interesado), pero el artículo 29 del Anteproyecto de la LOPD se refiere a una obligación de bloqueo por parte del responsable del tratamiento.

  • ¿A qué datos aplica el derecho de limitación?

Todas las distintas fuentes legales, que tratan el derecho de limitación, hacen referencia a “los datos” y no a “los datos afectados”, o “los datos necesarios para los tratamientos objeto de limitación”. Esto nos da a entender por analogía con el bloqueo que dicha limitación se refiere a todos los datos del cliente en todos los supuestos enunciados anteriormente. Este mismo argumento parece respaldarse en el apartado 2 del artículo 18 del GDPR: Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

  • ¿Cómo afecta este derecho en el caso de existir una celebración o mantenimiento de un contrato o una obligación legal?

Si todos los datos del interesado son objeto de limitación con el ejercicio del derecho y durante el tiempo en que estos datos se encuentran “bloqueados”, ¿cómo dar cumplimiento a las exigencias de una norma con rango de ley en relación con el tratamiento de datos? ¿Esto implica que los tratamientos derivados de la celebración y mantenimiento de una relación contractual con el interesado no se pueden llevar a cabo mientras dure la limitación?

En relación con esta cuestión y partiendo de la interpretación de la norma se podría deducir que (i) la limitación se extiende a todos los tratamientos y todos los datos del interesado y (ii) que mientras esta limitación permanezca y hasta su levantamiento el responsable sólo podrá llevar a cabo aquellos tratamientos que el cliente hubiera consentido con posterioridad a la limitación (y durante el tiempo en que ésta no se haya levantado), para el cumplimiento de una misión en interés público, para la satisfacción de un interés vital del interesado o de un tercero, o para el ejercicio y defensa de reclamaciones, tal y como se recoge en la norma.

En este sentido y en base a lo anterior, se deberá determinar el alcance e impacto de este derecho en relación con los tratamientos que se llevan a cabo por parte de cada responsable, así como aclarar cómo dar cumplimiento, en particular, a aquellos tratamientos que se legitiman en el cumplimiento de una obligación legal, o la celebración y mantenimiento de una relación contractual.

leer más
Protección de DatosReglamento de Protección de Datos

Encargado del Tratamiento: LOPD vs RGPD

munecos_firma_contrato_15201064_s-min

Vendors, proveedores, terceros que prestan servicios…todos ellos forman la figura del Encargado de Tratamiento de Datos Personales. Es decir, sujetos que acceden a datos personales del Responsable del Tratamiento de los mismos. Y ¿cómo acceden? pues bien, lo hacen en nombre del Responsable. Si bien la Ley Orgánica de Protección de Datos (LOPD) ya incluía la figura del Encargado de Tratamiento, el nuevo Reglamento en materia de Protección de Datos (RGPD) vuelve a incluirla otorgándole mayores obligaciones.

A continuación, se detalla una comparativa de los principales aspectos a tener en cuenta:

1. Proceso de selección:

LOPD/RLOPD:

No existe dicha obligación

RGPD:

Proceso específico de selección. Es necesario que se preseleccione un Encargado de tratamiento que pueda cumplir con los requerimientos que impone la norma. No se permite la contratación a terceros que accedan a datos sin cumplir con las garantías suficientes en protección de datos.

2. Adhesión a un Código de Conducta o Certificación:

LOPD/RLOPD:

No se prevé dicha posibilidad

RGPD:

Se podrá utilizar la adhesión del Encargado del tratamiento a un código de conducta aprobado por la Agencia Española de Protección de Datos o a un mecanismo de certificación aprobado para demostrar la existencia de las garantías suficientes necesarias para la preselección.

3. Subcontratación:

LOPD/RLOPD:

Con carácter general se exigía autorización. Ahora bien se permite subcontratar sin autorización siempre y cuando concurran las siguientes garantías:

  • Se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación.
  • Comunicación al Responsable los datos de la empresa subcontratada antes de la subcontratación.
  • Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
  • Que el Encargado del tratamiento y la empresa subcontratista formalicen un contrato en los términos que el previsto para el Encargado y Responsable de tratamiento.

RGPD:

Autorización previa por escrito, específica o general, del Responsable.

4. Forma del contrato:

LOPD/RLOPD:

Deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.

RGPD:

Obligación de contrato u otro acto jurídico válido en nuestro ordenamiento jurídico.

5. Contenido del contrato:

LOPD/RLOPD:

  • Las medidas de seguridad detalladas que el encargado del tratamiento está obligado a implementar (Título VIII del RLOPD).
  • Obligación de destruir o devolver los datos personales una vez cumplida la prestación contractual.

RGPD:

  • El objeto,
  • duración,
  • naturaleza
  • finalidad del tratamiento,
  • tipo de datos personales y categorías de interesados,
  • obligaciones y derechos del Responsable del tratamiento.

6. Obligaciones del Encargado de tratamiento:

LOPD/RLOPD:

Obligaciones del Encargado son:

  • Tratar los datos conforme a las instrucciones del responsable del tratamiento.
  • No aplicar o utilizar los datos con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

RGPD:

Obligaciones del Encargado:

  • Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, inclusive con respecto a las transferencias de datos personales a un tercer país.
  • Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad.
  • Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  • Adoptar todas las medidas de seguridad, tanto técnicas como organizativas, que resulten necesarias, tomando en consideración el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
  • Respetar las condiciones indicadas en el RGPD para recurrir a otro Encargado del tratamiento y, en particular, recabar del Responsable autorización previa por escrito, e impondrá a dicho encargado, mediante contrato, las mismas condiciones para el tratamiento de Datos de carácter personal que a él le resultan de aplicación.
  • Asistir al Responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los Interesados establecidos en el RGPD.
  • Ayudar al Responsable a garantizar el cumplimiento de las obligaciones relativas a medidas de seguridad, comunicación de brechas de seguridad y evaluaciones de impacto (“PIAs”).
  • Supresión o devolución de datos.
  • Permisión en la realización de auditorías.

7. Registro de actividades de tratamiento:

LOPD/RLOPD:

No existe dicha obligación

RGPD:

El Encargado del tratamiento se encuentra obligado a la llevanza de un registro de aquellas categorías de actividades de tratamiento efectuadas por cuenta de un Responsable del tratamiento.

Dicho registro deberá contener:

  • El nombre y los datos de contacto del Encargado del tratamiento o Encargados y de cada Responsable por cuenta del cual actúe el Encargado, y, en su caso, del Representante del Responsable o del Encargado del tratamiento, y del delegado de protección de datos.
  • Las categorías de tratamientos efectuados por cuenta de cada Responsable del tratamiento.
  • En su caso, las Transferencias de Datos personales a un tercer país u Organización internacional, incluida la identificación de dicho tercer país u Organización internacional y, en el caso de las Transferencias Internacionales realizadas a través de la aportación de garantías adecuadas, recogidas en el artículo 49, apartado 1, párrafo segundo, del RGPD la documentación de garantías adecuadas;
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1 del RGPD.

A mayor abundamiento, este registro de tratamiento del Encargado deberá estar también a disposición de la Autoridad de Control.

Hay excepciones para guardar estos registros: el RGPD indica que, aquellas entidades con menos de 250 empleados, no estarán obligadas a guardar un registro de tratamientos, a no ser que este tratamiento comprometa los derechos y libertades de los Interesados, no se lleve a cabo de manera aislada o si incluyese Datos personales de categorías especiales relativos a condenas e infracciones penales.

8. Delegado de Protección de Datos:

LOPD/RLOPD:

No existe dicha obligación

RGPD:

Tanto el Responsable como el Encargado de tratamiento estarán obligados a designar un Delegado de Protección de Datos en aquellos supuestos que obliga el RGPD.

9. Responsabilidad:

LOPD/RLOPD:

Sólo existía responsabilidad por parte del Encargado de tratamiento si incumplía las estipulaciones del contrato.

Tampoco había responsabilidad para el Encargado de tratamiento cuando, previa indicación expresa del Responsable, comunicaba los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio.

RGPD:

El Encargado será responsable de todas las infracciones relacionadas con los fines y medios de tratamiento que recoja el RGPD, sin necesidad de estar o no instruido por el Responsable del tratamiento. Si se está realizando un determinado tratamiento que no cumple con lo recogido del RGPD será directamente responsable con respecto dicho tratamiento.

Cualquier persona que sufra un daño y perjuicio podrá reclamar la indemnización debida tanto al Responsable o al Encargado de tratamiento.

leer más