Número de obligaciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

El RGPD tiene 99 artículos, de los que:

  • 44 contienen obligaciones de contenido jurídico.
  • 5 contienen obligaciones relativas a medidas técnicas que pueden incuir medidas de seguridad (Artículos 5, 17, 24, 25 y 28)
  • 3 contienen obligaciones específicas en materia de seguridad (Artículos 32, 33 y 34)
  • Los restantes artículos tienen un contenido general y directrices para los estados y las autoridades de control

Si miramos la proporción entre las dos disciplinas, de los 44 artículos que contienen obligaciones:

  • El 84% contiene obligaciones de contenido jurídico
  • El 10% contiene obligaciones en materia de medidas técnicas
  • El 6% contiene obligaciones específicas en materia de seguridad

Si relacionamos las obligaciones contenidas en estos 44 artículos y las agrupamos por conceptos, el resultado es el siguiente:

  1. Principios relativos al tratamiento (Artículo 5)
  2. Licitud del tratamiento (Artículo 6)
  3. Condiciones para el consentimiento (Artículo 7)
  4. Consentimiento de menores (Artículo 8)
  5. Categorías especiales de datos (Artículo 9)
  6. Datos relativos a condenas e infracciones penales (Artículo 10)
  7. Tratamientos que no requieren identificación (Artículo 11)
  8. Ejercicio de derechos del interesado (Artículo 12)
  9. Información al interesado en la obtención directa (Artículo 13)
  10. Información al interesado en la obtención indirecta (Artículo 14)
  11. Derecho de acceso del interesado (Artículo 15)
  12. Derecho de rectificación (Artículo 16)
  13. Derecho de supresión (Artículo 17)
  14. Derecho a la limitación del tratamiento (Artículo 18)
  15. Notificación de las acciones relativas a los derechos anteriores (Artículo 19)
  16. Derecho a la portabilidad de los datos (Artículo 20)
  17. Derecho de oposición (Artículo 21)
  18. Decisiones individuales automatizadas y elaboración de perfiles (Artículo 22)
  19. Limitaciones (Artículo 23)
  20. Responsabilidad del responsable del tratamiento (Artículo 24)
  21. Protección de datos desde el el diseño y por defecto (Artículo 25)
  22. Corresponsables del tratamiento (Artículo 26)
  23. Representantes en la Unión Europea (Artículo 27)
  24. Encargado del tratamiento (Artículo 28)
  25. Tratamiento bajo la autoridad del responsable o del encargado (Artículo 29)
  26. Registro de las actividades de tratamiento (Artículo 30)
  27. Cooperación con la autoridad nacional (Artículo 31)
  28. Seguridad del tratamiento (Artículo 32)
  29. Notificación de una violación de la seguridad a la autoridad de control (Artículo 33)
  30. Comunicación de una violación de la seguridad al interesado (Artículo 34)
  31. Evaluación de impacto (Artículo 35)
  32. Consulta previa (Artículo 36)
  33. Designación del Delegado de Protección de Datos (Artículo 37)
  34. Posición del Delegado de Protección de Datos (Artículo 38)
  35. Funciones del Delegado de Protección de Datos (Artículo 39)
  36. Códigos de conducta (Artículo 40)
  37. Supervisión de los códigos de conducta (Artículo 41)
  38. Certificación (Artículo 42)
  39. Principio general de las transferencias a terceros países (Artículo 44)
  40. Transferencias basadas en una decisión de adecuación (Artículo 45)
  41. Transferencias mediante garantías adecuadas (Artículo 46)
  42. Normas corporativas vinculantes (Artículo 47)
  43. Transferencias no autorizadas por el Derecho de la Unión (Artículo 48)
  44. Excepciones para situaciones específicas (Artículo 49)

La distribución de las obligaciones relativas a estos artículos es la representada en el siguiente gráfico:

El artículo 35 del RGPD distribuye el alcance mínimo de la evaluación de impacto en cuatro apartados de contenido jurídico y cita las medidas de seguridad como uno de los cuatro grupos de medidas a aplicar para afrontar los riesgos identificados en la evaluación de impacto.

El artículo 37 del RGPD establece que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, que son de naturaleza jurídica y organizativa.

El proyecto de Ley relativo a la nueva LOPD sólo contiene obligaciones relacionadas con las medidas de seguridad tangencialmente en los artículos 8 y 9 al hablar de los tratamientos amparados por una ley, en la Disposición adicional primera, relativa a las medidas de seguridad en el ámbito del sector público y en la Disposición adicional desimosegunda, al hablar del tratamiento de datos relacionados con incidentes de seguridad por parte de los equipos de respuesta a incidentes (CERT y CSIRT).

Acceso a las conclusiones del análisis

Ciclo de desayunos de trabajo sobre el Plan de Acción 2017-2018 para la adecuación al RGPD

Este es el calendario de desayunos de trabajo para empresas que hemos programado para este semestre con el fin de presentar, debatir y realizar un seguimiento, de las acciones a desarrollar durante el periodo 2017-2018 en relación al Reglamento General de Protección de Datos de la UE.

– 24 de marzo
– 31 de marzo
– 3 de abril
– 6 de abril
– 24 de abril
– 5 de mayo

Los desayunos de trabajo, todos ellos con el mismo contenido con el fin de permitir que los asistentes puedan escoger la fecha que mejor se ajuste a sus agendas, tendrán lugar de 9 a 11 h. en nuestro despacho (Diagonal 640, 1C de Barcelona) y son una continuación del ciclo de desayunos sobre el RGPD que organizamos el año pasado.

Entregaremos la última versión del Plan de Acción 2017-2018 para la adecuación al RGPD, elaborado por nuestro despacho.

En el caso de que tengas interés en esta materia, te ruego envíes un mensaje a montse.otalora@ribastic.com indicando la fecha del desayuno de trabajo al que deseas asistir. La inscripción se hará por orden de llegada de las solicitudes, ya que hemos limitado las plazas para conseguir el mayor aprovechamiento del debate.

Vídeo de la ponencia sobre Internet de las cosas y privacidad que di en el MWC

Este es el vídeo-presentación de la ponencia sobre Internet de las cosas y privacidad que ayer di en el foro de ESADE en el Mobile World Congress.

Haciendo clic en … Más se puede acceder a la transcripción del mismo.

Nueva guía para la figura del Data Protection Officer

El Grupo de Trabajo del Artículo 29 (WP29) publica las principales guidelines sobre la nueva figura de DPO para las empresas.

Artículo de Jesús Martinell

No nos ha dado tiempo ni a empezar con los polvorones y los barquillos que el Grupo de Trabajo del Artículo 29 (WP 29) nos acaba de alegrar las Navidades al publicar, el pasado martes 13 de diciembre, un conjunto de directrices sobre el DPO. Es un buen regalo para las empresas de cara a la planificación del ejercicio 2017 ya que, hasta el momento, se había especulado sobre el papel y las funciones que debería desarrollar este nuevo cargo en la empresa pero el nivel de concreción era insuficiente.

Tal y como ya sabíamos, ¿cuándo las empresas deberán nombrar un DPO?

Existen 3 supuestos en los que deberá designarse un DPO:

  • Cuando el tratamiento se lleve a cabo por una autoridad u organismo público independientemente de que tipología de datos se estén tratando).
  • Cuando las actividades principales del responsable y el encargado del tratamiento consisten en operaciones de procesamiento que requieran un control periódico/habitual y sistemático.
  • Cuando las actividades principales del responsable y el encargado del tratamiento consistan en procesar datos a gran escala de categorías especiales de datos o datos personales relativas a condenas y delitos penales.

A pesar de ello, cabe recordar que tanto la legislación de la Unión Europea (UE) como la ley de cada Estado Miembro podrá exigir la designación de DPO en otras situaciones que lo estime necesario. Asimismo, las empresas, aunque el nuevo texto no obligue a designar tal figura en un supuesto concreto, si lo considera útil, podrá designarlo de manera voluntaria. De hecho, el mismo WP29 anima a hacerlo.

¿Qué significa la noción de “actividades principales” (Art. 37.1 apartado b) y c)?

El WP29 entiende que son aquellas operaciones clave o necesarias del responsable y del encargado del tratamiento para lograr sus objetivos. Ello incluye, también, todas las actividades en las que el tratamiento de los datos forma parte inextricable de la actividad del responsable o del encargado del tratamiento. Por ejemplo, el procesamiento de datos de salud, tales como la salud del paciente debe considerarse como una de las actividades básicas de cualquier hospital y, por ello, los hospitales deben designar a los DPO. Por otro lado, cualquier empresa lleva a cabo ciertas actividades de apoyo o auxiliares, por ejemplo, el pago a los empleados o el soporte de IT para determinadas actividades en la empresa. tales funciones son de apoyo y son necesarias para la actividad principal de la organización. Aunque estas actividades son necesarias o esenciales, por lo general se consideran funciones auxiliares en lugar de la actividad principal.

¿Qué se entiende por el término “a gran escala” (Art. 37.1 apartado b) y c)?

El nuevo texto no define lo que constituye el término “a gran escala”. Es por ello que el WP29 recomienda que se valoren los siguientes factores a la hora de determinar si el procesamiento de los datos es a gran escala:

  • El número de sujetos afectados, ya sea como número específico o como una proporción de la población relevante.
  • El volumen de datos y/o el rango de diferentes elementos de datos que se están procesando.
  • La duración o permanencia de la actividad de procesamiento de datos.
  • La extensión geográfica de la actividad de procesamiento de datos.

¿Qué se entiende por “monitorización habitual y sistemático” (Art. 37.1 apartado b)?

La noción de supervisión habitual y sistemático de los sujetos de los datos no está definida en el texto del Reglamento. A pesar de ello, sí incluye todas las formas de seguimiento y perfiles en Internet, incluso a efectos de publicidad según el comportamiento. Por otro lado, debemos tener claro que la noción de monitorización no se limita al entorno online. Así pues, el WP29 interpreta “habitual” como:

  • En curso o ocurriendo en intervalos particulares durante un período determinado.
  • Recurrente o repetido a tiempos fijos.
  • Constantemente o periódicamente teniendo lugar.

Asimismo, el WP29 interpreta “sistemático” como:

  • Ocurren según un sistema.
  • Organización previa, organizada o metódica.
  • En el marco de un plan general de recogida de datos.
  • Realizado como parte de una estrategia.

Un ejemplo serían los seguimiento de datos sobre el bienestar, la aptitud física y la salud a través de dispositivos portátiles (wearables).

¿Pueden las organizaciones designar conjuntamente un DPO? En caso afirmativo, ¿bajo qué condiciones (Artículos 37.2 y 37.3)?

El texto dispone que un grupo de empresas puede designar un único DPO siempre que

sea “fácilmente accesible desde cada establecimiento”. La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los interesados, la Autoridad de Control y también internamente (dentro de la organización). Así pues, el DPO deberá estar en condiciones de comunicarse eficazmente con los interesados y de cooperar con las autoridades de Control. Esto significa que esta comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de Control y los interesados afectados. La disponibilidad personal del DPO (ya sea físicamente en las mismas instalaciones o a través de medios de comunicación seguros) es esencial.

¿Es posible nombrar un DPO externo (art. 37.6)?

Sí, el DPO puede ser un miembro del personal del responsable o encargado del tratamiento (DPO interno) o «cumplir las tareas sobre la base de un contrato de servicios con un individuo o la» (DPO externo). En el caso del DPO externo, su función puede ejercerse sobre la base de un contrato de servicios contratando con un autónomo o un despacho (empresa).

Cuando la función del DPO es ejercida por un prestador de servicios externo, un equipo concreto de personas que trabajan para esa entidad pueden llevar a cabo efectivamente las tareas de DPO como un equipo. Asimismo, el WP29 recomienda una asignación clara de las tareas dentro del equipo externo de DPO así como también asignar un solo individuo como contacto principal y persona al cargo del cliente.

¿Cuáles son las cualidades profesionales que debería tener el DPO (art. 37.5)?

Como ya sabemos, deberá ser designado sobre la base de cualidades profesionales y, en concreto, conocimiento de la legislación y de las prácticas en materia de protección de datos así como la capacidad de cumplir las tareas del art.  39 del nuevo texto.

El nivel necesario de conocimientos especializados deberá determinarse de acuerdo con las operaciones de procesamiento de datos realizadas y la protección requerida para los datos personales que se están procesando. Por ejemplo, donde una actividad de procesamiento de datos es particularmente compleja, o cuando se tratan una gran cantidad de datos sensibles, el DPO necesitará un mayor nivel de experiencia y apoyo.

Las habilidades y conocimientos necesarios incluyen:

  • Experiencia en las leyes y prácticas nacionales y europeas en materia de protección de datos, incluido el nuevo Reglamento.
  • Comprensión de las operaciones de tratamiento realizadas.
  • Comprensión de las tecnologías de la información y la seguridad de los datos.
  • Conocimiento del sector empresarial y de la organización.
  • Capacidad para promover una cultura de protección de datos dentro de la organización.

¿Cuáles son los recursos que se deben proporcionar al DPO para llevar a cabo sus tareas?

La empresa deberá apoyar a su DPO mediante la facilitación de los recursos necesarias para llevar a cabo sus tareas, permitirle el acceso a los datos personales así como las operaciones de tratamiento y, también, para mantener su conocimiento de experto sobre la materia.

La empresa deberá analizar sus actividades, tamaño y la naturaleza de los tratamientos que llevan a cabo y, valorándolo en conjunto, deberá proporcionar los Los siguientes recursos al DPO:

  • Apoyo activo de la función del DPO por la alta dirección de la empresa.
  • Tiempo suficiente para que el DPO pueda cumplir sus obligaciones.
  • Apoyo adecuado en términos de recursos financieros, infraestructura (locales, instalaciones, equipo) y personal, cuando corresponda.
  • Comunicación oficial de la designación del DPO a todo el personal de la empresa.
  • Acceso a otros servicios dentro de la organización (p.e. Recursos Humanos IT, etc.) para que el DPO pueda recibir apoyo esencial o información de esos otros servicios.
  • Formación continua del DPO (p.e. asistir a workshops en materia de Protección de datos así como cursos o formaciones para que su experiencia vaya en aumento).

¿Cuáles son las garantías que permiten al DPO realizar sus tareas de forma independiente (artículo 38.3)?

Existen varias garantías para permitir que el DPO actúe de manera independiente según el considerando nº 97:

  • No deben haber instrucciones por los responsables o encargados del tratamiento sobre el ejercicio de las tareas del DPO.
  • No puede darse ningún despido o sanción por parte del responsable para el desempeño de las tareas del DPO.
  • No puede haber conflicto de intereses con otras posibles tareas y deberes.

¿Cuáles son las “otras tareas y deberes” de un DPO que pueden dar lugar a un conflicto de intereses (Art. 38.6)?

El DPO no puede ocupar un cargo dentro de la organización que lo conduzca a determinar los fines y los medios del tratamiento de los datos personales. Debido a la concreta estructura organizativa de cada organización deberá considerarse caso por caso. Como regla general, las situaciones de conflicto suelen incluir posiciones de alta gerencia, pero también otros roles de inferior rango en la organización pueden estar en la misma situación si su rol en la empresa conduce a la determinación de fines y medios de tratamiento.

¿Qué incluye la noción de “monitorizar el cumplimiento” del Reglamento (Art. 39.1 apartado b)?

Como parte de estas funciones para supervisar el cumplimiento, el DPO podrá:

  • Recopilar información para identificar las actividades de tratamiento de datos.
  • Analizar y verificar el cumplimiento de las actividades de tratamiento de datos.
  • Informar, aconsejar y emitir recomendaciones al responsable y/o encargado del tratamiento.

¿El DPO es personalmente responsable por el incumplimiento del Reglamento?

No, el DPO no es personalmente responsable por el incumplimiento del Reglamento. El texto deja claro que serán los responsables o los encargados del tratamiento quiénes deberán garantizar y poder acreditar que los tratamientos de datos se llevan a cabo de conformidad con el Reglamento.

¿Cuál es el papel del DPO con respecto a la evaluación de impacto de la protección de datos (art. 37.1 apartado c) y el registro de las actividades de tratamiento de datos personales (art. 30)?

En lo que respecta a la evaluación del impacto de la protección de datos, el responsable o encargado del tratamiento solicitará el asesoramiento del DPO, sobre las siguientes cuestiones, entre otras:

  • Realizar o no una evaluación de impacto en materia de protección de datos.
  • Qué metodología seguir cuando se lleva a cabo una evaluación de impacto.
  • Si se debe realizar la evaluación de impacto en la empresa o externalizarlo.
  • Qué garantías (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar los riesgos para los derechos e intereses de los interesados.
  • Si la evaluación del impacto han sido correctamente realizada (es decir, valorar si se sigue o no con el tratamiento en cuestión y qué garantías deberán aplicarse) así como así como verificar que las conclusiones cumplen con el Reglamento.

En lo que respecta al registro de las actividades de tratamiento, es el responsable o encargado del tratamiento, no el DPO, quién deberá mantener un registro de los diferentes tratamientos de datos personales que se hagan en la empresa. Sin embargo, del texto del Reglamento, nada impide que el responsable o encargado del tratamiento pueda asignar al DPO la tarea de mantener el registro de actividades del tratamiento,  bajo la responsabilidad del responsable del tratamiento. Este registro deberá considerarse como una de las herramientas que permitirán al DPO llevar a cabo sus tareas de vigilancia del cumplimiento, asesorando al responsable y al encargado del tratamiento.

Las empresas deberán ponerse las pilas en encontrar, ya sea en el seno de la misma o fuera, un perfil para llevar a cabo todas las funciones que hemos comentado en el artículo. Asimismo, no debemos olvidar que el nuevo Reglamento será de aplicación a partir del 25 de mayo 2018 y, cuanto antes las empresas tengan claro el perfil, antes podrán ponerse manos a la obra a planificar la adaptación de la empresa a las exigencias del nuevo Reglamento.

Jesús Martinell

Desayuno de trabajo en Madrid sobre el Reglamento UE de protección de datos

desayunomadridEl próximo miércoles, 21 de septiembre, tendrá lugar el desayuno de trabajo organizado por Thomson Reuters Aranzadi en la Real Academia de Jurisprudencia y Legislación, en el que haré un resumen de las novedades del nuevo Reglamento UE de Protección de Datos y explicaré cómo afecta a las empresas.

Puedes acceder a la invitación haciendo clic en este enlace:

http://www.aranzadi.es/sites/aranzadi.es/files/creatividad/Marketing/Invitaciones/email_invitacion_Protecion_datos_0.html

 

La nueva figura del DPO (Data Protection Officer): Oportunidad profesional para los abogados

Jesús Martinell
Abogado Ribas y Asociados.

El pasado 4 de mayo se publicó en el Diario Oficial Unión Europea, el esperado Reglamento 2016/679 relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de esos datos. Este nuevo Reglamento deroga la Directiva 95/46/CE aplicable en todos los Estados Miembros a partir del 25 de mayo  de 2018.

A pesar de que el Reglamento será aplicable a partir de mayo de 2018, las empresas deben, de manera progresiva, empezar a implementar determinadas medidas. En este sentido la Agencia Española de Protección de Datos (AEPD) ya se ha pronunciado. Una de ellas es la obligatoriedad (si interpretamos el sentido literal del texto al decir “deberán”) de que el responsable y encargado del tratamiento en la empresa designe al DPO siempre que: (i) el tratamiento lo lleve a cabo una autoridad u organismo público, (ii) que la empresa haga tratamientos que por su naturaleza, alcance y/o fines requieran de una observación habitual y sistemática de interesados a gran escala o (iii) que se lleve a cabo tratamientos a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales.

El nuevo Reglamento afecta, principalmente, a los responsables y encargados del tratamiento ya que deberán adaptar la nueva normativa al tratamiento de datos que lleven a cabo en la empresa. De algún modo, los responsables y encargados deberán hacer un esfuerzo considerable para, paulatinamente, ir adaptando todos los tratamientos de datos existentes en la empresa, así como los futuros, a las exigencias de la nueva normativa.

Asimismo, los interesados o titulares de derechos, con el nuevo Reglamento, disponen de un abanico más amplio de Derechos (p.e. derecho a la portabilidad, derecho al olvido o supresión, derecho a la limitación de los datos, derecho a presentar una denuncia ante la Autoridad de Control etc.).

En el caso de los abogados, es una oportunidad para especializarse en una nueva figura que nos introduce el Reglamento: el Data Protection Officer (DPO). Todas las novedades, que iremos tratando a lo largo de estos meses a través de diferentes artículos, ofrecen la oportunidad perfecta para el abogado que tenga interés en la empresa, y más concretamente,  en la implantación de modelos dónde, el cumplimiento normativo, el principio de responsabilidad y la prevención tengan un papel predominante en detenimiento de un modelo estrictamente sancionador y más reactivo que proactivo.

La nueva figura del DPO comparte sinergias con el Compliance Officer. Ya que, a ambos, se les exige la necesidad de acreditar el cumplimiento a través de las políticas y medidas que se adopten. El legislador europeo sigue apostando por modelos en los que la empresa lleve la iniciativa. Modelos de “Privacy by design” y “by default” en el que será fundamental que cualquier decisión que se lleve a cabo por el DPO y/o cualquier otra figura con responsabilidad en la empresa, estén razonadas o argumentadas y debidamente acreditadas.

Asimismo, debemos tener en cuenta que el perfil de DPO debe tener un talante proactivo en sus funciones. El legislador, huye, cada vez más, de posturas o criterios más pasivos en cuanto que debíamos esperar a que nos vinieran a mirar cómo teníamos la casa. Con el cambio de criterio, debe ser la empresa misma quién tome la iniciativa y, en consecuencia, será crucial el perfil de DPO que escoja.

El DPO deberá tener unas skills comunicativas sólidas ya que, dentro de sus funciones, tendrá que mantener una comunicación fluida y constante con los múltiples interlocutores que aparecen en el nuevo Reglamento. En primer lugar, los responsables y encargados del tratamiento de la empresa, las Autoridades de Control (ante p.e. una consulta previa, violación de seguridad de los datos o una evaluación de impacto.

Por otro lado, si en la empresa en la que estamos es internacional y dispone de filiales por Europa, será importante que la figura que escojamos tenga habilidades para comunicarse en inglés u otros idiomas así como también, una visión amplia y clara sobre los diferentes tratamientos que contengan datos personales que puedan tratarse en tales países y que, en España, quizás no abunden tanto.

Por otro lado, en un contexto global, el DPO deberá ser consciente de que los datos van circulando de un país a otro constantemente. Ello le exige un conocimiento exhaustivo de la normativa europea y local para así poder interaccionar con las múltiples normativas. Así pues deberá ser capaz de saber compaginar nuevos acuerdos, como p.e., el Privacy Shield (que sustituye al antiguo Safe Harbor entre USA y Europa) con el Reglamento Europeo de Protección de Datos y la propia normativa local.

En el seno de un grupo de empresas podrá designarse un único DPO siempre que sea fácilmente accesible desde cada filial y, en el caso de las autoridades u organismos públicos, también podrán designarse un DPO para más de una teniendo en cuenta la estructura y tamaño de la misma.

El nuevo DPO tiene un protagonismo destacable en el futuro de la Protección de Datos siendo una oportunidad para aquellos que les interesa ésta área del Derecho. La empresa, para la designación del mismo, podrá optar por alguien de la cantera o buscar un perfil externo. De todos modos, ambos perfiles, deberán ser designados atendiendo a sus cualidades profesionales, concretamente, sus conocimientos en Derecho y en la práctica de la materia de protección de datos. Asimismo, el perfil escogido, también deberá tener capacidad para desarrollar las funciones y habilidades comentadas anteriormente. Cabe recordar que la empresa deberá respetar al DPO para que desarrolle su cargo con absoluta independencia y con obligación de secreto y confidencialidad.

No siempre, como abogados, se nos presenta una oportunidad como esta para reenfocar o potenciar nuestra carrera profesional. Para el que quiera empezar en este campo, o para el que quiera seguir formándose en el mismo, puede especializarse en la materia a través de un curso de DPO y con ello optar al puesto de DPO en cualquier empresa que solicite el cargo.

En el nuevo curso de DPO de Aranzadi hemos hecho un gran esfuerzo para describir la metodología y las acciones que un DPO debe realizar en el seno de una empresa o como DPO externo. Puedes ver el programa en este enlace:

http://www.tienda.aranzadi.es/productos/formaciones/curso-data-protection-officer/8748/4294967105

 

Nuevo curso de DPO – Data Privacy Officer

Ya está disponible en http://www.tienda.aranzadi.es/productos/formaciones/curso-data-proteccion-officer/8748/4294967105 la posibilidad de reservar plaza en el nuevo curso de DPO (Delegado de Protección Datos) ofrecido por Thomson Reuters Aranzadi con nuestra colaboración.

Principales novedades del nuevo Reglamento Europeo en materia de Protección de Datos

Ayer, 14 de abril, se aprobó por el pleno del Parlamento Europeo el nuevo Reglamento de Protección de Datos. El nuevo Reglamento establece el marco normativo para el conjunto de Europa así como las relaciones con terceros. Todo ello con el objetivo principal de lograr una armonización y unidad de criterio en la aplicación y garantía de los derechos en materia de privacidad y protección de datos así como garantizar unos estándares comunes adaptados al entorno digital.

Los principales cambios que introduce el mismo son los siguientes:

  • Se suprime la necesidad de Inscripción de ficheros ante las Autoridades Nacionales de Protección de Datos. No obstante, tanto el responsable como el encargado de tratamiento deberán mantener un registro, por escrito, de los tratamientos que realicen.
  • En cuanto al Establecimiento principal del responsable se entenderá el lugar de su administración central en la UE con la excepción de que si los fines y medios del tratamiento se hacen en otro Estado, ese se determine como el establecimiento principal.
  • Se refuerza la necesidad de probar y evidenciar el cumplimiento del Reglamento por parte del Responsable del tratamiento a través de la adopción e implementación de políticas y medidas.
  • En cuanto al consentimiento del interesado es necesario que éste se preste mediante acto afirmativo y claro, que refleje una manifestación de la voluntad libre, específica, informada e inequívoca del interesado. En cuanto a los menores de edad, se establece una horquilla de edad entre los 13 y 16 años para prestar el consentimiento de forma válida.
  • En referencia a la obligación de información a facilitar al interesado en el momento de la recogida se añade la información de los datos de contacto del DPO, del plazo de conservación y del Derecho a presentar denuncia ante una Autoridad de Control.
  • En relación al tratamiento de datos personales relativos a condenas e infracciones penales queda restringido a las Autoridades Públicas.
  • No hay novedades acerca de los Derechos ARCO, sin embargo, se incorporan nuevos derechos: el derecho de supresión (relacionado con el Derecho al Olvido), el Derecho a limitación de los datos y el Derecho a la portabilidad de los datos.
  • Se introduce el concepto “Privacy by Design” consistente en la protección de datos desde el diseño y por defecto, en cualquier nuevo proyecto, que deba afrontar una empresa. Asimismo, se establecen dos nuevas obligaciones: realizar evaluaciones del impacto cuando del tratamiento sea probable que resulte un alto riesgo y la consulta previa, a la Autoridad de Control, cuando se realice una evaluación del impacto.
  • Sobre las medidas de seguridad únicamente establece que se deberán aplicar las medias técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo.
  • Se establece la obligación de notificar, en el plazo de 72 horas, cualquier violación de seguridad de los datos ante la Autoridad de Control y, en ciertos casos, al interesado.
  • El Reglamento introduce la figura del DPO (Data Protection Officer) en tratamientos a gran escala.
  • Se introducen dos nuevos documentos: el código de conducta y las certificaciones que ayudarán a garantizar el nivel adecuado a los sujetos que no les aplica el Reglamento. Se crea, un nuevo sello Europeo de Protección de Datos.
  • En lo relativo a las transferencias internaciones, se distinguen 4 escenarios: 1º lista de países que garantizan un nivel de seguridad adecuado, 2º las autorizaciones otorgadas con anterioridad a la entrada en vigor del Reglamento seguirán siendo válidas hasta que sean derogadas, modificadas o sustituidas por la Autoridad de Control o la Comisión. El 3º serán las transferencias dictadas por órganos jurisdiccionales y 4º se mantiene el criterio de excepciones reguladas en la anterior Directiva.
  • En este sentido, se obliga a designar un representante a los responsables que no estén establecidos en la UE, cuando el tratamiento esté relacionado con la oferta de bienes y servicios o la monitorización de comportamientos.
  • Las Autoridades de Control, deberán cooperar, prestarse asistencia mutua y establecer mecanismos de coherencia para la aplicación del Reglamento.
  • Se establecen sanciones de 10 millones o hasta el 2% del volumen de negocio del ejercicio anterior y 20 millones o hasta el 4% del volumen de negocio del ejercicio anterior.

Declaración del WP29 acerca del plan de acción para la implementación del Reglamento General de Protección de Datos

El pasado 2 de febrero, el Grupo de Trabajo del Artículo 29 publicó la citada declaración para orientar la implementación del nuevo Reglamento General de Protección de Datos (RGPD), en vista a su entrada en vigor y plena aplicación el primer semestre de 2018.

En este sentido, se publica el plan de acción para 2016 para marcar las prioridades principales, entre las que destaca un nuevo modelo de gobierno, en el que las Agencias de Protección de Datos tendrán un papel más activo debiendo cooperar entre ellas para garantizar la consistencia del RGPD. El plan de acción consta de los siguientes 4 puntos:

a) Configurar la estructura administrativa del Consejo Europeo de Protección de Datos (CEPD)

Se ha creado un grupo de trabajo formado por Presidente, Vice-Presidentes y el Supervisor Europeo de Protección de Datos (SEPD). El papel principal de dicho grupo de trabajo será el desarrollo de los sistemas de IT para CEPD en el contexto del one-stop shop, así como la supervisión de los recursos humanos, el presupuesto y las futuras normas de funcionamiento del CEPD.

b) Preparar el one stop shop y el mecanismo que le debe dar consistencia

  • Designación de la Autoridad de Protección de Datos principal.
  • Mecanismos para la cooperación en el cumplimiento del one stop shop.
  • Mecanismos de consistencia para el CEPD.

c) Desarrollar guías para Responsables y Encargados del tratamiento

Para ayudar a las empresas a implementar las provisiones del RGPD, se ha establecido como prioridad el desarrollo de guías o procedimientos específicos, especialmente relacionados con los siguientes aspectos:

  • El nuevo derecho de portabilidad.
  • El concepto de riesgo y las Evaluaciones de Impacto.
  • Certificaciones
  • Data Protection Officer.

d) Comunicaciones alrededor del CEPD y el RGPD

Para garantizar la visibilidad e identificación del nuevo marco legal:

  • Se creará una herramienta online de comunicación.
  • Se reforzarán las relaciones entre las Agencias e Instituciones de la UE y otros grupos de supervisión.
  • Se participará en eventos externos para promover el nuevo modelo de gobierno.

Se espera que el plan de acción anterior se revise periódicamente y se complemente en 2017 con nuevos objetivos y material entregable.

Por último, es importante destacar que el WP29 tiene la intención de contar con la opinión de las distintas partes afectadas, tanto de empresas como de organismos representativos de la sociedad civil, a fin de intercambiar opiniones y puntos de vista acerca de la implementación del RGPD.

Marc Rius

Textos referidos:

El Reglamento Europeo de Protección de Datos coge impulso

Artículo de Marc Rius

En reunión de esta mañana del Consejo de Justicia y Asuntos de Interior de la Unión Europea, se ha decidido por pleno consenso aceptar el enfoque general del Reglamento Europeo de Protección de datos, que ha sido elaborado durante los últimos 3 años y medio.

Aunque la mayoría de países han mostrado sus preocupaciones acerca de algunos puntos, todos han coincidido en la necesidad de avanzar en el proyecto y presentarlo lo antes posible ante el Parlamento de la Unión Europea y discutir el texto definitivo. Como todos los países han ido repitiendo a los largo de la sesión, este texto es un texto de compromiso con un amplio margen de mejora, pero sirve de base para empezar los trílogos frente al Parlamento Europeo.

La mayoría de los comentarios críticos con el texto, siendo por tanto el punto más controvertido del texto propuesto actual, propuesto han sido realizados acerca del artículo 6.4, sobre licitud del tratamiento y, en especial, sobre la última frase del mismo. Dicho artículo establece que “Cuando la finalidad del tratamiento posterior sea incompatible con aquella para la que se recogieron los datos personales por el mismo responsable, el tratamiento posterior deberá tener base jurídica al menos en uno de los fundamentos mencionados en el apartado 1, letras a) a e). El tratamiento posterior por el mismo responsable para fines incompatibles por motivos de legítimo interés del responsable o de un tercero será lícito cuando estos intereses superen a los del interesado”.

Las principales críticas al referido artículo ponen en duda la posibilidad de ejercer una protección efectiva de la privacidad de los datos de los usuarios, creando un desequilibrio entre la privacidad y el tratamiento de datos, pudiendo ir incluso contra los propósitos generales de la regulación de protección de datos en Europa.

Otras dudas, o puntos en los que sigue existiendo preocupación y sobre los que se espera poder ahondar durante los trílogos, son:

– El tratamiento de datos con finalidades de investigación científica.
– El tratamiento de datos de menores.
– La transferencia internacional de datos.
– El sistema de ventanilla única.
– El derecho a indemnización y responsabilidad

En especial, el Ministro de Justicia, Rafael Catalá, en representación de España, ha hecho especial hincapié en considerar el texto como un buen compromiso entre los países miembros y la comisión, con aspectos mejorables. En este sentido, ha indicado es especialmente necesario obtener cuanto antes un texto definitivo en pro de los derechos de los ciudadanos y las empresas. El texto va a permitir la tutela de los derechos en toda Europa, dotando a las empresas de normas armonizadas en todo el territorio, lo que repercutirá en la competitividad de éstas.

Este enfoque general crea, según la gran mayoría de representantes del Consejo de Justicia y Asuntos de Interior, un marco de regulación que permite, a grandes rasgos, permitir un alto nivel en la protección de datos de los individuales, así como mejorar la competitividad de las empresas.

El primero de los trílogos está previsto para el 24 de junio, cumpliendo así las expectativas de comprimir el calendario de trabajo lo máximo posible para evitar a toda costa tener un texto definitivo y aprobado a finales de año. Parece por tanto que realmente se ha conseguido el impulso necesario, en parte por el compromiso de crear y desarrollar el Mercado Único Digital como objetivo de la Comisión Europea.

Falta esperar pues si el esfuerzo realizado por el Consejo de Justicia y Asuntos de Interior de la Unión Europea para superar la gran cantidad de notas a pie de página que conformaban la anterior propuesta de Reglamento es suficiente para convencer al Parlamento y si el equipo encargado del proyecto es capaz de conseguir un texto definitivo para finales de año, pero parece ser que esta vez existen posibilidades reales de cumplir los objetivos.