Katie Moum (vía Unsplash)

Reflexiones sobre el delegado de protección de datos en el sector público

/0 Comentarios/en /por

La posible afectación de los derechos y libertades de las personas en relación a los datos de carácter personal debe ser objeto de atención para todo jurista y profesional especializado en este sector pero, sí además se está prestando un servicio en la Administración, como empleado público (funcionario o laboral), debemos ir un paso más allá y orientar nuestros esfuerzos al incremento de la calidad de vida de la ciudadanía.

En general, es necesaria una mayor concienciación en materia de privacidad y disminuir el desequilibrio de control entre los titulares y los poseedores de los datos personales.

El sector público no es ajeno a estos ni a otros problemas, presentando además ciertas características que lo hacen objeto de especial atención:

  • Maneja grandes cantidades de datos.
  • Existe cierta relajación de las personas administradas porque confían en la Administración y, al tiempo, ésta corre el peligro de relajarse al no estar expresamente sancionada su falta de acción.
  • La obligatoriedad normativa de la existencia del DPD en la Administración es un claro indicio de la importancia de garantizar ciertos derechos.

La aplicación de la normativa presenta dificultades de carácter práctico, como por ejemplo la falta de disposición en algunas entidades públicas de personas suficientemente cualificadas para ejercer las funciones de DPD por lo que su designación y comunicación a las autoridades de protección de datos puede constituir un formalismo vacío de contenido.

A continuación analizamos algunas obligaciones y aspectos del responsable y del encargado del tratamiento que aparecen recogidas tanto en el Reglamento General de Protección de Datos (RGPD) como en el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (anteriormente denominado Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal). Deben ser objeto de desarrollo para que se puedan materializar de forma práctica en el sector público:

1. Obligación de garantizar la participación del DPD en las cuestiones relativas a la protección de datos personales

Según el artículo 38.1 RGPD el responsable y el encargado del tratamiento deben asegurar dicha participación, de forma adecuada y en tiempo oportuno. Sin embargo, en determinadas entidades públicas (especialmente las de menor tamaño organizativo) se pueden plantear incógnitas al respecto: ¿Qué cargo o persona concreta de la entidad pública es la encargada de involucrar a este profesional? ¿Cómo lo hará? ¿Cómo establecerá el equilibrio entre su acceso a la información y la confidencialidad o el deber de secreto?

Deberá determinarse la persona o cargo de referencia que velará por “involucrar” de forma efectiva al DPD en la organización. Puede ser útil establecer un procedimiento o protocolo mediante el cual se especifique la forma adecuada de conseguir dicho objetivo, por ejemplo estableciendo los parámetros que permitan asegurar un grado mínimo de participación. Estos procedimientos deberían ser homogéneos para todas las administraciones y atender, además, al desarrollo consensuado de la expresión: “en tiempo oportuno” huyendo de cualquier actuación improvisada o tardía.

Una forma de involucrar al DPD es mediante su participación en reuniones con los cuadros directivos de forma regular. Para ello sería conveniente establecer cronogramas y protocolos sobre el adecuado funcionamiento de dichas reuniones, dejando constancia fehaciente de los acuerdos adoptados en actas. Todo ello para asegurar que, cualquier decisión con implicación en la protección de datos llegará, con toda seguridad, al DPD. Los procedimientos normalizados de trabajo pueden contemplar la prevención de muchos problemas y la forma de resolverlos, como, por ejemplo, el método para consultar con prontitud al DPD ante la existencia de un incidente grave.

El Grupo del Artículo 29 (GT 29) establece que el DPD debe ser tomado en consideración y añade la obligación de argumentar y documentar las razones de no seguir su consejo. Ese especial compromiso es más sólido si se prevén documentalmente estas situaciones y se recoge la forma de proceder en cada supuesto mediante instrucciones o directrices concretas, cómo la determinación de los casos en que debe ser consultado.

La participación está relacionada con la transversalidad y la cooperación y coordinación interdepartamental dentro de la entidad pública. El DPD debe formar parte de los grupos de trabajo que están relacionados con el tratamiento de datos y todas estas relaciones deberían estar previstas y reguladas.

2. Obligación de respaldar al DPD en el ejercicio de sus funciones

De acuerdo con lo preceptuado en el artículo 38.2 RGPDUE, el responsable y el encargado ofrecerán respaldo al DPD. Esto se materializa facilitando:

  • Acceso a los datos y a las operaciones de tratamiento. (Artículo 36.3 Proyecto LOPD).
  • Los recursos necesarios para desempeñar sus funciones.
  • El mantenimiento de sus conocimientos especializados (formación).

Todo ello requiere que, de forma previa, se conciencie y se instruya al empleado público de forma que sea conocedor de estas necesidades para no obstaculizar su puesta en práctica en cada entidad. Pero, además, debería precisarse el alcance real de todos y cada uno de estos aspectos. Al igual que ocurre con otros conceptos jurídicos indeterminados (como “a gran escala”) existe poca claridad y definición que puede ralentizar el ejercicio de las funciones del DPD.

Por eso ofrece mayores garantías la existencia de directrices claras o instrucciones que delimiten con toda la exactitud posible la forma de acceso, los recursos que se consideran mínimamente necesarios y los programas y horas mínimas destinadas a la actualización de conocimientos, así como la organización interna para hacer posible dicha formación.

3. Independencia o autonomía del DPD

Una de las características más importantes de la posición del DPD es su autonomía e independencia (Artículo 38.3 RGPDUE), definida en tres aspectos:

  • El responsable y el encargado deben garantizar que el DPD no reciba ninguna instrucción relativa al desempeño de sus funciones.
  • No puede ser destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
  • El DPD rendirá cuentas al más alto nivel jerárquico del responsable o encargado.

La última redacción del Proyecto LOPD ha añadido una frase al anterior artículo 36.2 sobre la Posición del DPD: “Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses”.

Las garantías para asegurar la autonomía del DPD deberían ser concretadas, especialmente en el caso de aquellas personas que desempeñan estas funciones con carácter interno en la entidad pública y, en particular, si compagina la función de DPD con el desarrollo de otras tareas en la entidad.

Cuanto más definidas estén las actividades y más experiencia y conocimientos posean los responsables de cada departamento o área de DPDs, más fácil será lograr una autonomía real.

Respecto a la rendición de cuentas, el DPD reporta su actividad a los más altos responsables de la organización y estos deberían adoptar las medidas adecuadas para cumplir sus indicaciones. Solo así se hace real su actividad de supervisión. Sin embargo esta tarea puede verse obstaculizada por determinados intereses y prioridades de carácter político que hace necesaria la previsión de consecuencias y resolución de este tipo de incidencias mediante procedimientos preestablecidos.

El artículo 36.2 del Proyecto LOPD específica que el DPD sólo podrá ser removido o sancionado si incurre en dolo o negligencia grave en su ejercicio. En el caso de las entidades públicas podemos plantearnos la duda de quién debe instruir estos procedimientos disciplinarios para asegurar una total neutralidad. La determinación del propio concepto “grave” también puede generar incógnitas.

Otro aspecto a estudiar relacionado con la necesidad de autonomía es la posibilidad de ejercer las funciones de DPD por parte de personas en régimen de interinidad.

La consecución de la independencia real puede que sea una de las preocupaciones prioritarias de los profesionales de la protección de datos.

En el caso del DPD interno a tiempo parcial deben establecerse salvaguardas específicas de detección y de adopción de soluciones alternativas si surgen conflictos de intereses. Como en los casos anteriores, la previsión normativa y organizativa resulta imprescindible en el sector público.

4. Otros aspectos sobre la figura del DPD en el sector público

La Agencia Española de Protección de Datos (AEPD) ha considerado necesario establecer un sistema de certificación de profesionales de protección de datos que permite evaluar a los candidatos. Sobre los requisitos de formación del DPD en el sector público, la provisionalidad en la designación de la acreditación de las entidades certificadoras no ayuda. A fecha de hoy sólo dos han conseguido la designación definitiva. A pesar de ser un punto de referencia para acreditar la capacidad y la formación profesional adecuada, el DPD público requiere otros conocimientos relacionados con la legislación y los procedimientos administrativos.

5. Externalización e Internalización

La decisión de externalizar o internalizar el DPD del sector público presenta argumentos a favor y en contra. De un lado la externalización puede generar una disminución en el control. De otro, parece que resulta más fácil asegurar la independencia o autonomía del/de la profesional.

Pero si consideramos que la prestación de servicios relacionados con la protección de datos implica cierto ejercicio de autoridad, la opción de desempeñar el cargo un/a funcionario/a gana terreno. Si optamos por esta solución habrá que consensuar su posición orgánica concreta en la estructura de puestos de trabajo definiendo su estatuto.

Después de escuchar las opiniones de varios profesionales que ejercen las funciones de DPD en el sector público, podríamos priorizar en orden de relevancia los aspectos prácticos más preocupantes a fecha de hoy:

  • Hacer efectiva la ejecución real del despliegue orgánico que comporta la nueva figura del DPD en el sector público tal y como prevé la normativa. (Y controlar dicho despliegue).
  • Ofrecer la formación necesaria al personal de todas las administraciones públicas. (En especial a las personas de referencia de cada departamento o área).
  • Toma de contacto real e inicio de las actividades de cada DPD.
  • Establecer los criterios básicos mínimos aplicables a todas las administraciones públicas para que la supervisión de la actividad en cada organización sea homogénea.

Las reflexiones sobre todos estos aspectos pueden ayudar a generar debate y ser autoconscientes del punto real de partida en el cual nos hallamos. El análisis de estas situaciones debe servir para prever los problemas y para sugerir soluciones efectivas.

Para ello se va a requerir un esfuerzo considerable de creación de protocolos, procedimientos normalizados de trabajo, instrucciones, circulares y otras normas cuyo objetivo debe ser la homogeneidad en el sector público reduciendo al mínimo la interpretabilidad estableciendo, entre otros aspectos:

  • La forma de determinación de las personas responsables de los tratamientos.
  • El modo de ser consultado el DPD ante determinadas incidencias y las consecuencias de no seguir sus consejos.
  • La manera de hacer del DPD un interlocutor real en la Administración.
  • Planes y proyectos de organización que aseguren el compromiso de asignación de los recursos y las alternativas en caso de incumplimiento.
  • Convenios de colaboración transversal entre departamentos definiendo totalmente las responsabilidades y las tareas.
  • Planes de formación para los profesionales y para el empleado público.

Nos hallamos ante un gran reto, por otro lado apasionante, cuya implicación y responsabilidad de resolución corresponde, además del legislador y las autoridades a todas aquellas personas profesionales del sector de la protección de datos.

Sergio Duarte

RiskPlayWin (vía Pixabay)

Videocámaras en mi local comercial

/0 Comentarios/en /por

Es cada vez más frecuente que comerciantes y profesionales instalen videocámaras en su local comercial. Los principales motivos para la instalación de estas videocámaras son la protección y vigilancia frente a actos vandálicos e ilícitos, así como el control de la prestación de servicios de los trabajadores. Pero… ¿se puede colocar la videocámara donde se quiera, como se quiera y para lo que se quiera?

La respuesta a estas preguntas es clara: NO. En primer lugar, hay que tener en cuenta que estas videocámaras van a grabar la imagen de personas físicas, la cual cosa se traduce en que va a tener lugar un tratamiento de datos de carácter personal y que, por tanto, va a resultar de aplicación la normativa sobre protección de datos de carácter personal. Por otro lado, no hemos de olvidar la normativa referente a la grabación en espacios públicos y privados, ni la referida a la protección de los derechos de los trabajadores (en caso de que en el local comercial, además del empresario, autónomo o profesional, existan trabajadores).

Respecto a la protección de datos personales, vamos a tener que aplicar el Reglamento General de Protección de Datos (en lo sucesivo, RGPD), así como la normativa estatal que sea de aplicación, por lo que hay que revisar los tratamientos que se estén llevando a cabo para cerciorarnos de que cumplen con la normativa vigente. Respecto al RGPD no vamos a incidir en exceso puesto que ya se ha escrito mucho sobre el tema (en este sentido, me remito al artículo “Datos personales: nuevos retos para pequeñas empresas”).

No obstante, es importante tener en cuenta lo siguiente:

  1. El hecho de disponer de una videocámara no va a servir para cualquier finalidad, de modo que si la videocámara se ha instalado a los efectos de seguridad, para la protección y vigilancia frente actos vandálicos de terceros, no van a poder aprovecharse estas grabaciones para sancionar a un trabajador por incumplimiento de sus obligaciones laborales.
  2. Los principios de proporcionalidad y minimización de datos imponen que únicamente se considerará admisible la instalación de videocámaras cuando la finalidad de vigilancia no pueda obtenerse a través otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal, la cual cosa hace que difícilmente puedan utilizarse las mismas en determinados espacios, incluso dentro del propio local comercial, tales como vestuarios y, por descontado, servicios.
  3. Debe colocarse uno o más carteles informativos (en función de la zona videovigilada), aunque no hace falta que estén al lado de las videocámaras.
  4. En el plazo máximo de un mes desde la grabación de las imágenes, éstas deben ser borradas, salvo que deban conservarse para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.

Además, cabe tener presente que no es posible la grabación de la vía pública (lo cual está reservado para las Fuerzas y Cuerpos de Seguridad), salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de las videocámaras, debiendo evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Tampoco pueden grabarse espacios privados ajenos.

Si nos centramos ahora en la utilización de las videocámaras con el objetivo de controlar que los trabajadores cumplen con sus obligaciones laborales, debemos decir que este mecanismo está amparado por el artículo 20.3 del Estatuto de los trabajadores, que autoriza al empresario a “adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales […]”, lo que trae consigo que no sea necesario el consentimiento de los trabajadores, ya que el mismo se entiende implícito en la aceptación del contrato de trabajo que, a su vez, comporta el reconocimiento del poder de dirección del empresario. Ello no obsta a que, en el uso de éste o cualquier otro sistema de control, el empleador deberá respetar los derechos fundamentales de los trabajadores, de forma que estas videocámaras únicamente podrán ser ubicadas en los espacios públicos de la empresa (incluido el almacén), pero no en aquellos espacios de uso exclusivo o destinados a actividades íntimas, como servicios o vestuarios.

Por otro lado, existiendo, como hemos comentado, un tratamiento de datos personales derivado de la grabación, es necesario que se informe expresamente a los trabajadores y, en caso de existir, a la representación sindical, acerca de la instalación de las videocámaras con el objeto de llevar a cabo el control empresarial, así como de sus efectos. La captación de las imágenes, sin efectuar la referida comunicación, no es legítima, ya que, aunque la videocámara se coloque en espacios públicos de la empresa, puede ocasionarse una vulneración al derecho a la intimidad del trabajador.

¿Y qué pasa si el empresario tiene indicios razonables de que un trabajador está cometiendo alguna infracción laboral? ¿Puede colocar una videocámara oculta? Como poder, puede, ahora bien, sobre este extremo se ha pronunciado recientemente el Tribunal Europeo de Derechos Humanos, en sentencia de 9 de enero de 2018, en que viene a decir que la videovigilancia oculta a un trabajador en su puesto de trabajo es una injerencia en su derecho a la vida privada. Así, aunque esta videovigilancia oculta se haya implementado tras unas sospechas de hurto por parte de los trabajadores, como en el caso enjuiciado, ha de existir una previa información, aunque sea general, acerca de la instalación del sistema de videovigilancia y de su finalidad, teniendo presente, además, que esta medida solo debería emplearse cuando fuera necesaria e imprescindible para el fin perseguido, no exista otra medida menos lesiva para los derechos fundamentales de los trabajadores y exista una adecuada proporcionalidad entre la duración, objeto y tratamiento de los datos, por un lado, y el fin perseguido, por otro lado.

Laura Melgar Martínez
Abogada y Gestora Administrativa
Socia de Gest&Ius y Abogada de Dereplac Services
LinkedIn (Laura Melgar Martínez)
Twitter (@LauraM_Abogada)

Zsófia Vera Mezei (vía Unsplash)

Última hora del derecho al olvido vs libertad de información

/0 Comentarios/en /por

«Análisis conjunto de la STC. 58/2018 y de la STEDH de 28 de junio de 2018 (Caso M.L. et W.W. vs. Alemania) y contraste con las previsiones del RGPD.»

 

El pasado mes de junio se dictaron dos Sentencias, por el Tribunal Constitucional (STC. 58/2018, de 4 de junio) y por el Tribunal Europeo de Derechos Humanos (STEDH de 28 de junio de 2018, Caso M.L. et W.W. vs. Alemania) que, en aparente contradicción, dan un paso más en la doctrina sobre el derecho al olvido y los motores de búsqueda contenida en la archicitada Sentencia del TJUE (Gran Sala) de 13 de mayo de 2014 (asunto C‑131/12, Google Spain, S.L. y Google Inc.).

Recordemos sintéticamente que el TJUE (y actualmente el art. 17.1 a) del RGPD) imponen a los motores de búsqueda la obligación de eliminar los enlaces a páginas web de la lista de resultados basada en el nombre cuando un tratamiento de datos inicialmente lícito pudiera, con el tiempo, no ser ya necesario para los fines para los que fueron recogidos o tratados. El Tribunal otorgó prevalencia al derecho a la intimidad y a la protección de datos, salvo en casos en que la relevancia pública del sujeto u objeto hiciera prevalecer el derecho a la información (en el mismo sentido hoy el art.17.3 a) del RGPD). Por primera vez se dejaba claro que el tratamiento de datos personales realizado constituye una mayor injerencia para los derechos fundamentales del interesado que la publicación de la información en la página web enlazada.

En congruencia con esa doctrina, cuando la Sala Primera de nuestro TS hubo de enfrentarse en su Sentencia de 15 de octubre de 2015 (rec. 2772/2013) a un caso de “derecho al olvido” sobre una noticia relativa a un delito de tráfico de drogas publicada 20 años antes de su puesta a disposición en la hemeroteca digital del diario, ya tenía el camino marcado por el TJUE (y por sus propios antecedentes en SSTS.1917/2016, 1618/2016 y 210/2016) y así, una vez constatadas la carencia de relevancia pública de los demandantes, la ausencia de interés histórico en la información y el considerable tiempo trascurrido desde su inicial divulgación, estimó la pretensión de desindexación en buscadores generalistas al valorar ese tratamiento  desproporcionado, estigmatizador y contrario a la finalidad de reinserción.

El litigio llegó al TC porque los interesados pretendieron, además, que sus datos personales fueran desindexados también del buscador interno del diario y que se suprimiesen o anonimizasen en el código fuente de la web, lo que fue desestimado por el TS al considerarlo un sacrificio desproporcionado de la libertad de información (“censura retrospectiva”), por su mínimo efecto multiplicador en relación con los buscadores generales y en vista de la jurisprudencia del TEDH protectora de la integridad de las hemerotecas digitales.

Circunscrito el recurso de amparo a ese concreto y limitado aspecto, la STC.58/2018, de 4 de junio, resuelve el conflicto con la libertad informativa otorgando prevalencia al primero, obligando a desindexar los datos personales “para su uso por el motor de búsqueda interno de El País”,  que “debe ser considerada una medida limitativa de la libertad de información idónea, necesaria y proporcionada”. Por el contrario, el TC rechaza la pretensión de supresión o anonimización de datos personales del código fuente de la web por estimarla  innecesaria y limitativa de la libertad de prensa.

Es cierto que la STC. 58/2018 aplica la doctrina sentada por el TEDH para esta clase de conflictos, basada en los criterios de veracidad de la información, relevancia pública de los hechos (en el sentido de noticiables), el efecto multiplicador de las hemerotecas digitales sobre la afección en los derechos de la personalidad y la incidencia del tiempo (desactualización de la noticia).

Pero el TC añade una consideración novedosa, al diferenciar dos finalidades de las hemerotecas digitales: “Por un lado, la de garante de la pluralidad informativa que sustenta la construcción de sociedades democráticas, y, por otro, la de crear archivos a partir de informaciones publicadas previamente, que resulta sumamente útil para la investigación histórica… si bien ambas desempeñan una función notable en la formación de la opinión pública libre, no merecen un nivel de protección equivalente al amparo de la protección de las libertades informativas, por cuanto una de las funciones es principal y la otra secundaria”. La función principal “va dirigida a garantizar la formación de una opinión pública plural, no a satisfacer la curiosidad individual y focalizada”. De modo que el TC encuentra mayor justificación en sacrificar la libertad de información en favor de los derechos previstos en el art.18.1 y 4 CE cuando se trata de  noticias que tengan un mero interés histórico, estadístico o científico, que en los casos de noticias con un interés informativo actual.

Dejando a un lado este interesante e inédito punto de vista, lo cierto es que la obligación de desindexar, incluso respecto de los buscadores internos de los diarios, no se compadece bien con un importante aspecto de la libertad de información, y  potencial riesgo para ésta como es la “autocensura”, riesgo sobre el que ha alertado la STEDH de 28 de junio de 2018, Caso M.L. et W.W. vs. Alemania, al resolver sobre un supuesto de denegación del derecho al olvido ejercitado por los protagonistas de varias noticias relativas a graves delitos estando próximo el cumplimiento de las penas por sus autores.

El TEDH pone de manifiesto “el riesgo de que se produzca un efecto disuasorio sobre la libertad de expresión de la prensa…, en particular el riesgo de que los medios de comunicación, por falta de personal suficiente y de tiempo para examinar dichas solicitudes, ya no se vean obligados a incluir en sus informaciones elementos que puedan llegar a ser ilegales posteriormente”. Advierte que las solicitudes de supresión podrían entrañar “el riesgo de que la prensa se abstuviera de conservar las informaciones en sus archivos en línea u omitiera elementos individualizados en las informaciones…”.

Las anteriores consideraciones parecen muy pertinentes en relación con la obligación de desindexar los datos personales de las noticias también respecto de los buscadores internos de los diarios, pretensiones que, de ejercitarse masivamente, y en caso de falta de medios para atenderlas, podrían conducir a que aquellos optasen por no mantener las hemerotecas digitales, o lo que sería más grave aún, optasen por no incluir datos personales en sus informaciones, supuesto de “autocensura” poco razonable.

Aunque se admitiese la tesis del TC de que la funcionalidad de mera investigación histórica que cumplen secundariamente las hemerotecas digitales no merece el mismo nivel de protección constitucional que la de formación de una opinión pública libre (libertad de información), el art.17.3 del RGPD es taxativo al prescribir que el derecho al olvido “no se aplicará” cuando el tratamiento sea necesario con fines de investigación científica o histórica “en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento…”, y no parece dudoso que la desindexación en buscadores generalistas y en buscadores internos de los diarios “obstaculiza gravemente” ese tratamiento con fines de archivo e investigación.

En todo caso, la conciliación del derecho a la protección de los datos personales con el derecho a la libertad de expresión y de información, es uno de los pocos mandatos de regulación que el RGPD (art.85.1) dirige a los Estados miembros, que deberá efectuarse mediante norma con rango de Ley, estableciendo exenciones o excepciones al derecho al olvido (art.85.2).

Pese a lo anterior, sorprendentemente, el proyecto de Ley de Orgánica de Protección de Datos de Carácter Personal actualmente en trámite (texto publicado en el BOCG de 24 de noviembre de 2017), no contempla regulación alguna al respecto, como ya sucediera por cierto con la Ley Orgánica actualmente vigente, omisión que habrá de ser subsanada durante su tramitación parlamentaria con objeto de no incumplir el claro  mandato del RGPD.

 

Javier Núñez Seoane. Abogado

PROLEY ABOGADOS.

Socio ENATIC

@abotgado_es

Sara Kurfeß (vía Unsplash)

El valor de nuestro patrimonio digital

/1 Comentario/en /por

¿Cuánto valen los expedientes de los pacientes, nuestras fotografías personales, videos, grabaciones, notas, tareas, calendarios, apuntes, tesis, informes, investigaciones, correos electrónicos, datos o contabilidades de nuestros clientes, y toda esa información valiosa que hemos acumulado por años?

Y muy importante ¿qué se hace del soporte informático que está depositado en custodia en notarias y juzgados?

Esta última, era una de las preguntas que formule a uno de los oficiales durante mi intervención en una de las notarias en las que trabajo como perito informático.

Cuando acudimos a realizar una clonación de un disco, extracción de datos de dispositivos móviles o a levantar el acta de una web, siempre dejamos una copia en custodia hasta el día de la vista, esta copia u original en depósito debería ser debidamente eliminada la información siguiendo un protocolo de borrado o destrucción de datos dado los datos sensibles y confidenciales que contienen.

¿DONDE ALMACENAMOS LOS DATOS?

Ordenadores, Teléfonos, Tablet, Discos Externos, Impresoras, Pendrive, Vehículos….

¿ES VALIOSA LA INFORMACIÓN PARA EL CIBERDELINCUENTE?

En estos dispositivos buscan información, como contactos, agendas, correos electrónicos para enviar spam, fotografías, números de cuenta, datos financieros y de clientes para elaborar una suplantación de identidad.

La suplantación de identidad consiste en el uso de información personal para hacerse pasar por otra persona con el fin de obtener un beneficio propio.  

¿A DONDE VAN NUESTROS DATOS PERSONALES? 

VERTEDEROS TECNOLOGICOS Y PUNTOS LIMPIOS

SERVICIO TECNICO (sustitución, reparación o recuperación de datos)

OTRO USUARIO, DONACION O REGALO

¿QUE ES “DATO PERSONAL” SEGÚN EL RGPD?

«Dato personal” se define como “Toda información sobre una persona física identificada o identificable”. Es un concepto que va mucho más allá de la definición tradicional de información de identificación personal, ya que este incluye el nombre, dirección de correo electrónico, posts en medios sociales, información física, fisiológica o genética, datos médicos, ubicación, geolocalización, detalles bancarios, dirección IP, cookies e identidad cultural de la persona en cuestión.

Uno de los requisitos clave de la RGPD de la UE es que la información personal esté cifrada. Donde quiera que se utilice el cifrado como medida técnica, la información debe poder ser restaurada rápidamente después de una incidencia y los archivos deben guardarse para probar que los sistemas son seguros y recuperables.

CONSEJOS

  • BORRAR O DESTRUIR NUESTROS DATOS DE MANERA SEGURA.
  • SOLICITAR CERTIFICADOS DE BORRADO Y DESTRUCCION INCLUSO DE SERVICIOS EN LA NUBE.
  • CONFIGURAR EL BORRADO REMOTO EN LOS DISPOSITIVOS MÓVILES
  • NO REGALAR, NI VENDER, NI TIRAR, MOVILES, PORTATILES, NI DISPOSITIVOS CON INFORMACION QUE PUEDA PONER EN PELIGRO NUESTRA PRIVACIDAD.
  • REALIZAR COPIAS DE SEGURIDAD EXTERNAS CIFRADAS.

 

David del Olmo.

Périto Informático Forense.

Master en informática forense y delitos informáticos.

Miembro de Enatic.

DocuSign (via Unsplash)

¿Y si no acepto la política de privacidad?

/0 Comentarios/en /por

Poco antes del 25 de mayo de 2018, la bandeja de entrada de nuestro email se llenaba de mensajes solicitándonos renovar el consentimiento para adaptarlo a la nueva política de protección de datos. Es un hecho que muchos de esos mensajes ni siquiera han sido abiertos. ¿Qué va a pasar ahora con los datos de todos esos clientes que no han renovado el consentimiento?

Es muy habitual dejarlo todo para el final, y la protección de datos no iba a ser una excepción. El Reglamento General de Protección de Datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE; en adelante RGPD), entró en vigor el 25 de mayo de 2018, y lo hizo con una “vacatio legis” de dos años, precisamente porque, dada la complejidad de la norma, se entendió desde el legislador comunitario que era necesario un periodo de adaptación.

El pasado 25 de mayo de 2018, fecha en que el RGPD comenzó a ser plenamente aplicable en todos los Estados de la Unión, fuimos sometidos a un bombardeo sin precedentes, especialmente a través del email, en el cual las empresas nos instaban a renovar nuestro consentimiento para seguir tratando nuestros datos de carácter personal.

Como ciudadanos, hemos reparado en que nuestros datos constaban en los registros de muchas empresas, de las cuales ni siquiera éramos conscientes de su existencia y, en la mayoría de los casos hemos aprovechado la ocasión para dejar de recibir sus comunicaciones, simplemente dejando de aceptar su solicitud.

¿Pero es necesario el consentimiento de los interesados para tratar sus datos de carácter personal?

El RGPD nos habla de legitimación para el tratamiento de datos (principalmente en su art. 6, utilizando el término “licitud”), reconociendo el consentimiento como una de las condiciones para poder tratar datos de carácter personal, pero no la única.

Así, el responsable podrá tratar los datos para fines legítimos siempre que sea necesario para la ejecución de un contrato en el que el interesado sea parte, cuando el tratamiento sea necesario para cumplir con una obligación legal del responsable, cuando sea necesario para proteger los intereses vitales del interesado o de otra persona física; cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; o el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

En caso de encontrarnos fuera de cualquiera de estos supuestos, los datos únicamente podrán ser tratados con el consentimiento del interesado.

Pero no todo el consentimiento es válido, el RGPD impone en su considerando 32, que el consentimiento “debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”, no se admite, por tanto el silencio, las casillas ya marcadas o la inacción. Además, el consentimiento ha de darse para cada uno de los fines del tratamiento.

Si antes del 25 de mayo de 2018 ya contábamos con el consentimiento del interesado y el mismo había sido prestado con estas características, no es necesario volver a solicitarlo, lo mismo sucede si el tratamiento puede ampararse en alguno de los otros supuestos de licitud.

Es un hecho que muchas empresas se han prestado a solicitar consentimientos que ya tenían (sin duda mal asesoradas) y han perdido con ello gran parte de su base de datos, con todos los perjuicios que ello conlleva.

Debemos distinguir en todo momento el deber de informar de la necesidad de obtener el consentimiento.

Así, el considerando 60 del RGPD  exige que, para cumplir con los principios de transparencia y lealtad, se informe al interesado de la existencia de cualquier tratamiento y sus fines. Debemos informar a los interesados sobre el uso que estamos dando a sus datos, pero como ya hemos visto, muchas veces no necesitaremos su autorización para tratar los mismos.

Y esta distinción puede suponer una gran diferencia a nivel operativo.

La Agencia Española de Protección de Datos (AEPD), junto con las Autoridades Vasca y Catalana, han desarrollado una “Guía para el cumplimiento del deber de informar” cuya finalidad principal es “orientar acerca de las mejores prácticas para dar cumplimiento a la obligación de informar a los interesados, en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asistenhttps://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf

¿Qué pasa entonces si el interesado no consiente?

Puede ser que el titular de los datos no haya abierto el email, no lo haya entendido, o simplemente no haya querido realizar la acción positiva de aceptar. Da igual el motivo, pues en principio tenemos que considerar que el consentimiento no ha sido otorgado.

A partir de aquí va a depender de si ese consentimiento era imprescindible o podemos reconducir la legitimación para el tratamiento a alguna otra fuente de las contenidas en el art. 6 del Reglamento General de Protección de Datos.

Si no existe otra base legítima, el consentimiento se hace obligatorio y por tanto, si no lo tenemos, no podemos seguir tratando esos datos.

Se hace necesaria entonces su supresión, pues tal y como dispone el art. 17 del RGPD: los datos han de ser suprimidos cuando retire el interesado retire el consentimiento. Podemos entender que el consentimiento con los requisitos del RGPD nunca ha sido otorgado y, por tanto, la permanencia de esos datos en poder del responsable no sería lícita.

Sí debemos mantener los datos cuando los mismos sean necesarios para el ejercicio del derecho a la libertad de expresión o información, para cumplir con una obligación legal derivada del derecho de la Unión; o para el cumplimiento de una misión realizada en interés público o en ejercicio de los poderes públicos; por razón de interés público en el ámbito de la salud; con fines de archivo, de investigación científica o histórica o fines estadísticos; o para el ejercicio de reclamaciones.

Por lo tanto, y a modo de conclusión, hemos de determinar en primer lugar, si existe o no necesidad de solicitar de nuevo el consentimiento, bien porque ya lo tuviéramos anteriormente con los requisitos que marca el RGPD, bien porque el tratamiento sea lícito de acuerdo a otra base de legitimación.

En caso de ser necesaria esa solicitud de consentimiento, si no ha sido otorgado correctamente, el responsable tendrá que abstenerse de hacer uso de los datos y proceder sin demora a su supresión, salvo que deba conservarlos en virtud de lo dispuesto en el  art. 17.3 del RGPD.

Marian Rojo Setién

Responsable del Área de Protección de Datos de Letradox Abogados

www.letradox.com

Asociada de ENATIC

6 pasos para sobrevivir al RGPD si eres autónomo o microempresa

/1 Comentario/en /por

Seguramente que durante el mes de mayo hayas sufrido una auténtica avalancha de correos pidiéndote el consentimiento para tratar tus datos personales o informándote      de cambios en la política de privacidad de la empresa de turno. Lo más probable es     que, harto de recibir correos parecidos o de que cada vez que entraras en una web se abriese un mensaje haciendo referencia a la nueva regulación de la protección de datos, hayas acabado borrando los correos sin siquiera leerlos. Por unos días, la cosa parecía habérsenos ido de las manos. El lado positivo de este fenómeno puede que haya sido  que nos haya empezado a preocupar esto de la privacidad y la protección de nuestros datos personales.

Ahora ha pasado el chaparrón (Más bien el diluvio universal) y ya es de aplicación el Reglamento General de protección de Datos (Entró en vigor en el mes de mayo de 2016, por más que muchos, en sus correos, se empeñasen convencernos de que entraba en vigor el 25 de mayo de este año). Hemos sobrevivido al anunciado Apocalípsis y es el momento de reflexionar y no pasar página como si este asunto solo fuese con las grandes empresas o se tratase de una moda pasajera. Puede que no llegases a tiempo a tener tus cosas en orden antes de esa fecha, cosa comprensible si eres una microempresa o un autónomo, teniendo en cuenta que ni nuestro Legislador aún no ha logrado redactar el texto definitivo de una ley que desarrolle el RGPD en España. Si ese es tu caso, habrá que ponerse manos a la obra para cumplir.

Los datos personales son un activo importante para cualquier empresa. Pero su tratamiento tiene una repercusión y genera unos riesgos para los titulares de tales datos hasta el punto de que el acceso ilegítimo a los mismos, en los casos más graves, puede incluso ser constitutivo delito. Por ello, su control por parte de los interesados y su protección por parte de quien los trata, son cada vez más importantes y necesarios.

Voy a tratar de marcar un punto de partida para que un autónomo o una microempresa pueda dibujar un mapa mental que le ayude a hacer sus deberes en esto del cumplimiento en materia de protección de datos, sin obviar la complejidad técnica que ello conlleva y que hace imposible tratar más en profundidad el tema en este artículo.

Más del 80% del tejido empresarial en España son microempresas (De 1 a 9 trabajadores) y autónomos. Este sector es el que más dificultad está teniendo para adaptarse a la  nueva legislación y sin embargo, no podemos obviar el hecho de que está tratando una importante cantidad de datos en su conjunto. Este hecho es preocupante porque, como ciudadanos, todos somos cada vez más conscientes de nuestros derechos, nos importa nuestra privacidad, empezamos a interesarnos por lo que se hace con nuestros datos y a exigir que se garanticen nuestros derechos.

Lo primero que debemos hacer es cambiar nuestra mentalidad, porque el nuevo reglamento pretende crear una cultura de cumplimiento y ya no valdrá con adoptar  unas cuantas medidas que la ley nos marca, tener inscritos unos ficheros y contar con unos cuantos formularios para cubrirnos las espaladas frente a una posible reclamación. Seremos nosotros, los responsables del tratamiento, quienes tendremos que estudiar nuestra empresa, definir y diseñar las actividades que suponen un tratamiento de datos personales, analizar los riesgos, implementar las medidas que consideremos necesarias para garantizar la seguridad de los datos y el ejercicio de los derechos de los interesados, comprobar que funcionan y evaluar periódicamente que todo va bien.

Probablemente hayas consultado en Google la información  publicada  por  la  AEPD  para orientarnos en la adaptación al RGPD, foros profesionales o blogs de expertos y puede que hasta hayas acabado teniendo más dudas que al principio de tu búsqueda. El RGPD, también conocido como GDPR, por sus siglas en inglés (General Datta Protection Regulation), es una norma extensa y compleja, no nos vamos a engañar, por lo que puede que aún te estés preguntando por dónde empezar.

Vamos a tratar de ir al grano y, pensando en una empresa pequeña, recorreremos el camino  para cumplir con la GDPR en seis pasos fundamentales.

1.- DEFINIR Y DISEÑAR LOS TRATAMIENTOS

 ¿Y esto, qué es? Hay que empezar por echar un vistazo a nuestra actividad e identificar los tratamientos de datos personales que llevamos o pretendemos llevar a cabo. Si teníamos inscritos previamente ficheros en la AEPD, revisarlos puede ser un buen punto de partida.

¿Qué es dato personal?: “Toda la información sobre una persona física identificada o identificable” (art. 4.1 GDPR). Por tanto pueden ser datos personales el nombre, el domicilio, el número de teléfono, una dirección IP, la fotografía de una persona, su número de cuenta bancaria, etc. Mucho cuidado con el término identificable, porque son muchos los datos que pueden hacer identificable a una persona, y más si se relacionan con otros.

El artículo 25 de la RGDP obliga a que la privacidad se garantice desde el diseño (privacy by desing) y por defecto. Todo tratamiento, desde la recogida de los datos, hasta su destrucción, pasando por sus diversos tratamientos y la implantación de medidas técnicas,

jurídicas y administrativas, debe concebirse, a la luz de los principios del tratamiento que se indican en el artículo 5 de la norma: Licitud, lealtad y transparencia, limitación de   la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad.

Esto significa que tendremos que plantearnos cómo obtenemos los datos, cómo y dónde los clasificamos y almacenamos, el uso que hacemos de ellos, si los cedemos a terceros o los trasferimos fuera de la UE y cómo y cuándo los destruimos.

Es importante dedicar tiempo al primer paso porque podemos olvidar alguna actividad  que suponga el tratamiento de datos personales y ese despiste puede tener graves consecuencias para los interesados y para nosotros.

2.-REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Ya sabemos los tratamientos de datos personales que hace nuestra empresa. Ahora tenemos que confeccionar un registro de actividades de tratamiento. Se trata de un documento que puede tener el formato que se prefiera y en el que se deberá registrar cada una de las actividades de tratamiento que se llevan a cabo. Como ejemplo, se  podría hacer una clasificación de los tratamientos de datos por categorías: Clientes, proveedores, trabajadores, colaboradores y gestión comercial.

Para los tratamientos de cada categoría debemos determinar su finalidad, indicar la base jurídica o legitimación para llevar a cabo el tratamiento y determinar las categorías de afectados.

Este registro no es un documento que podamos dejar guardado y olvidado en una carpeta. Es un documento que debe permanecer vivo y actualizado con cada cambio que sufran los tratamientos que haga la empresa.

Es muy importante, llegados a este punto, comprobar si tratamos datos de lo que la RGPD denomina categorías especiales, ya que estos datos deberemos protegerlos casi con nuestra vida. Estos datos serán los que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud, datos relativos a la vida y orientación sexuales, derivados de actos de violencia de género y sobre infracciones y condenas penales.

El tratamiento de este tipo de datos nos obligará a extremar las medidas de protección, condicionará en gran medida la base legal   que nos faculta para su tratamiento y,  en      la mayoría de los casos, nos obligará a llevar a cabo una evaluación de impacto para calibrar las consecuencias que tendría cualquier incidencia  referida a ellos. Además, si   la base legal para el tratamiento de estos datos es el consentimiento, debe recabarse de forma específica para cada una de estas categorías.

No obstante, a pesar de tratar este tipo de datos, podemos llegar a la conclusión de no que no hay un riesgo importante y no necesitamos hacer esta evaluación. En tal caso debemos redactar un informe indicando porqué llegamos a esta conclusión y justificar no llevarla a cabo.

Es posible que a estas alturas del artículo haya empezado a hacérsete bola esto de la protección de datos. Tranquilo, el primer paso siempre cuesta pero una vez dado, tenemos que ir por los demás.

3.- ANÁLISIS DE RIESGOS

Es hora de identificar las amenazas que pueden poner en peligro la confidencialidad, la integridad y la disponibilidad de los datos que tratamos. Debe evitarse cualquier acceso a datos personales por parte de persona no autorizada. Debe garantizarse que los datos que tratamos permanecen completos e inmutables. Además, debemos tener siempre disponibles los datos que tratamos porque el interesado puede solicitarnos acceso a los mismos y además pedirnos copia documental de ellos.

Una amenaza puede ser, desde la pérdida de los datos a causa de un borrado o modificación accidental, a un acceso no autorizado de un empleado o de alguien de fuera de la empresa, pasando por la propia pérdida por extravío de un móvil o un ordenador portátil.

Identificadas las amenazas tendremos que valorar la probabilidad de que ocurra un incidente. Habrá amenazas que sea poco probable que se materialicen y otras cuya probabilidad de que nos afecten sea mayor. La probabilidad podemos clasificarla en máxima, significativa, limitada o despreciable. Las medidas de seguridad que adoptemos dependerán de este análisis. Aquí debemos tener de nuevo en cuenta si estamos tratando datos personales de categorías especiales.

Si nos hemos tomado el tiempo necesario para identificar los tratamientos que llevamos a cabo, nos será más fácil identificar las amenazas y valorar el riesgo de que produzca una incidencia.

Si teníamos un documento se seguridad, tendremos que revisarlo puesto que ahora ya  no hablamos de niveles de seguridad ni de medidas concretas que la Ley nos obliga a adoptar. La nueva regulación nos considera mayores y responsables y nos encarga elegir los protocolos de actuación y las medidas que consideremos adecuadas y suficientes para garantizar los derechos de los interesados y poder probar que lo hacemos (Ahí es nada la cosa).

Evaluados los riesgos, podemos ponernos manos a la obra con el diseño e implantación de las medidas organizativas y de seguridad que resulten necesarias.

Las medidas pueden ser muy diversas y dependerán de la estructura y funcionamiento de cada empresa o negocio pero algunas pueden ser válidas para la mayoría. Por aquello de que para muestra basta un botón, vamos a indicar algunas de ellas:

Protocolos para recabar el consentimiento de los interesados, cuando sea esta la base legal para el tratamiento. La GDPR entiende por consentimiento “la voluntad libre, específica informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. (El origen del diluvio de correos que hemos recibido los días previos al 25 de mayo pidiendo nuestro consentimiento). Esto conlleva examinar cómo recabamos en el pasado el consentimiento para valorar si es necesario, o no, volver a solicitarlo en la forma que ahora se exige y hacer la correspondiente criba. Por favor, no sigas tratando datos cuyos interesados no te hayan dado su consentimiento según exige la GDPR.

Habrá que revisar nuestros contratos, los boletines de contacto y suscripción de nuestra web o blog y cualquier otro punto de recogida de datos personales para conseguir que    el consentimiento no ofrezca duda y que los interesados estén correcta y completamente informados de la necesidad, finalidad y temporalidad del tratamiento así como de quien es el responsable del mismo.

Seguramente necesitarás la ayuda de profesionales en la implantación de este tipo de medidas, un jurista especialista en la materia y un informático que haga los cambios correspondientes en tu web.

Si tienes tu web en Word Press, hay varios plugins para adaptar su web a la GDPR que pueden ser de utilidad: GDPR, WP GDPR Compliance, GDPR V Check, etc. En cualquier caso, los textos nunca deben aplicarse a nuestro caso sin estudiarlos previamente y comprobar que se adaptan a los tratamientos que hemos diseñado en nuestra empresa o negocio. El prêt-à-porter en cumplimiento de la GDPR no sirve y compensa invertir en un trabajo profesional que nos evitará multas y reclamaciones de perjudicados.

– Control de acceso del personal a archivos y dispositivos que contienen archivos con datos personales, adjudicación de contraseñas, huella digital en teléfonos móviles, etc.

  • Pseudonimizar y cifrar los datos en nuestros equipos (cifrado de disco duro o carpetas correspondientes, cifrado de memorias de almacenamiento externo, cifrado de correo…). El sistema Windows 10, no incorpora la opción de cifrado en todas sus versiones, sólo  en Enterprise y Pro, por lo que antes de elegir un equipo o un software debemos tener en cuenta estos aspectos. Si tenemos equipos que no lo incorporan, necesitaremos software externo que nos permita el cifrado.

El cifrado será también necesario en nuestra web, que requerirá de un certificado SSL para que los datos que se recojan a través de boletines de contacto o suscripción, por ejemplo, circulen cifrados y de forma segura. La mayor parte de los hosting ofrecen certificados SSL muy económicos o gratuitos. Let´s Scrypt ofrece también de forma gratuita este certificado.

  • Realizar un inventario de los soportes (Memorias externas, portátiles, smartphones…) o documentos físicos (que aún los hay) que contienen datos personales, e implantar medidas que garanticen el traslado seguro de los mismos, sin olvidar que también debemos llevar a cabo su borrado de forma segura. Para dispositivos electrónicos hay herramientas como Eraser o Hardwipe que pueden sernos de utilidad. Activar un sistema de borrado remoto para teléfonos móviles también nos ayudará a preservar los datos almacenados en caso de pérdida o sustracción de los mismos. No olvidemos borrar periódicamente los archivos que contienen datos personales almacenados en las aplicaciones de escaneo de los teléfonos móviles.
  • Cada vez es más frecuente trabajar fuera de las instalaciones de la empresa, en tales casos debe hacerse uso de una VPN.
  • Dado que la GDPR otorga a los interesados el derecho a solicitarnos copia documental de los datos que estamos tratando, se hace imprescindible contar con copias de seguridad de los archivos que contienen datos personales. Lo más recomendable es tener copia en una memoria de almacenamiento externa y en cloud.
  • Teniendo en cuenta que solemos recoger, almacenar, tratar o destruir datos personales por medios tecnológicos, tendremos que adoptar medidas de seguridad informática. Si no estamos muy duchos en el tema, nos tocará contratar los servicios de un profesional pero no podemos ver este gasto como un coste sino como una inversión rentable.

Contar con un antivirus, un firewall correctamente parametrizado, unas normas sobre uso de dispositivos electrónicos en la empresa o una configuración adecuada de las cuentas de usuario en redes sociales o aplicaciones, entre otras, son medidas básicas que tenderemos que adoptar si no lo hemos hecho hasta ahora.

En ese documento deberíamos prever un plan de actuación en caso de producirse una brecha de seguridad a fin de minimizar el impacto de la incidencia. Además el RGPD nos obliga a comunicar a comunicar a la AEPD dicha brecha “cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas” y tenemos 72 horas para hacerlo.

Todos los protocolos y medidas que implantemos en la empresa debemos recogerlos en un documento. Pero, sobre todo, las medidas deben ponerse en práctica y no relajarnos una vez llegados a este punto.

4.- FIRMAR CONTRATOS DE CONFIDENCIALIDAD CON PROVEEDORES Y COLABORADORES

También estamos obligados a garantizar que quienes trabajan con nosotros y tienen de algún modo acceso a datos que tratamos, cumplan con la normativa de protección de datos. Para ello deberemos exigirles que adopten las medidas adecuadas para garantizar los derechos de los interesados mediante contratos o pactos de confidencialidad que firmemos con ellos.

Ejemplos: La asesoría que confecciona las nóminas de nuestros empleados, el compañero con el que colaboramos en un proyecto o la empresa encargada del mantenimiento de nuestros sistemas informáticos.

5.- FORMAR AL PERSONAL DE LA EMPRESA

De nada sirve llegar hasta aquí si no se da la adecuada formación al personal de la empresa. Los trabajadores deben adquirir esa cultura de cumplimiento de la que hablábamos al principio y conocer las medidas implantadas. Muchos de ellos serán encargados del tratamiento, por lo que si no afianzamos este eslabón, la cadena puede romperse en cualquier momento. No solo se les debe explicar la política de la empresa a este respecto y sus concretas obligaciones, sino que se les debe facilitar esta información de la forma más gráfica y sencilla posible para que no se les haga bola.

6.- LLEVAR A CABO EVALUACIONES PERIÓDICAS

El modelo de cumplimiento que adoptemos no es algo estático. No solo debe ir adaptándose a la transformación de nuestro negocio, sino que debe revisarse periódicamente para comprobar que funciona y, en su caso, modificar lo que sea necesario.

Es la consecuencia de esa responsabilidad que la normativa nos ha atribuido. Debemos cumplir y poder probar que lo hacemos, y ello requiere una constante revisión de nuestras medidas y procesos.

Como dije al principio, son muchos los aspectos que quedan fuera de este breve análisis. La figura del DPO o la evaluación de impacto, son parte de la regulación que me dejo en el tintero. Este artículo solo pretende orientar a autónomos y microempresas para llevar   a cabo su adaptación a la nueva normativa y, en su mayor parte no estarán obligados a contar con un DPO ni a llevar a cabo la evaluación de impacto, aunque habrá quien si lo requiera. Hay despachos de abogados cuya principal actividad de tratamiento se refiere   a datos personales relacionados con delitos o condenas. Atendiendo a la literalidad de la norma, necesitarían un DPO. En mi opinión, esta obligación para un despacho penalista unipersonal, supondría un coste probablemente difícil de asumir. Quizás la única opción que tenga el profesional sea poder acreditar ante la AEPD que él mismo tiene los conocimientos técnicos y la capacidad para actuar como DPO, lo que, en cualquier caso, le exigirá un trabajo y esfuerzo extraordinario.

Ya solo nos queda hacer el camino pensando que no sólo estamos protegiendo datos, sino derechos de personas que merecen como mínimo, el respeto que la GDPR les otorga.

María Inmaculada López González
BUFETE LÓPEZ GONZÁLEZ
Asociada de ENATIC

Clint Patterson (via Unsplash)

La controvertida naturaleza del documento electrónico

/0 Comentarios/en /por

En cuanto a la noción de documento, lo único que se produce con la aparición de la realidad digital es una ampliación en la variedad de soportes y, con ello, de formatos, capaces de albergar no sólo datos fidedignos o susceptibles de ser empleados como tales para probar algo en forma escrita, sino también en forma vista o hablada, innovación hasta el momento desconocida. Esta razón es la que justifica lo que podríamos denominar teoría del documento como contenido, que amplia la noción de documento, partiendo de la palabra escrita y extendiéndola a la imagen y al sonido, que, ahora sí, pueden quedar archivados para su posterior utilización como medio de prueba en un proceso judicial. Todo ello en una propuesta de definición que reproducimos: soporte en papel u otro formato adecuado que contiene letras o signos que proporcionan información, escrita, vista o hablada, fidedigna o relevante sobre hechos con eficacia probatoria o cualquier otro tipo de utilidad jurídica. Lo importante, por tanto, no es el formato en que conste el documento, sino que sea apto para erigirse en medio de prueba en juicio, capaz de acompañarse, a su vez, de otros tantos medios, como la firma electrónica, que aporten seguridad adicional en cuanto a la identificación del autor y a la integridad de su contenido.

En materia contractual, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE), introduce un elemento de conflicto normativo en su confrontación con la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (LECiv). En efecto, el artículo 24.1.1º LSSICE dispone que la prueba de la celebración de un contrato por vía electrónica (modalidad, como sabemos, de documento electrónico) y de las obligaciones que tienen en él su origen se sujetará a las reglas generales del ordenamiento jurídico. No obstante, y he aquí el problema, añade un apartado segundo, en el que afirma que «[e]n todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental». De este modo, nos encontramos con un artículo, el 299.2 LECiv, que sostiene que el documento electrónico será admisible en juicio según las reglas de la sana crítica (artículos 382 a 384 LECiv), y con otro, el artículo 24.2 LSSICE, que afirma que una de las manifestaciones de este documento electrónico, cual es el contrato electrónico, será también admisible en juicio, pero no como medio de prueba sujeto a las reglas de la sana crítica, sino como prueba plena derivada de su consideración como medio de prueba documental (artículos 299.1.3º y 326.2 LECiv). Por su parte, aquellos contratos electrónicos firmados electrónicamente estarán sujetos a lo dispuesto en el artículo 3 Ley 59/2003, de 19 de diciembre, de firma electrónica -LFE- (artículo 24.1.2º LFE), concretamente a lo establecido en los apartados 8 y siguientes de dicho precepto tercero, en el que se llega a la misma conclusión, al establecer que el soporte en que se hallen los datos firmados electrónicamente será admisible en juicio como prueba documental, si bien establece una distinta graduación dependiendo del tipo de firma electrónica. Para resolver esta antinomia es preciso acudir al así calificado por la jurisprudencia como principio general del Derecho de especialidad normativa conocido como lex specialis derogat lei generali, que dispone que la ley especial prevalece siempre sobre la ley general, de modo que, en este caso, la LSSICE y la LFE habrá de prevalecer sobre la LECiv y, en consecuencia, el contrato electrónico específicamente (no, bien es cierto, el documento electrónico en general) habrá de tener la consideración de prueba documental en juicio, ya esté, o no, firmado electrónicamente.

Es esta misma LFE la que hace constar, por primera vez en nuestro Derecho interno, una definición de documento electrónico, en consonancia con la teoría antes expuesta. En efecto, en su artículo 3.5, la LFE define el documento electrónico como «[…] la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado». En el soporte electrónico podrán ser archivados (artículo 3.6 LFE) tanto documentos electrónicos públicos como documentos privados. Estos documentos tendrán el valor y eficacia que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable (artículo 3.7 LFE).

CONCLUSIONES

La conformación legal del documento, primero, y de su vertiente electrónica, más tarde, se ha conformado sobre una base terminológica errónea, hasta cierto punto lógica en nuestros primeros tiempos, cual es la identificación entre documento y escrito y entre escrito y soporte físico. Ello ha obstaculizado la apertura terminológica del concepto documento a modalidades en ese momento desconocidas pero en la actualidad tan importantes, como son aquellas propiciadas por el advenimiento de lo que en la actualidad conocemos como sociedad de la información, que ha cambiado profundamente las viejas estructuras jurídicas por medio de una adaptación del viejo sistema tradicional, primero, y de una creación de un nuevo Derecho para dar respuesta a las grandes incógnitas suscitadas por las nuevas tecnologías de la información y de la comunicación, después.

Es esta la razón que ha motivado la exclusión del documento electrónico como prueba documental en la LECiv, razón que deriva de antaño, de un momento en el que, por ser siempre físico y en papel, ni siquiera se imaginaba la recogida y conservación del documento en otros soportes, como el electrónico, capaces de albergar nuevos soportes y de satisfacer (y he aquí lo importante) fielmente los requisitos esenciales y las finalidades fundamentales que está llamado a desempeñar como elemento de conservación, integridad y prueba de, en lo que aquí nos interesa, los negocios comerciales llevados a cabo por las partes y plasmados en forma de contratos (electrónicos). Esta necesidad es la que ha permitido dotar a esta nueva realidad de una regulación que, hasta cierto punto contradictoria con aquella contenida en la LECiv, reconoce abiertamente la importancia del documento electrónico a efectos de prueba, determinando su papel como prueba documental en juicio. Este es el caos de la LSSICE y, cuando el contrato está dotado de firma, de la LFE.

Con ello, perseguimos poner de manifiesto la controversia existente respecto de esta cuestión y la necesidad de conformar un nuevo término jurídico de documento que, abierto a la nueva realidad virtual que cada vez se presenta con mayor fuerza, incluye una propuesta de lege ferenda. Esta propuesta perseguirá, al mismo tiempo, conseguir la tan anhelada coherencia normativa y evitar alejarse de la misión que el documento está llamado a cumplir en el Derecho procesal interno de nuestro país desde hace ya tanto tiempo. Sólo así podremos afrontar de manera satisfactoria los importantes retos que el futuro legal nos depara.

Juan Francisco Rodríguez Ayuso
Doctor internacional en Derecho digital por la Universidad de Bolonia (Italia), Consultor legal de Seguridad de la Información y Profesor de la Universidad Internacional de La Rioja.
Asociado de ENATIC.

¿Deben nuestros clientes designar a un Delegado de Protección de Datos?

/0 Comentarios/en /por

Con la entrada en vigor del nuevo Reglamento (UE) 2016/619 General de Protección de Datos (RGPD), ha tenido lugar la irrupción de una nueva figura que va a suponer la mayor garantía de cumplimiento de la nueva normativa: el Delegado de Protección de Datos (en lo sucesivo, por sus siglas en inglés, el “DPO”).

Sin embargo, existe un temor latente por parte de las compañías en torno a las consecuencias que esta nueva situación pueda acarrear, en base a que el DPO es percibido por éstas como un potencial acusador de los posibles incumplimientos a las autoridades de control en materia de protección de datos.

Pero, ¿existe realmente una base sobre la que se sostenga esta idea?

En el presente artículo se abordará el marco jurídico sobre el que actuará el DPO, para así entender las distintas implicaciones que realmente supondrá su actuación como mediador de las organizaciones con aquellos encargados del ineludible cumplimiento de la normativa.

Características y funciones del DPO

El DPO se constituye como un profesional con conocimientos especializados que participa de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales de las organizaciones.

El DPO no puede ser designado sin criterio alguno, se debe atender a sus aptitudes, cualificaciones profesionales y a su conocimiento especializado de la legislación y la materia en concreto. Sin embargo, una titulación previa no tiene por qué ser necesaria para ofrecer la función de DPO: la acreditación de una titulación en Derecho no garantiza tener las aptitudes requeridas para el puesto en cuestión.

Se permite que el DPO pueda formar parte de la plantilla de la organización siempre que goce de total independencia en sus funciones, o bien que sea un tercero (persona física o jurídica) quien desempeñe sus funciones dentro del marco de un contrato de servicios.

Las funciones principales de un DPO son:

  • Asesoramiento permanente: informar y asesorar a la organización, sus encargados y responsables del tratamiento y a sus empleados que se ocupen del tratamiento de datos sobre las obligaciones que les incumben en virtud del RGPD y las posibles novedades normativas.
  • Garantía de cumplimiento: supervisar el cumplimiento de lo dispuesto en el RGPD y de las políticas de la organización en materia de protección de datos personales, incluida la revisión de documentos, la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y la coordinación de las auditorias correspondientes.
  • Evaluaciones de impacto (EIPD): ofrecer el asesoramiento que se le solicite acerca de las evaluaciones de impacto relativa a la protección de datos que debe realizar la organización en concreto.
  • Violaciones de seguridad: supervisar el procedimiento de gestión de incidencias y la comunicación a la AEPD con menos de 72 horas las posibles violaciones de datos personales o brechas de seguridad
  • Contacto con los interesados: actuar como punto de contacto de los interesados ante cualquier modalidad de ejercicio de sus derechos.
  • Contacto con la Agencia Española de Protección de Datos: cooperar con la autoridad de control y actuar como intermediario de la misma para cuestiones relativas al tratamiento, incluidas la realización de consultas y la respuesta a solicitudes.

El DPO debe ejercer estas funciones respetando el deber de secreto y confidencialidad y prestando atención a los riesgos asociados a las operaciones de tratamiento.

La obligatoriedad de contar con un DPO en la organización

A la espera de una reforma en la Ley nacional que profundice en este aspecto, la normativa europea recoge una serie de supuestos en los que se establece la designación obligatoria de un DPO por parte de la empresa:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática del interesado a gran escala.
  • Cuando estemos ante tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales.

Resulta necesario puntualizar ciertos términos para la comprender de forma efectiva cuando resulta necesaria la designación de un DPO. El Grupo de Trabajo del Art. 29 ha tratado de dar respuesta a algunas cuestiones:

¿Qué se considera por actividad principal? – Las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento.

¿Qué se considera por “gran escala”? – el Reglamento no ha establecido una cifra exacta para determinar el significado de “gran escala”, por lo que se deben tener en cuenta: el número de interesados afectados; el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; la duración, o permanencia de la actividad de tratamiento de datos; y el alcance geográfico de la actividad de tratamiento.

¿Qué entendemos por categorías especiales de datos personales? – aquellos datos que revelen de una persona física el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la vida sexual.

Adicionalmente, debemos tener en cuenta que cualquier organización que no esté obligada a disponer de un DPO en virtud del Reglamento, podrá voluntariamente designar uno que garantice la correcta aplicación de la normativa de protección de datos.

Pero, ¿por qué debe una empresa designar un DPO aun no siendo estrictamente obligatorio?

Nos encontramos ante un panorama donde los datos personales, con la llegada de distintas tecnologías disruptivas como el Big Data, están cobrando cada vez más relevancia en el seno de multitud de empresas que los utilizan como la base sobre la que desarrollar su estrategia, situándose su correcta interpretación como un factor competitivo diferencial. Sin duda, las empresas necesitarán cada vez más de una labor supervisora por parte de una persona experta en la materia que evite cualquier conducta que ponga en peligro la seguridad de los datos que hayan sido tratados y la correcta aplicación de la normativa.

En definitiva, para el cumplimiento de un contexto jurídico donde la proactividad se ha situado como la actitud a implementar de manera obligatoria, sin duda el DPO emerge como un elemento esencial para las entidades, especialmente para aquellas que realicen de manera habitual diferentes tratamientos de datos de carácter personal.

Laura Caballero Álvaro
Legal Counsel en Akela
@Akela_Asesores

El principio de transparencia y el deber de información en el RGPD

/1 Comentario/en /por

Con esta nota sobre el principio de transparencia y el derecho de información iniciamos este blog, que tiene por objetivo compartir y debatir sobre las nuevas (y viejas) obligaciones y derechos que introduce el RGPD. A partir de cada una de estas breves notas buscamos generar un entorno a partir del cual explorar las novedades del RGPD no sólo desde una perspectiva teórica sino también práctica.

Todas las opiniones y comentarios serán bienvenidos.

El principio de transparencia y el deber de información en el RGPD

¿Qué es el principio de transparencia?

El principio de transparencia no es nuevo en el ámbito de la protección de datos, sino que es un principio directamente ligado a los tradicionales principios de información, licitud y lealtad. El Grupo de Trabajo del Artículo 29[1], define al mencionado principio como: el requerimiento de que cualquier información y comunicación relacionadas con el procesamiento de datos personales sea de fácil acceso y de fácil entender, usando un lenguaje claro y sencillo. Refiriéndose, en particular, a la información sobre el responsable del tratamiento, los fines del tratamiento y la información necesaria para garantizar un trato justo hacia los interesados en los datos personales.

El RGPD introduce el principio de transparencia de forma expresa en el listado de principios de su art. 5 y, posteriormente, lo desarrolla en su art. 12. En este sentido, la transparencia es necesaria durante todo el ciclo de vida de los datos y durante todo el tratamiento de los mismos, desde la etapa de recopilación hasta la fase final, en donde los datos son eliminados. Es decir, el responsable del tratamiento tiene que comunicar al interesado sobre los cambios en los tratamientos de datos que realiza, las condiciones del tratamiento, o la existencia de alguna comunicación de datos, para garantizar que el interesado tenga pleno conocimiento del uso que se le brinda a los datos recopilados.

La transparencia está vinculada al principio de la accountability, por tanto, el responsable de tratamiento debe buscar el mecanismo idóneo para lograr que las personas sean informadas de forma efectiva de cómo van a ser tratados sus datos.

¿Cuáles son los requisitos de transparencia?

Como recuerda el Grupo de Trabajo del Artículo 29, el concepto de transparencia parte de una concepción user-centric más que de una legalista. Por tanto, toda actuación enmarcada en el cumplimiento de este principio debe pensarse desde la perspectiva de la “audiencia” a la que se dirige.

Los requisitos de transparencia que debe tener en cuenta el responsable del tratamiento se describen en el artículo 12 del RGPD. Se exige que la información cumpla con las siguientes reglas:

  • Debe ser concisa, transparente, inteligible y de fácil acceso.
  • Debe usarse un lenguaje claro y sencillo. Este requisito tiene una mayor importancia cuando la información deba ser proporcionada a niños.
  • La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
  • Cuando lo solicite el interesado, la información podrá ser facilitada verbalmente siempre que se demuestre la identidad del interesado por otros medios.

El Grupo de Trabajo del Artículo 29 entiende por “fácil acceso” que el acceso a la información por parte del interesado no debe implicar ninguna búsqueda o esfuerzo por parte de este. Debe ser evidente para los interesados donde pueden acceder a la información. Además, se recomienda que los párrafos y oraciones estén bien estructurados. Las oraciones deben estar formuladas en activo y no en pasivo y el exceso de sustantivos debe evitarse. La información proporcionada al interesado no debe contener un lenguaje o terminología excesivamente técnica o especializada.

La información se debe proporcionar sin que el interesado deba realizar aportación económica alguna. Cuando las solicitudes de los interesados sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o negarse a actuar respecto de la solicitud. El responsable del tratamiento es quien debe demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

¿Cómo debe cumplirse con el principio de transparencia?

El principio de transparencia requiere que cualquier información y comunicación relacionada con el tratamiento de los datos personales sea fácilmente accesible (en un lugar visible y directamente accesible) y fácil de entender, que se use un lenguaje claro y sencillo, sin ambigüedades. El Grupo de Trabajo del Artículo 29 señala que el responsable debe analizar cuál es su “audiencia” para adaptar el mensaje. Las personas deben poder conocer, por adelantado, el alcance y las consecuencias del tratamiento de sus datos.

En este sentido, cuando la información vaya dirigida a niños debe hacerse de forma que se comprenda que va dirigida a ellos: el vocabulario, estilo y tono deben ser los adecuados atendiendo a la edad de los menores.

El RGPD no prevé una forma específica de cómo prestar la información solicitada, pero el Grupo de Trabajo del Artículo 29, señala la importancia de que la notificación que contiene la información proporcionada cuente con un aviso de protección de datos o declaración de privacidad, y un resumen de las finalidades del tratamiento. Asimismo, es necesario que el responsable del tratamiento tenga en cuenta la modalidad y el formato apropiado para suministrar la información.

La obligación de ser transparentes durante todo el tratamiento puede conseguirse, por ejemplo, con un claro aviso de protección de datos accesible en la página web con la información relativa a los tratamientos de datos realizados para que en cualquier momento pueda ser consultada y con los mecanismos para ejercer los derechos, así como cualquier otra información útil al respecto.

Una de las manifestaciones del principio de transparencia que probablemente tendrán mayor impacto en un futuro cercano, habida cuenta de los avances que estamos experimentando en materia de inteligencia artificial, es el de la necesidad de hacer transparentes las decisiones basadas en tratamientos automatizados que pueden tener un efecto jurídico sobre los ciudadanos o vaya a afectarles significativamente.

Se encuentran reguladas en el artículo 22 del RGPD, estableciéndose como principio el derecho de la persona a no ser objeto de este tipo de decisiones, salvo cuando se cuente, por ejemplo, con el consentimiento explícito. En cualquiera de los supuestos,  las excepciones reguladas exigen el establecimiento de medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. En este punto, la transparencia cobra especial importancia, ya no sólo en cuanto a dar a conocer la existencia de este tipo de tratamiento, sino por la necesidad de que las personas entiendan la importancia y las consecuencias que ese tratamiento va a tener para ellas. Así, se exige al responsable del tratamiento que informe de estas circunstancias, junto con la lógica aplicada, en el momento de la recogida de los datos, o con posterioridad si los datos no se recogen directamente del interesado.

¿Qué es el deber de información?

Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de operaciones de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.

El RGPD establece que se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente como máximo en el plazo de un mes, Esta información dirigida al público o al interesado podrá facilitarse también  en forma electrónica.

Además, si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria.

En los arts. 13 y 14 del RGPD se contempla la información que debe facilitarse en la recogida de los datos, tanto si se recogen directamente del interesado como si se recogen por otros medios, de modo que el interesado sea capaz de determinar de antemano cuál es el alcance y las consecuencias que implica el tratamiento de datos.

El Grupo de Trabajo del Artículo 29 indica que las categorías de información que deben proporcionarse al interesado de los datos que son materia de tratamiento ya se encuentran enumeradas y resumidas dentro de la norma. Sin embargo, los responsables del tratamiento no solo deben proporcionar la información prescrita en los artículos 13 y 14, sino que también se debe explicar cuáles serán las consecuencias más importantes del tratamiento.

¿Qué debe hacer el responsable del tratamiento si el interesado solicita información sobre el tratamiento de sus datos?

El responsable del tratamiento deberá facilitar al interesado información relativa a sus actuaciones sobre la base de una solicitud y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

El responsable del tratamiento deberá de informar sin dilación al interesado en caso de no poder atender su solicitud, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad del interesado que presenta una solicitud de ejercicio de derechos de habeas data, podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del mismo.

El responsable del tratamiento podrá facilitar la información a través de una combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto.

¿Cuáles son los puntos principales sobre los que se debe informar?

Cuando se obtengan los datos personales directamente del propio interesado, el responsable del tratamiento, en el momento en que los obtenga, debe informar de :

  • la identidad y los datos de contacto del responsable y, en su caso, del representante.
  • los datos de contacto del delegado de protección de datos.
  • los fines del tratamiento a que se destinan los datos personales.
  • la base jurídica del tratamiento. Y, en su caso, sobre el interés legítimo.
  • las categorías de datos personales de que se trate.
  • los destinatarios o las categorías de destinatarios.
  • el plazo de conservación de los datos personales o los criterios utilizados para determinarlo cuando no es posible informar del mismo.
  • la existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad.
  • Si el tratamiento se basa en el consentimiento, de la existencia del derecho a retirarlo en cualquier momento.
  • El derecho a presentar una reclamación ante una autoridad de control.
  • En caso de comunicaciones, de la base legal o contractual que tienen. Se informa de las cesiones basadas en un requisito necesario para suscribir un contrato.
  • En su caso, sde la existencia de decisiones automatizas, elaboración de perfiles, sobre la lógica aplicada, la importancia y consecuencias previstas del tratamiento.
  • Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado sobre esa otra finalidad y cualquier otra cuestión pertinente.

Cuando los datos personales no hayan sido obtenidos del propio interesado, el responsable del tratamiento, de manera adicional a todos los puntos anteriores, también deberá informar de la fuente de la que proceden los datos personales o si proceden de fuentes de acceso público. Esta información deberá ser facilitada:

  • Dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.
  • Si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado.
  • Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

¿Cómo se debe informar?

La forma en la que se provee la información es de vital importancia. La comunicación de la misma debe incluirse en un aviso de protección de datos o declaración de privacidad.

El Grupo de Trabajo del Artículo 29 precisa que es indispensable que el método empleado para proporcionar la información sea apropiado para la circunstancia en particular; por ejemplo, brindando la información de forma escrita en una página web o mediante un vídeo, así como también a través de un código QR.

Tanto el Grupo de Trabajo del Artículo 29 como las diferentes autoridades de control[2] recomiendan el uso de declaraciones o avisos de privacidad por capas, que permiten a los interesados consultar los aspectos de los textos legales de mayor interés para ellos con un enfoque multinivel; el cual ayuda al responsable del tratamiento a diseñar los procedimientos y formularios.

El Proyecto de Ley Orgánica de Protección de Datos recoge esta posibilidad para el caso de que los datos sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información, y supuestos expresamente establecidos por la ley o autorizados por la Agencia Española de Protección de Datos.

Señala, en su art. 11, que se facilitará al afectado una información básica y se le indicará una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. La información básica deberá referirse a:

  1. a) La identidad del responsable del tratamiento y de su representante.
  2. b) La finalidad del tratamiento.
  3. c) El modo en que el afectado podrá ejercitar sus derechos

Las declaraciones o avisos de privacidad por capas se apoyan en dos pilares fundamentales:

  • El primer nivel consiste en la información básica para el interesado, que debe estar de forma resumida, y se debe ofrecer en el mismo momento en que se recopila la información y por el mismo medio por el cual se recojan los datos.
  • En el segundo nivel debe encontrarse la información de forma detallada, en un medio más adecuado para su presentación y compresión por el interesado.

La forma de presentar la información adicional depende del medio empleado para hacer llegar la información solicitada por el interesado. El lenguaje para presentar la información debe ser claro, conciso y sencillo, aplicando una exposición estructurada en los epígrafes de la tabla de información básica, evitando jerga jurídica que tal vez no pueda ser correctamente comprendida por el interesado y empleando, en la medida de lo posible, un formato de preguntas y respuestas.

La extensión de la información contenida en este nivel dependerá de la complejidad de cada circunstancia en particular. Pudiendo incluir información que no necesariamente haya sido contemplada en el RGPD con el fin de contribuir a mejorar la protección de los datos personales y generar confianza con el interesado.

¿Cuándo no es necesario informar al interesado?

Cuando se obtengan los datos personales directamente del propio interesado, el RGPD indica que no será necesario informar al interesado cuando ya dispone de la información.

Cuando los datos personales no hayan sido obtenidos del propio interesado, el RGPD indica que no será necesario informar al interesado:

  • Cuando ya dispone de la información.
  • Cuando la comunicación de dicha información resulta imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
  • Cuando puede imposibilitar u obstaculizar gravemente el logro de los objetivos del tratamiento, pero se adoptan medidas para proteger los derechos, libertades e intereses legítimos del interesado.
  • Cuando la obtención o la comunicación está expresamente establecida por normas de derecho aplicables.
  • Cuando los datos personales tienen carácter confidencial sobre la base de una obligación de secreto profesional regulada por normas de Derecho.

¿Cómo puede una organización saber si cumple con el principio de transparencia y el deber de información?

El Considerando 74 del RGPD establece que el responsable está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento. Por ello, es muy importante asegurar una correcta identificación de las amenazas a los que está expuesta una actividad de tratamiento y los posibles riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

De este modo, la Agencia Española de Protección de Datos[3] ha elaborado un listado de cumplimiento normativo que incluye un punto específico para la valorar el grado de cumplimiento de la obligación de transparencia y del derecho de información que nos permite tener una primera aproximación.

 

Abel Loeches Márquez

AKELA

 

 

[1] Directrices sobre transparencia publicadas por el WP 29 el 29 de noviembre de 2017: (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227)

[2] A titulo de ejemplo: https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf

[3] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2018/LISTADO_DE_CUMPLIMIENTO_DEL_RGPD.pdf

Cumplimiento GDPR: Modelos de Compliance

/0 Comentarios/en /por

Mucho se ha escrito, mucho se ha oído y mucho se ha podido ver, incluyéndose a las respectivas autoridades de control comentar respecto a cómo debería ser la adecuación y/o implementación del nuevo marco regulador de protección de datos. Este artículo no pretende ir más allá de mostrar mi humilde opinión jurídica en cuanto a lo que considero una correcta aplicación del GDPR, la cual la supedito a la integración o realización de los denominados modelos de compliance y, más concretamente, a la posibilidad de integrar el modelo COSO e ISO 19600 que no son más que modelos de control y gestión del riesgo, pudiendo partir, si se dispusiere, del Modelo de Prevención de Delitos Penales a los que hace referencia el artículo 31 bis del Código Penal.

 

Bajo mi interpretación del GDPR, el cual es configurado de forma transversal, y centrándome en la responsabilidad proactiva, dado que en virtud de la configuración enunciada, los responsables de tratamiento deberán prima facie (sustantivo) asegurar la correcta aplicación de los principios recogidos en el artículo 5 y desarrollados mediante los requisitos y obligaciones contenidos en los artículos 6  a 23, dando primacía al principio de transparencia, información, consentimiento y derecho de los afectados (garantizar el derecho de autodeterminación informativa). Sin embargo, dicho derecho sustantivo (hardlaw) es completado, dentro del principio de responsabilidad proactiva (Capítulo IV, especialmente, artículos 24 a 39) mediante normativa softlaw y, considero que dicho cumplimiento está configurado bajo los modelos de compliance.

 

La anterior afirmación la emito porque de una lectura exhaustiva del artículo 24 GDPR se desprende que dicha responsabilidad está basada en el principio de COMPLAIN & EXPLAIN: CUMPLE Y EXPLICA, base de todo programa de cumplimiento normativo. Dicho artículo hace mención expresa a términos como: riesgo, controles, políticas, etc. Por tanto y, en virtud, de la configuración transversal, el GDPR obliga con carácter general a establecer un modelo de compliance, el cual es desarrollado más pormenorizadamente, a través de los siguientes artículos, en los cuales se establecen especialidades en virtud del tipo de tratamiento de datos personales. Por ello, las obligaciones formales y/o documentales, tales como el Registro de Actividades de Tratamiento, no es el eje principal de una correcta aplicación y garantiza el cumplimiento, dado que dicho RAT no es más que lo que expresamente establece el propio GDPR (documento interno formal), pero no el requisito determinante para demostrar y garantizar el cumplimiento afecto, tal y como últimamente estoy cansado de escuchar a múltiples “consultoras.”

 

Comentado el precedente, qué pretende el GDPR con la responsabilidad proactiva. Dado que los estados ya no pueden garantizar el cumplimiento, no sólo en materia de protección de datos sino en otros ámbitos del derecho a través del referido hardlaw pretenden servirse de los distintos actores (empresas, administraciones públicas, servicios, etc.), por así decirlo, para controlar el cumplimiento, dándoles libertad para establecer un modelo o un proceso de cumplimiento (softlaw, el cual es aceptado por la sociedad), en este caso, relacionado con la privacidad, tomando como referencia cultura anglosajona (USA[1], Reino Unido[2]) pero también cultura europea (Alemania[3]) respecto a los denominados cumplimientos normativos. Dicho softlaw, principalmente y actualmente, toma como referencia marcos o normas estandarizadas reconocidos internacionalmente[4]. Entre dichos marcos y normas se encuentra el denominado marco COSO e ISO 19600 que, principalmente, recoge un proceso interno de gestión del riesgo y cómo contralar el mismo.

 

Si efectuamos una extrapolación de la finalidad del GDPR en cuanto a garantizar y acreditar la responsabilidad en referencia al modelo COSO e ISO 19600, las similitudes son extraordinarias. El GDPR, al igual que el modelo COSO (Coso I y III determinada el modelo, mientras que COSO II indica cómo gestionar el riesgo) el cual es tomado como base en ISO 196000 de la misma forma que en otro tipo de ISO (calidad, medio ambiente, prevención de riesgos, etc.), base su eficacia en los referidos modelos de cumplimiento. Analicemos el GDPR en base a dicho modelo de gestión del riesgo: El GDPR expresamente hace mención a las tres líneas de defensa de los modelos de compliance: Medición del riesgo (mapa) y establecimiento de políticas y controles a los riesgos; establecimiento y seguimiento de los controles; monitorización y/o supervisión del modelo de cumplimiento. Las tres líneas deben ser justificadas y documentadas, tanto en el supuesto de tratamientos que no precisen EIDP como aquellos tratamientos que precisen de EIDP por el carácter de alto riesgo en dicho tratamientos.

Ahora bien, como se pone lo comentado en tierra, a nivel práctico, es decir, dicha libertad basada en un modelo de compliance, cómo es operativo. Un modelo de cumplimiento GDPR se basa en tres pilares: diseño, implementación y eficacia operativa y, dicho modelo no se efectúa de la noche a la mañana y más, lamentándolo mucho, según está configurado el propio GDPR puesto que el mismo obliga a analizar el riesgo en virtud de operaciones, es decir, en virtud de la vida del dato (recogida, tipo de fuente de procedencia, operaciones internas, comunicaciones y/o transferencias, bloqueos, conservación, etc.) Relaciono el presente con las famosas EIDP, dado que pudiere suceder que en el análisis del riesgo la recogida no alcanzara un riesgo alto, pero la operación de comunicación a terceros sí y, en ese caso, sería necesario dicha EIPD.

 

Centrándonos en el GDPR y como base inicial, es obligatorio efectuar lo que se denomina mapeo de riesgos. Existen varias fórmulas, pero centraré el mismo, en dos extremos: riesgo en base a la actividad y el riesgo en base a los procesos. De dicho extremos, bajo mi impresión, es más fácil efectuar y/o medir el riesgo en base a la actividad, por lo tanto, en base a ella y a su afectación al responsable del tratamiento, habrá que determinar qué riesgos asociados a la actividad pudieren ser afectos en cuanto a la privacidad (tratamientos), dado que no es lo mismo una actividad de un centro sanitario que la actividad de una PYME más allá del servicio que presta, pero habrá que atender a las finalidades que se efectúan, puesto que pudiere suceder que se efectúe en una PYME profiling o análisis de perfiles que impliquen un aumento del riesgo y, por ende, un mayor seguimiento respecto a los controles a establecer.

 

Una vez efectuado el mapeo de riesgo y la matriz obtenida de dos coordenadas (riesgo y probabilidad), recomendando establecer o documentar el proceso a implementar, es decir, la denominada política de protección de datos; habrá que establecer los controles precisos a dichos riesgos, los cuales deberían, igualmente, establecer o contener los riesgos a las medidas técnicas y organizativas que se disponen (p.e. si disponemos de un riesgo asociado al acceso al sistema de información por falta de establecimiento de temporalidad de modificación de contraseñas, un control a establecer sería recordar o establecer la temporalidad; otro control es la revisión, cada cierto tiempo, respecto a la incorporación o testeo de las distintas cláusulas afectas o relacionar los encargados de tratamiento). Este segundo paso es la segunda línea de defensa, respecto a la cual ha de documentarse, por así decirlo, obtener la evidencia a dicho seguimiento y actuación. La tercera línea de defensa sería la verificación y/o supervisión, la cual, tal y como indica el propio GPDR la asumiría el DPO en caso que fuere preciso o la persona respecto a la cual el responsable del tratamiento haya designado. En este punto concreto, se ha de resaltar, como así se establece en los programas de compliance, que el mismo debe ser objeto principal de la dirección de la empresa, es decir, en el primer nivel y, ese nivel, sería por ejemplo el Consejo de Administración, al cual se habrá de reportar en relación al ámbito de privacidad y, sobre el cual, recaerá la asunción del nombramiento del respectivo DPO, puesto que el mismo, al igual que en otros ámbitos (PBCFT; Delitos Penales), aquel se sitúa, tal y como el propio GDPR establece en su artículo 38.3, en lo más alto jerárquicamente y bajo el principio de independencia y, dichos extremos deben ser garantizados: “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Dicho DPO será el encargado de supervisar la Eficacia Operativa del modelo diseñado e implementado y el encargado de reportar a la alta dirección los informes relacionados, a través de las evidencias y documentos obtenidos a lo largo del tiempo.

 

La pregunta sería, se puede establecer dicho modelo de compliance con las herramientas y/o publicaciones que las autoridades de control han publicado. No tengo respuesta para ello, puesto que, si bien es cierto que tanto las guías sobre medición de riesgo y EIDP pudieren servir de base para establecer la primera línea de defensa, por el contrario, todo modelo de compliance ha de estar VIVO y, por ello, al contrario que sucedía con la LOPD (se efectuaba documento de seguridad y se quedaba en el cajón cogiendo polvo), ahora por el contrario, dicho modelo diseñado e implementado debe estar actualizado, puesto que será la defensa principal (atenuante o eximente) en caso de procedimientos sancionadores u otros análogos, más aún si lo extrapolamos con los principios rectores del ámbito penal y del artículo 31 bis referenciado al inicio del presente artículo, el cual indica que dicho programa debe estar VIVO, habiendo indicado la propia FISCALIA que disponer de certificación de ISO 19601 no es elemento atenuante sino que debe demostrarse que dicho modelo ha sido implantado eficazmente, de la misma forma que el GDPR se expresa al hablar de diligencia, supervisión y verificación. Por ello, mi primera reflexión acerca de que el modelo de cumplimiento del GDPR pudiere formar parte integrada del modelo de prevención de delitos penales, ampliando su alcance al establecimiento de controles y políticas asociadas a los delitos relacionados con la privacidad.

 

Terminando con el presente artículo, el cual precisaría de una mayor extensión, aunque la finalidad del mismo ha sido “intentar mostrar un poco de luz”, si bien habrá que dejar caminar al GDPR, sí me gustaría indicar dos cosas: primera, poco a poco se está produciendo una cambio cultural al respecto del presente ámbito, el cual ya empieza a tener su punto de partida tanto en la Ley de Contratos del Sector Público como en las relaciones con otras empresas e inversores, destacando la obligatoriedad y/o exigencia de acreditar o valorar el riesgo asociado a una actividad empresarial concreta; y segunda, para poder interpretar, entender y, especialmente, implementar el GDPR es necesario conocer y desenvolverse con procesos de cumplimiento basados en el riesgo y en la supervisión de los controles asociados a los mismos, por lo que, bajo mi apreciación, simplemente realizar un análisis a través, por ejemplo, de la herramienta FACILITA, descarga del RAT y check-list de verificación, no sería suficiente, porque como he comentado, el modelo de responsabilidad del GDPR ha de estar VIVO y las precedentes acciones son meras formalidades, amén de otros extremos afectos que no forman parte del presente artículo. Este artículo no es más que una simple opinión basada en la experiencia y en la interpretación del GDPR, pudiendo no ser compartida por otros actores o lectores.

       Efrén Santos Pascual

       Socio – Abogado TIC

       ICEF Consultores

       www.icefconsultores.com

      @efrensantos_tic                                                                                    

                                                                                    

 

 

[1] FCPA. Foreign Corrupt Practices Act

[2] Bribery Act

[3] IDWAssS 980

[4] BS 10012:2017: ISO 31000:2009; Directrices OCDE.