Nombramiento de Delegados de Protección de Datos

obligacion contratar dpo

La figura del Delegado de Protección de Datos (DPO) regulada en el Reglamento General de Protección de Datos de la UE se ha convertido en clave para adaptarnos a esta normativa.

Por ello, la UE ha publicado una Guía con una serie de directrices que nos ayudan a comprender mejor el papel que desempeñará el DPO en el ámbito de la Protección de Datos.

Designación de un DPO

En la Guía de la UE sobre el Delegado de Protección de Datos se regula específicamente el nombramiento de DPO

Designación obligatoria

El artículo 37 del GDPR exige la designación de un DPO en tres casos específicos:

  1. Cuando el tratamiento se realice por una autoridad u organismo público;
  2. Cuando las actividades principales del controlador o del procesador consisten en operaciones de tratamiento que requieren un control periódico y sistemático de los datos a gran escala; o
  3. Cuando las actividades principales del controlador o del procesador consisten en procesar a gran escala categorías especiales de datos, datos personales relativos a las condenas penales y delitos.

En las siguientes subsecciones, la Unión Europea proporciona orientación con respecto a los criterios y la terminología.

A menos que sea obvio que una organización no está obligada a designar un DPO, se recomienda que los controladores y procesadores de datos personales documenten el análisis interno realizado para determinar si necesita un DPO, a fin de poder demostrar que se han adoptado las medidas pertinentes.

Cuando una organización designa un DPO de manera voluntaria, los mismos requisitos establecidos en los artículos 37 a 39 se aplicará a su designación, cargo y tareas como si la designación hubiera sido obligatoria.

Esto no impide que una organización, que no desee designar un DPO de manera voluntaria y no está legalmente obligado a designar, sin embargo emplee personal o consultores externos con tareas relacionadas con la protección de datos personales. En este caso, es importante garantizar que no haya confusión respecto a su título, estado, cargo y tareas. Por lo tanto, debería quedar claro, en las comunicaciones dentro de la empresa, así como con las autoridades de protección de datos, las personas y público en general, que el título de este individuo o consultor no es un "DPO".

Autoridad u Organismo público

El GDPR no define qué constituye una autoridad u organismo público. La UE considera que dicha noción debe determinarse con arreglo a la legislación nacional. En consecuencia, las autoridades y organismos públicos nacionales, regionales y locales, pero el concepto, en virtud de las leyes nacionales aplicables, normalmente incluye también una serie de otros organismos de Derecho público.

En tales casos, la designación de un DPO es obligatorio.

Una tarea pública puede ser llevada a cabo y la autoridad pública puede ser ejercida no sólo por parte del público, Autoridades u organismos, sino también por otras personas físicas o jurídicas de derecho público o sectores tales como, según la reglamentación nacional de cada Estado miembro, los servicios de transporte, suministro de energía, infraestructuras viarias, servicio público de radiodifusión, vivienda pública o para las profesiones reguladas.

En estos casos, los sujetos pueden estar en una situación muy similar a la Autoridad u organismo público. En particular, los datos pueden ser procesados para ciertos fines y los afectados tienen muy poca o ninguna opción sobre cómo se tratarán sus datos y requieren la protección adicional que la designación de un DPO puede traer.

Aunque en tales casos no hay obligación, la UE recomienda, como una buena práctica, que:

  • las organizaciones privadas que desempeñan funciones públicas o ejercen una autoridad pública designan un DPO
  • la actividad de un DPO debe abarcar también todas las operaciones de tratamiento realizadas, que no estén relacionados con el desempeño de una tarea pública o el ejercicio de funciones oficiales.

Actividades básicas

El artículo 37, apartado 1, letras b) y c), del GDPR se refiere a las «actividades principales del responsable del tratamiento o del procesador».

Se especifica que las actividades principales de un responsable del tratamiento se refieren al tratamiento de datos personales como actividades auxiliares. Las «actividades principales» pueden considerarse operaciones clave necesarias para alcanzar los objetivos del controlador o del procesador.

No obstante, las "actividades principales" no deben interpretarse como excluyendo actividades en las que los datos forman parte necesaria de la actividad del controlador o del procesador.

ejemplos proteccion de datos

La actividad principal de un hospital es proporcionar atención médica. Sin embargo, un hospital no puede realizar esa actividad efectivamente sin procesar los datos de salud, como los registros de salud de los pacientes. Por lo tanto, el procesamiento de estos datos deben considerarse como una de las actividades básicas de cualquier hospital y los hospitales deben designar un DPO.

Como otro ejemplo, una empresa de seguridad privada lleva a cabo la vigilancia de Centros comerciales y espacios públicos. La vigilancia es la actividad principal de la empresa, que a su vez está inevitablemente ligada al tratamiento de los datos personales. Por lo tanto, esta empresa también debe designar un DPO.

Por otra parte, todas las organizaciones llevan a cabo ciertas actividades, por ejemplo, el pago de sus actividades estándar de soporte de TI. Estas son funciones de apoyo necesarias para el núcleo de la organización, actividad o negocio principal. Aunque estas actividades son necesarias o esenciales, suelen ser consideradas funciones auxiliares en lugar de la actividad principal.

Datos a gran escala

El artículo 37, apartado 1, letras b) y c), exige que el tratamiento de datos personales se realice a gran escala para que se desencadene la designación de un DPO. El GDPR no define lo que constituye gran escala.

De hecho, no es posible dar un número preciso ni con respecto a la cantidad de datos procesados ni el número de personas afectadas, que sería aplicable en todas las situaciones. Esto no excluye la posibilidad, sin embargo, de que con el tiempo, una práctica estándar pueda desarrollarse, para especificar en objetivos cuantitativos lo que constituye una «gran escala» para determinados tipos de actividades de transformación. La UE también tiene previsto contribuir a este desarrollo, a través de la publicación de ejemplos de los umbrales pertinentes para la designación de un DPO.

En cualquier caso, recomienda que se tengan en cuenta, en particular, los siguientes factores:

  • El número de sujetos afectados, ya sea como número específico o como proporción de población relevante.
  • El volumen de datos y / o el rango de diferentes elementos de datos que se están procesando.
  • La duración o permanencia de la actividad de procesamiento de datos
  • La extensión geográfica de la actividad de transformación

Ejemplos

Ejemplos de procesamiento a gran escala incluyen:

  • procesamiento de datos de pacientes en el curso regular de los negocios por un hospital
  • tratamiento de datos de viajes de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, tarjetas de viaje)
  • procesamiento de datos geográficos en tiempo real de clientes de una cadena internacional de comida rápida para fines estadísticos por un procesador especializado en la prestación de estos servicios
  • gestión de datos de clientes en el curso normal de los negocios por una compañía de seguros o un banco
  • procesar datos personales para publicidad conductual mediante un motor de búsqueda
  • tratamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet

Ejemplos que no constituyen tratamiento a gran escala incluyen:

  • procesamiento de datos de pacientes por un médico individual
  • tratamiento de datos personales relativos a condenas penales y delitos cometidos por un individuo abogado.

Monitoreo regular y sistemático

La noción de supervisión regular y sistemática de los datos no está definida en el GDPR.

El concepto de «control del comportamiento de los interesados» incluye claramente todas las formas de seguimiento y elaboración de perfiles en Internet, incluso con fines de publicidad.

La UE interpreta 'regular' como:

  • En curso o ocurriendo a intervalos particulares durante un período determinado
  • Recurrentes o repetidos en horarios fijos
  • Constantemente o periódicamente teniendo lugar

Interpreta que "sistemático" significa que:

  • Ocurren según un sistema
  • Organización previa, organizada o metódica
  • En el marco de un plan general de recogida de datos
  • Realizado como parte de una estrategia

Ejemplos: operar una red de telecomunicaciones; Prestación de servicios de telecomunicaciones; correo electrónico; Elaboración de perfiles y puntuación para fines de evaluación de riesgos; Seguimiento, por ejemplo, mediante aplicaciones móviles; programas de lealtad; Publicidad conductual; Seguimiento de datos sobre el bienestar, la aptitud física y la salud a través de dispositivos portátiles; circuito cerrado de televisión; Dispositivos conectados.

DPO del Responsable del tratamiento

El artículo 37 se aplica tanto a los controladores como a los procesadores con respecto a la designación de un Delegado de Protección de Datos.

Dependiendo de quién cumpla los criterios de designación obligatoria, en algunos casos sólo el procesador, en otros casos tanto el controlador y su procesador están obligados a designar un DPO.

Es importante resaltar que incluso si el controlador cumple los criterios de designación obligatoria, el procesador no está necesariamente obligado a nombrar un DPO. Sin embargo, esto puede ser una buena práctica.

ejemplos proteccion de datos

Una pequeña empresa familiar dedicada a la distribución de electrodomésticos en una sola ciudad utiliza los servicios de un procesador cuya actividad principal es proporcionar servicios de análisis de sitios web y asistencia con publicidad y marketing dirigidos. Las actividades de la empresa familiar y sus clientes no generan el procesamiento de datos a gran escala.

El número de clientes y las actividades son relativamente limitadas. Sin embargo, las actividades del Procesador, teniendo muchos clientes como esta pequeña empresa, tomados en conjunto, suponen un procesamiento a gran escala. Por consiguiente, el transformador debe designar un DPO con arreglo al artículo 37, apartado 1, letra b).

Al mismo tiempo, la propia empresa familiar no está obligada a designar un DPO.

Fácilmente accesible desde cada establecimiento

El apartado 2 del artículo 37 permite a un grupo de empresas designar un único DPO siempre que sea "Fácilmente accesible desde cada establecimiento". La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los datos, considerando que una de las tareas del DPO es "informar y aconsejar al controlador y al procesador y los empleados que llevan a cabo sus obligaciones conforme a esta regulación".

A fin de garantizar que el DPO, ya sea interno o externo, sea accesible, es importante garantizar que sus datos de contacto están disponibles de acuerdo con los requisitos del GDPR.

Él o ella debe estar en una posición para comunicarse eficientemente con los sujetos de datos y cooperar con las autoridades de supervisión de que se trate. Esto también significa que esta comunicación debe realizarse en la lengua o las lenguas utilizadas por las autoridades de supervisión y los interesados.

De conformidad con el artículo 37, apartado 3, puede designarse un único DPO para varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y su tamaño. Dado que el RPD es responsable de una variedad de tareas, debe asegurarse de que un solo DPO puede llevarlas a cabo eficientemente.

La disponibilidad personal de un RPD es esencial para garantizar que los responsables del tratamiento puedan ponerse en contacto con el DPO. El DPO está obligado por el secreto o la confidencialidad con respecto a la realización de sus tareas, de conformidad con la legislación de la Unión o de los Estados miembros (artículo 38, apartado 5). Sin embargo, la obligación de secreto / confidencialidad no prohíbe que el DPO se ponga en contacto y solicite asesoramiento de la autoridad supervisora.

Read more


Protección de datos para centros educativos

LOPD en centros educativos

Se acerca septiembre y el inicio de un nuevo curso escolar, por ello debemos ser conscientes de cómo se tratan los datos de nuestros hijos en los colegios y si se está protegiendo adecuadamente su privacidad. Por ello, os voy a explicar cómo deben cumplir estos centros escolares la normativa de Protección de Datos.

La aplicación de la Ley Orgánica de Protección de Datos (LOPD) y en general la legislación aplicada al derecho a la intimidad presenta muchas dudas en su aplicación a los centros de enseñanza, escuelas y colegios, donde además de las problemáticas habituales nos encontramos la dificultad añadida de que muchos de los datos personales tratados corresponden a menores de edad.

Evita sanciones y cumpla la LOPD

La Autoridad Catalana de Protección de Datos (apdcat) presenta una guía que facilita a los centros educativos el cumplimiento de las obligaciones establecidas por la normativa de protección de datos.

Guía básica de Protección de Datos para centros educativos

Los centros educativos necesitan tratar información personal para ejercer las funciones que tienen encomendadas. Esta información puede ser de cualquier persona física que se relacione con el centro, pero muy especialmente de sus alumnos. Tratar esta información de forma adecuada se convierte en un objetivo de una importancia primordial, no sólo por el papel de los centros educativos como eje transmisor de los valores que, como la privacidad, están ligados al respeto de los derechos de las personas, tal como recoge la Disposición adicional decimocuarta de la Ley de educación, sino también porque el tratamiento de la información relativa a los menores requiere un especial cuidado. Un tratamiento inadecuado de su información en esta fase de su vida, en la que todavía se están formando, puede acabar afectando al desarrollo de su personalidad en esta etapa y en etapas posteriores de sus vidas.

 
guia-proteccion-datos-educiacion

GUÍA PROTECCIÓN DATOS PARA CENTROS EDUCATIVOS

 

¿A quién va dirigida?

Con esta guía, dirigida a las personas que forman parte de la estructura organizativa del centro educativo, se quiere ofrecer una herramienta que facilite el cumplimiento de las obligaciones establecidas por la normativa de protección de datos mediante la recopilación de los conceptos, los principios y las obligaciones básicas establecidas por la normativa vigente, con una referencia a la normativa de aplicación y a los informes que ha elaborado la Autoridad Catalana de Protección de Datos en esta materia.

Al mismo tiempo también se tratan de manera concreta, en forma de preguntas y respuestas, las principales cuestiones que han planteado los centros educativos públicos y concertados que forman parte del ámbito de actuación de esta Autoridad en relación con el tratamiento de datos personales.

Por otra parte, esta Guía se dirige también a las personas que ocupan cargos o despliegan funciones en las asociaciones de madres y padres de alumnos (AMPA). A estas asociaciones se les aplican los mismos principios y obligaciones que a los centros educativos, aunque con algunas particularidades que se recogen en un apartado específico.

Anexos en descarga directa. Documentos en versión libre para personalizar:

¿Por qué los centros educativos deben cumplir la LOPD?

Es algo habitual que los colegios tengan perfiles en las redes sociales en los que publiquen fotos de sus alumnos en excursiones, competiciones o actos de todo tipo.

También hay profesores que descargan una determinada aplicación educativa, con proveedor extranjero la mayoría de las veces, y la utilizan aunque para ello deba aportarse información de carácter personal de los alumnos. Todo ello sin que el centro, a pesar de tener conocimiento de estos hechos en muchos casos, controle los dispositivos utilizados, el software, las medidas de seguridad que deben aplicarse y los correspondientes consentimientos que deban solicitarse.

Los centros educativos deben adoptar una serie de medidas de seguridad en relación a los sistemas de información a través de los que se tratan los datos personales del alumnado y personal del centro.

En los colegios se dan dos circunstancias básicas que hacen necesario un adecuado tratamiento de los datos personales:

  • Conviven adultos con menores
  • Se trata un gran volumen de información personal relativa a los estudiantes, sus padres, el personal del centro, etc.

Por supuesto, las actuaciones que hemos comentado se realizan de buena fe y la creación de un perfil en las redes sociales o la captación de imágenes de los estudiantes no es ilegal en sí. El problema aparece cuando los cauces a través de los cuales se llevan a cabo estas actuaciones no son los apropiados ni los exigidos legalmente y esto supone un obstáculo para proteger la privacidad y la intimidad de los menores.

Tipos de datos personales que tratan los colegios

Los ficheros más comunes que deben inscribirse según el tratamiento habitual de datos del centro educativo son:

En todo caso se ha de intentar por parte del centro educativo que solamente tengan acceso a los datos personales quienes, en cumplimiento de su función o cargo, estén autorizadas para ello. Es habitual que en determinadas ocasiones sea necesario publicar una serie de listados que contengan datos personales; siempre que sea posible se debe intentar que únicamente los interesados tengan acceso a dicha información, bien facilitando un usuario y contraseña para consulta online o, si la publicación ha de hacerse en tablones, que estos estén en una zona con acceso limitado para los interesados. Esta publicidad ha de tener siempre en cuenta los principios de calidad (sólo incluir los datos que sean necesarios) y proporcionalidad.

Requisitos para cumplir la LOPD en los colegios

cumplir-lopd-colegios

Según la LOPD, los centros educativos se convierten en Responsables de los ficheros y deben adoptar una serie de medidas de seguridad en relación a los sistemas de información a través de los que se tratan los datos personales relativos al alumnado, a sus representantes legales, al profesorado, etc.

En primer lugar, es necesario inscribir los distintos ficheros que contengan datos personales ante la AEPD. También deben elaborar un Documento de Seguridad, que contemple los ficheros mediante los cuales se tramita la información, los sistemas utilizados (informatizados o en soporte papel) y las medidas de seguridad implantadas que impone la legislación vigente (claves individuales de acceso, control de acceso, copias de seguridad, etc.).

Por otro lado, es imprescindible informar y formar al personal del centro escolar acerca de cuáles son sus competencias sobre a la información que deben gestionar para el ejercicio de sus funciones y cuáles son las medidas que el centro impone para garantizar la protección de la privacidad, especialmente de los menores.

Publicación de fotografías

A la hora de publicar fotografías en las redes sociales o captar imágenes de los menores en determinadas actividades del centro, es necesario solicitar el consentimiento de los representantes legales de los menores y el centro debe aprobar determinadas medidas de seguridad. Cuando captamos una imagen con un teléfono móvil puede ser que esté conectado a la nube y configurado de tal manera que al hacer la foto automáticamente una copia se almacena en la aplicación correspondiente, asociada al usuario que capta la imagen.

ejemplos proteccion de datos

Repartir entre los miembros del Consejo Escolar las notas de todos los alumnos con sus nombres para ver las dificultades que puedan tener y buscar las mejoras necesarias, podría ser contrario al artículo 4 de la LOPD dado que se trataría de un acceso excesivo de información que no estaría justificado.

Auditorías

Por último, la ley exige cada dos años una Auditoría de cumplimiento que puede ser interna o externa, siempre que se desarrolle por un profesional experto en la materia, que diagnostique si se está cumpliendo con los requisitos mínimos establecidos por la normativa o bien indique los aspectos que necesiten de adaptación.

¿Necesitas cumplir la LOPD?

Read more


Cumplir LOPD. Guía básica de Ayuda Ley Protección Datos

Guia Ley Proteccion de Datos LOPD pdf resumen

¿Cómo cumplir con la Ley Orgánica de Protección de Datos Personales (LOPD) en mi empresa o negocio?

En este artículo te muestro el procedimiento paso a paso para solventar este trámite legal de forma gratuita.

¿Necesitas cumplir la LOPD?

Aún teniendo en cuenta que cada entidad responsable de ficheros con datos personales tendrá sus peculiaridades en función del origen de los datos, su tipología, características del tratamiento y del tipo sistemas y soportes en los que se manejen los datos, etc, ofrecemos a título informativo una breve guía de las diferentes fases de adaptación a la LOPD, enlazando a los correspondientes apuntes en el blog, donde se desarrolla cada punto en profundidad.

Pasos para darse de alta en la Ley de Protección de Datos

como-cumplir-la-lopd-pasos  
  1. Nivel de seguridad

    La LOPD marca tres niveles de exigencia: bajo, medio y alto. Se trata de una cuestión a dilucidar de forma previa e imprescindible, que se gradúa en función del tipo de datos a tratar, y que además genera las Medidas de seguridad a implantar. La LOPD considera como infracción grave el mantener los ficheros, locales, equipos o programas sin las medidas de seguridad necesarias para garantizar la seguridad de los datos personales que manejamos. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
  2. Inscripción de ficheros

    Serie de artículos que explican paso por paso y de forma detallada el uso del sistema NOTA (oficial y gratuito) para inscribir ficheros en el Registro General de Protección de Datos (RGPD). Este trámite ha de realizarse según la ley antes de comenzar a recopilar los datos personales. Desde julio de 2015 existe además una nueva versión del formulario NOTA, cuyo uso se detalla en esta guía: Cómo inscribir ficheros con el nuevo sistema NOTA.
  3. Documento de seguridad

    Serie de artículos sobre partes y diferentes aspectos del documento de seguridad, incluyendo un Guía y un Modelo, ambos gratis y desarrollados por organismos oficiales. Este documento es obligatorio y debe mantenerse siempre actualizado. El contenido mínimo que debe tener el Documento de Seguridad es el siguiente: ámbito de aplicación con especificación detallada de los recursos protegidos; medidas, normas, procedimientos, reglas y estándares de seguridad; funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información; procedimiento de notificación, gestión y respuesta ante incidencias; procedimiento de copias de respaldo y recuperación de datos; medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.
  4. Contratos con terceros

    Siempre que una figura externa (ya sea un asesor o gestoría, una empresa de telemarketing o de email marketing, un hosting, etc...) trata datos personales por encargo nuestro deberemos tener un contrato de tratamiento de datos en el que se especifiquen con claridad las instrucciones del responsable del fichero, de acuerdo con lo establecido en el artículo 12 de la LOPD.
  5. Política privacidad empleados

    Los conflictos con empleados son una de las vías de reclamación mas habituales ante la Agencia Española de Protección de Datos (AEPD), por lo que resulta de gran importancia tener bien marcadas las guías de actuación de los mismos respecto a sus propios datos y los de la empresa que vayan a manejar. Más información sobre trabajadores.
  6. Aviso legal

    Apartado necesario en todo sitio web (aunque no existe ninguna obligación de que tenga esa denominación en concreto) en el que se debe incluir no sólo aspectos de la LOPD como la política de privacidad, sino también los relacionados con la Ley de Servicios de la Sociedad de la Información (LSSI).
  7. Derechos ARCO

    Derechos de acceso, rectificación, cancelación y oposición de que disfrutan las personas físicas para conservar el control sobre sus datos personales. Cuando el afectado ejerce su derecho de Acceso, envía  una carta dirigida a la empresa, a la dirección que se indica en el formulario de recogida de datos. Una vez recibida e identificado en las bases de datos de la Empresa u Organismo, obtiene la información del afectado: Información de sus datos registrados, Origen de los datos y posibles comunicaciones. La empresa debe de enviar por correo certificado el  Justificante de envío de información, así como la carta recibida pidiendo el derecho a acceso y  el justificante del envío de la información requerida. Derechos de Rectificación, Oposición y Cancelación: En estos casos se remitirá una carta a la dirección que figure en el formulario de recogida de datos. Se enviará a la Empresa y al departamento adecuado. La ejecución de los derechos de Rectificación, Oposición y Cancelación deberá realizarse en un plazo inferior a 10 días. La empresa verificará la identidad y seguidamente procederá a hacer efectivo el derecho ya sea de rectificación o de cancelación de datos, tanto en los soportes manuales como informáticos. La empresa notificará al afectado por correo certificado, que sus derechos de rectificación, oposición y cancelación han sido llevados a cabo dentro del plazo establecido por la ley.
  8. Videovigilancia

    ¿Se puede grabar a un empleado sin su consentimiento?
    El Tribunal Constitucional afirmo que sí se puede grabar a un trabajador con una serie de requisitos, aquí puedes conocer más detalles sobre esta sentencia. Uno de los temas que más sanciones han generado desde la AEPD. Las condiciones que deben satisfacerse a la hora de recoger, acumular, reproducir o cancelar las imágenes son:
    • Principio de Proporcionalidad entre la finalidad perseguida y el tratamiento de los datos.
    • Deber de información sobre la grabación de imágenes.
    • Las cámaras de videovigilancia solo se usarán cuando no existan otros medios menos invasivos.
    • Las cámaras de videovigilancia que se instalen en lugares privados no podrán grabar imágenes de la vía pública.
    • Sólo podrán captarse imágenes parciales de vías públicas en caso de que sea imprescindible para el fin de vigilancia perseguido.
    • Respeto a los derechos de las personas y al resto de la normativa vigente. No podemos grabar interiores de viviendas cercanas, ni baños, ni aseos o espacios físicos distintos al específicamente protegido por la instalación.
    • Las imágenes se guardarán el tiempo indispensable para satisfacer el fin para el que se obtuvieron.
     
    ejemplos proteccion de datos

    La Agencia Española de Protección de Datos ha creado una herramienta para facilitar a las pymes la adaptación a la normativa de Protección de Datos.

     

    Auditoría

    Procedimiento de obligado cumplimiento para toda entidad que almacene datos de carácter personal de nivel medio o alto y que debe realizarse cada dos años. Consiste en una revisión de las medidas informáticas, físicas, organizativas y documentales que se impusieron en su día y que existen en una empresa, relacionadas con el tratamiento de datos que efectúa aquella, respecto a las personas físicas y sus datos; se trata de comprobar también si el funcionamiento actual de nuestra empresa se adecua a lo establecido por la ley o si se ha producido algún cambio que exija una mejora.

    La Agencia Española de Protección de Datos (AEPD) ha editado una serie de guías y manuales enfocados a resolver dudas en diferentes aspectos. Aquí están recopilados:  Los manuales de la AEPD.

    ¿Demasiado complejo?

    Consentimiento para el tratamiento de datos personales

    Finalmente, debido a que es probablemente el motivo más frecuente de sanción, conviene repasar bien todo lo relativo al Consentimiento. Este consentimiento del afectado para el tratamiento de sus datos personales se exige que sea libre, inequívoco e informado. Puede ser expreso o tácito, salvo en el caso de datos especialmente protegidos en que la ley exige que sea expreso y escrito. No solicitar el consentimiento del afectado para el tratamiento de sus datos personales en los casos en que sea necesario constituye una infracción grave o muy grave, según el tipo de datos que se vayan a tratar, con multas que van desde los 60.000 € hasta los 600.000 €.

    Las multas, según el tipo de datos que se vayan a tratar, pueden oscilar entre los 60.000€ y los 600.000€.

    Y si resulta demasiado complejo, puedes recurrir a una empresa de Protección de Datos.

Read more


Guía sobre el uso de cookies

La Agencia Española de Protección de Datos (AEPD), en colaboración con las asociaciones adigital, Autocontrol e IAB Spain, ha editado una Guía sobre el uso de cookies en España (descarga gratis PDF al final de este artículo).

En el texto se reconoce la importancia técnica y económica que las cookies tienen en el funcionamiento de internet, pero al tiempo se advierte que su finalidad de almacenar y recuperar datos que se encuentran en el equipo del usuario, supone implicaciones importantes en relación con su privacidad. Por esta razón, los capítulos más importantes de la guía son aquellos que tratan sobre las obligaciones legales de las partes.

Read more


Memoria 2014 de la Agencia de Protección de Datos

Del prólogo firmado por José Luis Rodríguez Álvarez, Director de la Agencia Española de Protección de Datos (AEPD):
Un año más me complace presentarles la Memoria de la Agencia Española de Protección de Datos, que recoge un informe detallado de las actividades realizadas durante 2014, una exposición de las novedades legislativas y jurisprudenciales más relevantes, y un análisis de los principales retos que afronta el derecho fundamental a la protección de los datos personales.
Memoria_AEPD_2014Descargas:Nota de prensa de la AEPDMemoria PDFMemoria epub      

Read more



Guía APEP sobre menores y privacidad

La Asociación Profesional Española de Privacidad (APEP) ha presentado una guía sobre Cuestiones y recomendaciones básicas para padres y educadores sobre el uso de redes sociales e Internet por los menores. Guia menores APEP ► Aquí puedes ver un vídeo de presentación de la campaña, con el lema Si les educas en su día a día, enséñales también a cuidar su privacidadhttps://vimeo.com/119252737 ► Y aquí descargar la guía en PDF: Guía de Menores APEP.

¿Necesitas cumplir la LOPD?

Read more


Código BOE sobre protección de datos

055_Proteccion_de_Datos_de_Caracter_PersonalLos Códigos electrónicos del Boletín Oficial del Estado (BOE) son compilaciones de las principales normas vigentes del ordenamiento jurídico presentadas por ramas del Derecho, en versiones gratuitas tanto en PDF como en ePUB. Uno de los últimos códigos recopila todo la normativa relacionada con la protección de datos de carácter personal. Se trata de un total de 462 páginas que van desde la Constitución hasta la normativa sectorial. Haz clic en la imagen de la derecha para acceder a la página oficial de descargas.

Read more


Guía AEPD sobre Evaluación de Impacto en la Protección de Datos Personales

La Agencia Española de Protección de Datos (AEPD) ha publicado una ‘Guía para una Evaluación de Impacto en la Protección de Datos Personales’, en la que se detalla el proceso mediante el cual las entidades pueden identificar, antes de que se materialicen, los riesgos de un producto o servicio para la protección de datos.

En la Guía se señalan situaciones en las que sería necesario realizar este análisis, identifica posibles riesgos y propone las medidas que se deberían adoptar. El documento incluye plantillas y anexos útiles, para su uso directo por parte de las organizaciones.

Una Evaluación de Impacto en la Protección de Datos (EIPD) es un ejercicio de análisis de los riesgos que un sistema, producto o servicio puede implicar para la protección de datos y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se produzcan.

El objetivo es, por un lado, conseguir una protección más activa del derecho fundamental a la protección de datos y, por otro, potenciar las políticas preventivas entre las organizaciones para evitar tanto costosos rediseños de los sistemas una vez han sido desarrollados como posibles daños a la reputación y la imagen por un tratamiento inadecuado de los datos personales.

Algunas de las situaciones en las que sería recomendable llevar a cabo este análisis son:

  • Utilizando tecnologías que se consideran especialmente invasivas con la privacidad, como la videovigilancia a gran escala, minería de datos, biometría, técnicas genéticas, geolocalización.
  • Tratando grandes volúmenes de datos a través de sistemas como el big data o la internet de las cosas, entre otros ejemplos.

En España no existe por el momento una obligación legal de realizar Evaluaciones de Impacto de esta naturaleza, aunque podrá existir en el futuro cuando se apruebe la Propuesta de Reglamento General de Protección de Datos para la Unión Europea. En cualquier caso, con independencia de la exigencia normativa, se trata de una metodología que ha alcanzado ya un grado de desarrollo suficiente como para considerarla plenamente incorporable a nuestro país. La Agencia considera que la aplicación de estas políticas proactivas de protección de datos puede suponer una ventaja competitiva entre las organizaciones que las apliquen, además de ser un excelente ejercicio de transparencia.

¿Necesitas elaborar una EIPD?

Read more


Guía para proveedores de cloud computing

Guias ORIENTACIONES_CloudLa Agencia Española de Protección de Datos (AEPD) ha editado esta guía de orientaciones para prestadores de servicios de cloud computing (descarga PDF gratis al final de este artículo). El documento es complementario del ya comentado aquí dirigido a proporcionar orientaciones a clientes que contraten servicios en la nube, y de forma conjunta presentan una visión global de las obligaciones legales en materia de privacidad para todas las partes implicadas.

Read more