Advertencia de posible sanción por utilizar fotografías sin consentimiento

Lunes por la mañana, me toca publicar nuevo post y mi cabeza todavía sigue pensando en el fin de semana. Entro en la página de la Agencia para captar alguna idea y al ir leyendo resoluciones, hay una que me llama especialmente la atención, entonces se me ocurre una idea para ayudar lo máximo posible a los profesionales de la fotografía.

Denuncia ante la AEPD por uso de fotografías sin consentimiento

Os voy a poner en situación, el día 30 de diciembre de 2015 tiene entrada en la Agencia un escrito de D. C.C.C., el denunciante, comunicando que D. B.B.B., el denunciado, anunciaba sus servicios fotográficos en su perfil de Facebook, utilizando una foto en la que aparece la hija del denunciante y sus amigos, todos ellos menores de edad, y por supuesto, sin tener el consentimiento de los padres necesario para su publicación.
¿Para qué utilizó la fotografía?
El denunciado expuso sus alegaciones basándose en que estaba buscando imágenes de tablas gigantes de Paddle SUP mediante la búsqueda de Google con el fin de promocionarlas en el perfil de la red social. También alega el denunciado D. B.B.B. que en ningún momento su objetivo fue lesionar la imagen de ninguno de los menores que aparecen en la foto. Por lo tanto, el denunciado reconoce la utilización de esa fotografía para fines únicamente promocionales.
Comprobaciones de la AEPD
Hechas las pertinentes comprobaciones, la Agencia verificó que tal y como reconoció el denunciado, la citada fotografía se encontraba en su perfil de Facebook y al tener conocimiento de la iniciación de las actuaciones de la AEPD, D. B.B.B., procedió a eliminar la foto. Cuatro meses después de iniciado el procedimiento, la AEPD verificó la total eliminación de la foto.
¿Cuál es la infracción cometida?
Los hechos cometidos suponen por parte del denunciado una infracción del artículo 6.1 LOPD en base a que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
Disminución de la culpabilidad
La AEPD constató que hubo una considerable reducción de la culpabilidad del imputado, ya que no constaba vinculación relevante de la actividad del denunciado con la realización de tratamientos de datos de carácter personal. Tampoco constaban beneficios obtenidos como consecuencia de la comisión de la infracción. Asimismo, el denunciado adoptó las medidas correctoras pertinentes, porque dió de baja la imagen de la hija del denunciante de su perfil de Facebook. Además, cabe decir, que la fotografía no tiene una especial sensibilidad, ya que no muestra desnudez, patología u otra circunstancia agravante.

¿Cuáles son las cuantías de las sanciones?

sancion proteccion de datos

Las infracciones graves  son sancionadas con una multa que va desde los 40.001€ a los 300.000 , ¡un dineral!

Para establecer la cuantía exacta, la AEPD sigue unos criterios:
  • Carácter continuado de la infracción
  • Volumen de los tratamientos efectuados
  • Vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal
  • Volumen de negocio o actividad del infractor
  • Beneficios obtenidos como consecuencia de la comisión de la infracción
  • Grado de intencionalidad
  • Reincidencia por comisión de infracciones de la misma naturaleza
  • Naturaleza de los perjuicios causados a los interesados
  • Acreditación de que la entidad tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de datos

Resolución AEPD

La directora de la Agencia Española de Protección de Datos, resolvió:
  • Archivar el procedimiento a D. B.B.B.
  • Notificar la citada resolución a las partes interesadas, D. B.B.B. y a D. C.C.C.

Competencias de la AEPD

Se establece que dicha Agencia es la encargada de llevar a cabo el procedimiento sancionador en base al artículo 8.1 del Reglamento para otorgar la potestad sancionadora cuando iniciado un procedimiento, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda.

¿Necesitas cumplir la LOPD?

Consentimiento para los menores

En base al artículo 13 del Reglamento de la LOPD señala como debe ser el consentimiento para el tratamiento de datos de menores de edad.

Menores de 14 años

Necesitan obligatoriamente el consentimiento de los padres o tutores.

Mayores de 14 años

No necesitan el consentimiento paterno, podrá procederse al tratamiento de sus datos con su consentimiento expreso. ¡Nunca nunca se podrá obtener del menor, información sobre los demás miembros de su familia! Además esta información debe expresarse en un lenguaje que sea fácilmente comprensible para los menores.

Menores en el nuevo RGPD

El Reglamento General de Protección de Datos considera que el límite ha de situarse en los 16 años, edad que podrá ser modificada por la legislación interna, sin que se pueda permitir, en ningún caso, que los menores de 13 años consientan este tipo de servicios sin la autorización del tutor legal. Hasta ahora, la LOPD había permitido la recogida del consentimiento a mayores de 14, requiriendo el consentimiento de los padres o tutores cuando el menor no alcanzara dicha edad y siempre que la Ley no exigiera otra cosa.

Modelo de autorización para uso de fotografías en España

¿Necesito autorización para publicar fotos en Internet?

Esta pregunta me la ha realizado un amigo fotógrafo alegando que quería hacer publicidad de su trabajo para la campaña de navidad, utilizando fotos de bebés disfrazados de Papá Noel. Pues bien, mi respuesta fue tajante: ¡Claramente no puedes! Debido según la LOPD a que los menores de 14 años necesitan obligatoriamente el consentimiento de sus padres.

¿Cuáles son los derechos de autor sobre las fotos en redes sociales?

Para tratar este tema un tanto confuso, hay que aclarar en primer lugar quién tiene el derecho de autor: "toda persona creadora de una obra intelectual, sea pintura, escultura, danza, literaria". Por lo tanto, aunque seas un famosísimo fotográfo, siempre, debes haber obtenido previamente el consentimiento para la publicación de tus estupendas fotografías en cualquier red social o página de interntet, incluida la tuya propia.
ejemplos proteccion de datos

Te voy a poner un ejemplo, acude a tu estudio fotográfico una persona para realizarse un book para su uso personal, y tú para publicitar tus trabajos y ofertarte como profesional, decides subir a tu cuenta de Facebook la mayoría de fotos realizadas, hasta aquí todo parece normal. Pero tu cliente ha visto su sesión fotográfica en tu Facebook, y muy enfado te pregunta por qué has subido esas fotos personales.

Y aquí surge el problema, ya que como bien dice el cliente, esas fotografias eran personales, y necesitas su consentimiento obligatorio para tratar cualquier uso de ellas, a pesar de que tú eres un profesional de la fotografía y de que te ha dado su consentimiento para realizarlas. Tu alegación sería que posees los derechos de autor sobre la propiedad intelectual de las fotos, pero en base a la ley de protección de datos priman los derechos a la intimidad y a la propia imagen del cliente.

Consentimiento de los padres

Todas y cada una de las fotos tomadas a menores de 14 años deben tener firmado el modelo de consentimiento para su utilización por parte del propio dueño de la fotografía. La AEPD establece un modelo de consentimiento que para ser válido debe ser libre, inequívoco, específico e informado. Ya he cometado sobre este tema, en un post anterior, debido a la  extrema necesidad del consentimiento paternal.

Derechos del menor sobre el uso de su imagen

Con el mundo tecnológico tan sumamente avanzado que tenemos hoy en día, nuestros gustos han evolucioando también. Hoy en día, la gran mayoría de padres y madres suben constantemente (yo diría que algunos a diario) fotografías tomadas a tus retoños para publicar lo orgullosísimos que están de sus niños. Sin darse cuenta ni ser conscientes de las terribles consecuencias que esto puede conllevar. En primer lugar he de decir que los niños tienen sus derechos, a la intimidad, a la propia imagen y aunque las personas que tienen la obligación de garantizarlos, también pueden ser los culpables de que no se cumplan.

¿Qué pasa si papá o mamá no quiere?

Por desgracia últimamente me llegan consultas de padres divorciados que tienen este problema, y creen que quien tenga la guarda y custodia del menor pueda hacer lo que se le antoje con las fotos de su niño. He de decir que No, ya que en la mayoría de los casos la patria potestad siempre será compartida, por lo tanto, deben estar de acuerdo los dos progenitores.

¿Puedo denunciar al fotógrafo por utilizar las fotos de mi hijo?

¡Si no tiene un consentimiento expreso, claramente sí!
ejemplos proteccion de datos

Te voy a poner en situación: tu hijo de 5 añitos llega del colegio con un sobre lleno de fotografías suyas realizadas por un profesional que ha acudido al colegio y con la autorización de la profesora, les ha hecho una sesión fotográfica a cada niño para posteriormente venderlas.

La utilización de esas fotografías de menores sin consentimiento no es lícito, por un lado porque cualquier menos de 14 años necesita el consentimiento de sus progenitores para poder tratar sus datos personales.

¡Cumple esta reglas!

No pongas su nombre y apellidos
Sé que estás muy orgulloso de la función de teatro de navidad que hizo tu hijo en el cole, pero no publiques su nombre y apellidos en el pie de la foto.
Elimina la geolocalización
Comprueba que tienes la función de localización desactivada, así te asegurarás de que nadie pueda seguir tus pasos, y saber en todo momento donde se encuentras tus hijos.
¡Consejo! Recuerda que una vez subida una foto a internet, aunque solamente la hayas publicado en el perfil de tu Facebook o Instagram, hagas lo que hagas nunca se eliminará del todo. Y tú, ¿estás seguro de que cumples con la Ley Orgánica de Protección de Datos? Si te ha quedado alguna duda o tienes alguna curiosidad, ¡escríbeme un comentario!

¿Necesitas cumplir la LOPD?

Read more


Mega multa a Facebook por incumplir la LOPD

Analizamos los motivos de la sanción y, lo más importante, cómo evitar que tu empresa reciba una multa similar.
sancion proteccion de datos

La AEPD sanciona a Facebook con una multa de, nada más y nada menos, 1.2 mill. de € por incumplir la Ley de Protección de Datos al ceder información sin el consentimiento de los usuarios.

Todo empezó en la Universidad de Lovaina

Bélgica, abril del 2015. La entidad belga equivalente a la AEPD tenía sospechas de que Facebook estaba realizando un uso abusivo de los datos de los usuarios y, por ello, encargó un estudio a una de las universidades mejor valoradas de Europa, la Universidad de Lovaina. Tras diversos análisis, los investigadores concluyeron que Facebook, mediante supercookies, estaba recopilando sin consentimiento numerosos datos personales de incluso usuarios no registrados en la red social.

Infracciones que suman más de 1 millón de €

La AEPD comenzó una inspección de oficio, investigando a la red social para conocer si sus políticas de privacidad cumplían las exigencias que establece la normativa y también para verificar cómo se gestionan los datos personales que almacena la compañía estadounidense. La Agencia lo tenía muy claro, la empresa tecnológica incumplía gravemente la LOPD por varios motivos.

Los “me gusta” con fines publicitarios

Según la Agencia Española de Protección de Datos dicha red social almacena información personal catalogada como especialmente protegida sin informar al usuario de manera concreta el tipo de tratamiento que realizará de la información recabada, únicamente se limitaban a dar sencillos ejemplos. Esto me da ha entender que en Facebook no leyeron el artículo 7 de la LOPD:
Artículo 7 de la LOPD

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente“.

Por este motivo, le han impuesto una sanción de 300.000 € Y ahora, suma otros 300.000 € de multa por rastrear con supercookies a los usuarios que, sin estar registrados en Facebook, han hecho clic en un "Me gusta" o han interaccionado con alguna aplicación de la red social.

Supercookies

Hace tiempo expliqué qué son las cookies pero se me olvidó mencionar las supercookies. Las supercookies son archivos que guardan información del usuario durante años. Normalmente, una cookie tienen una duración de 1 mes.
Cookie DART
Si compruebas las cookies que se descargan al acceder a una web que tiene incrustada alguna opción de Facebook, como puede ser el botón "Me gusta", verás DART. La cookie DART podemos clasificarla en el la sección de supercookies porque almacena durante 2 años información de los usuarios sin incluso registrarse en Facebook y, precisamente por este motivo, la AEPD sanciona a Facebook con otros 300.000 eurazos.

¡Cuidado! No eliminan tu perfil después de borrar tu cuenta

Normalmente creemos que cuando nos damos de baja de cualquier servicio en un periodo breve nos eliminarán de sus archivos de clientes y ya no tendremos nada que ver con esa empresa. Pues bien, la empresa de Mark Zuckerberg no lo hacía así, ya que una vez has eliminado tu perfil, lo mantenía en sus servidores, llegando a retener nuestra información hasta 18 meses. Por este motivo, la AEDP, le ha impuesto una sanción muy grave con un importe de 600.000€ por imcumplir el derecho al olvido que se basa en poder modificar, cancelar o borrar tus datos personales que estén en posesión de terceros (entidades o personas).

No quiero asustarte pero a ti también pueden sancionarte

Este año ya he leído varias noticias informando de sanciones a empresas que no cumplían la normativa de protección de datos por lo mismo que Facebook:
  1. No solicitar el consentimiento
  2. No ejercer el derecho al olvido en tu empresa
Como no quiero un día leer en el Expansión o en El País que la AEPD ha sancionado a tu empresa, a continuación te resumo qué deberías verificar hoy mismo.
Solicitar el consentimiento de los usuarios de mi web
Cualquier sitio web con un formulario de contacto tiene que disponer de una política de privacidad que informe al usuario de las finalidades con las que tratará los datos personales obtenidos. Revisa hoy mismo si tu página web contiene, en un lugar visible y de manera clara, los siguientes contenidos:
  • Política de privacidad
  • Aviso legal
  • Aviso y política de cookies
  • Aceptación de las condiciones en los formularios
¿Cómo responder ante una solicitud del derecho al olvido?
Para asegurarte que un cliente, o un antiguo empleado pueda ejercer su derecho debes comprobar que toda la información personal de esa persona ha sido eliminada de manera permanente de tus archivos, y que se ha procedido a su destrucción definitva, tanto en papel como vía informática. Sólo así, evitarás que te sancionen por no poner en práctica este derecho que todos tenemos.

¿Cómo hacer tu cuenta más privada?

En primer lugar debemos decidir qué infomación de nuestra vida digital queremos compartir con nuestros amigos virtuales. Para ello, Facebook se ha cubierto las espaldas manteniendo una detallada configuración de privacidad, permitiendo al usuario mostrar sólo aquellos datos que le interesa mostrar. Así como limitando el acceso a las personas que el usuario considere inoportunas. De esta forma, tú mismo puedes reducir tu privacidad, con la opción de permitir ver las publicaciones de tu muro a tus amigos o incluso que sean privadas y solamente tú las puedes ver, dando clic en "sólo yo". Al igual pasaría con las fotogragrías que subes, también tienes las mismas alternativas para que únicamente las vea quien tú quieras. Si por desgracia te ha surgido este problema, no dudes en escribirme un comentario, ¡encontraremos una solución!

¿Necesitas cumplir la LOPD?

Read more


Sanción de 1500 euros por grabar sin consentimiento

sanción LOPD grabación cámaras
La Agencia Española de Protección de Datos ha sancionado por grabar sin consentimiento, a la empresa Leistung S.L.N.E., tras la denuncia presentada por una mujer cuya identidad queda salvaguardada, con las iniciales A.A.A.

Denuncia por el sistema de videovigilancia

El procedimiento sancionador se puso en marcha tras la denuncia, que aseguraba que la empresa Leistung había instalado un sistema de cámaras de vigilancia en su negocio de Pontevedra, las cuales emitían imágenes en directo en su página web, de acceso público (es decir, abierta a cualquier usuario de Internet). La denunciante aseguraba, además, que en dichas emisiones podían identificarse a los peatones y coches que pasaban junto al comercio, en sus calles adyacentes. Para demostrar el hecho denunciado, A.A.A. suministró pantallazos de los vídeos denunciados e incluso un vídeo demostrativo.

¿Qué clase de sanciones puede imponer la AEPD?

Hay que explicar que la AEPD no es un tribunal, es decir, no es una instancia judicial como tal, sino que es un organismo de control que se define como "independiente", y cuya misión es velar por la observancia de la normativa en materia de protección de datos. En especial, se encarga de que se cumpla el derecho fundamental a la protección de los datos personales. La AEPD, por tanto, puede, además de multas pecuniarias, imponer otras sanciones, pero no puede llevar a la cárcel a una empresa o persona por incumplir la LOPD, sino que informa al ciudadano, le protege para que defienda sus derechos, y actúa como un supervisor que tutela al ciudadano para que pueda ejercer esos derechos. En el caso que nos compete, la AEPD investiga y sanciona a aquellas entidades que puedan realizar alguna actividad contra la protección de datos personales.

Claves para la videovigilancia en mi negocio

Después de este análisis sobre una de las sanciones impuesta por la AEPD respecto a una infracción cometida en materia de videovigilancia, os dejo un artículo con las medidas que hay que tener en cuenta a la hora de poner cámaras en un negocio.

La AEPD informa al ciudadano, le protege para que defienda sus derechos, y actúa como un supervisor que tutela al ciudadano para que pueda ejercer esos derechos.

¿Necesitas cumplir la LOPD?

Read more


¿Es necesario el Reglamento sobre Privacidad y Comunicaciones Electrónicas?

e-privacy certificado
¿Sabíais que se va a aprobar un Reglamento relativo a la privacidad en las comunicaciones electrónicas? En este artículo te desvelo las claves de e-Privacy y lo que el Supervisor Europeo de Protección de Datos (SEPD) ha dicho del mismo.

Motivación por la que surge el e-Privacy

Este Reglamento surge, para sustituir a la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas y también como complemento del RGPD. La Comisión Europea, solicitó un Dictamen preliminar al SEPD, sobre la propuesta de este Reglamento y llegó a conclusiones tanto positivas como negativas del mismo.

Aspectos positivos

Regulación en un marco normativo diferente

Lo cual, es muy positivo, para proteger el derecho a la intimidad, regulado en el art. 7 de la Carta Europea de Derechos Fundamentales, ya que, complementa el RGPD y ambos dotan de una mayor protección a este derecho a la privacidad en las comunicaciones electrónicas.

Mayores garantías

Respecto tanto al contenido como a los metadatos. Así como, apoya que se establezca una mayor protección respecto de los servicios over-the-top (OTT).

Aspectos negativos

Redacción del texto

Está redactado de una forma muy generalista, lo cual, no garantiza de manera adecuada la seguridad en las comunicaciones electrónicas.

Las definiciones

Están enfocadas al mercado y a la competencia, de acuerdo al Código Europeo de Comunicaciones Electrónicas (CECE) y deberían de haberse establecido en base a la privacidad de acuerdo al RGPD. Esto provoca contradicción ya que deja al libre albedrío un abanico muy amplio de interpretaciones de la norma.

El consentimiento

Debe ser reforzado, solicitando el consentimiento, tanto de los usuarios que están utilizando el servicio (independientemente de si se han suscrito o no), como de todas las partes implicadas y de aquellas personas titulares de los datos que se comunican.

Coherencia

Los datos recogidos no deben ser utilizados para otros fines distintos de aquellos para los que fueron recabados, alegando una excepción prevista en el RGPD. Lo que en definitiva quiere el SEPD es que ambos textos sean congruentes.

Las Cookies

El SEPD manifiesta su desacuerdo respecto a que el acceso a una página web este condicionado a que el usuario acepte “las cookies“. El consentimiento tiene que ser dado sin condicionantes.

Seguimiento de usuarios

No asegura la configuración por defecto de los navegadores para evitar el seguimiento digital del rastro de los usuarios.

Ubicación

Tampoco se garantizan las excepciones relativas a la ubicación de los equipos ya que son muy amplias y carecen de los medios de seguridad adecuados.

Inseguridad Jurídica

Se deja a los Estados miembros una gran libertad para establecer las restricciones que consideren pertinentes.

Mi opinión sobre el e-Privacy

Este Reglamento supondrá un gran avance para poder garantizar un nivel elevado de protección de las comunicaciones de los ciudadanos, así como, para establecer unas condiciones de igualdad para todos los usuarios de la UE. Sin embargo, a pesar de que supone una novedad muy positiva, el legislador deberá modificar y mejorar el texto legislativo para que se complemente a la perfección con el RGPD. Del mismo modo, deberá delimitar y simplificar las disposiciones del mismo.

¿Necesitas cumplir la LOPD?

Read more


Congreso de Privacidad y Protección de Datos en Madrid

Evento en Madrid sobre Privacidad y Protección de Datos
La Asociación de Usuarios de Internet, en colaboración con la AEPD, organiza los días 17, 18 y 19 de octubre en Madrid el I Congreso de Privacidad y Protección de Datos en el que se reunirán los mejores expertos nacionales e internacionales para dar a conocer las tendencias, soluciones, normas e información que necesiten empresas, Administraciones públicas, pymes, profesionales y sociedad civil para adaptarse a la nueva realidad.

¿Por qué un Congreso de privacidad?

Todo está cambiando y casi todo está por hacer en materia de privacidad y Protección de Datos. Los datos personales cada vez tienen más valor y mayor interés, lo cuál plantea retos y oportunidades tanto para el empleo como para los negocios en esta materia en una sociedad cada vez más preocupada por su privacidad. El nuevo RGPD establece nuevas reglas, obligaciones y sanciones. También exige cambios en el tratamiento, gestión y diseño de procesos. Por otro lado, también se está tramitando una nueva directiva de e-Privacy en el Parlamento europeo que traerá nuevos cambios.

Objetivo del Congreso

El principal objetivo es ayudar a Organizaciones, Empresas, Profesionales, Emprendedores y Ciudadanos a entender y aplicar la regulación; a conocer las oportunidades de negocio y a descubrir las tendencias en materia de Privacidad y Protección de datos

¿Quién debe asistir a este Congreso?

Este Congreso de Privacidad y Protección de Datos está dirigido a:
  • Responsables de desarrollo de negocio: se presentarán casos de éxito, nuevos modelos de negocio y nuevas herramientas.
  • Expertos legales: Se explicará qué hay que hacer para adaptarse al nuevo RGPD, con qué herramientas y las consecuencias de no adaptarse.
  • Abogados de Protección de Datos: se requerirán nuevos profesionales en la materia para ayudar a las empresas y a las personas.
  • Consultores y expertos en Seguridad y Protección de Datos que trabajen en el diseño, la integración, gestión o custodia de datos personales.
  • Directores de pymes: Se darán a conocer las tendencias y modelos de negocio para una adecuada gestión y tratamiento de los datos personales que manejen.
  • Emprendedores y entusiastas de los datos: todas aquellas personas interesadas en este asunto, estudiantes o quienes pretendan dedicarse a ello.

Contenido del Congreso

El Congreso se basa en tres visiones y tres enfoques diferentes:

Martes dia 17

Una visión general desde el máximo nivel
  • REGULACION: GDPR, e-Privacy, Privacy Shield: ¿Barreras, oportunidades?
En esta sesión se revisarán los aspectos legales y de negocio relacionados con la privacidad que son más cuestionados por algunos y que, así vez, han sido vistos como oportunidades de negocio para otros.
  • NEGOCIO: ¿Son los datos personales el “petróleo” en la Sociedad de la Información?
En esta sesión se revisará el mercado de los datos personales, cuáles son los retos para su desarrollo con respecto al RGPD, los perfiles profesionales que se requieren, las oportunidades y los desafíos en un mercado global y la necesidad de códigos de confianza. Se analizarán las estrategias de las grandes compañías y los casos de éxito de start-up y emprendedores en el tratamiento de la privacidad y los datos personales.
  • TENDENCIAS: ¿Qué va cambiar en Privacidad?
En esta sesión se presentarán productos y soluciones tecnológicas que avancen en la transparencia, ofreciendo información sobre la inclusión de la privacidad de los datos en los procesos de recopilación, almacenaje, tratamiento y distribución de los datos personales. Se expondrán iniciativas encaminadas a avanzar en la autogestión de los datos.

Miércoles día 18

  • Conferencia MAGISTRAL Auditorio: Humanizando la digitalización
  • Regulación: ATERRIZANDO EL RGPD
  • Negocio: MODELOS DE EXPLOTACIÓN​
  • Regulación: IMPLEMENTANDO EL RGPD ​EMPRESAS Y AA.PP.
  • Negocio: SECTORIAL Banca, seguros, salud, industria, autos, ciudades​
  • Tendencias: I+D+I​ INVESTIGAR​ EMPRENDER EN EUROPA​
  • Regulación: LA REGULACIÓN QUE VIENE​
  • Negocio: EL VALOR INTANGIBLE DE LOS DATOS PERSONALES​
  • Tendencias: CRIMINALIDAD Y FRAUDE

Jueves día 19

  • Conferencia MAGISTRAL Auditorio: MyData a Nordic Model
  • Regulación: HERRAMIENTAS​ RGPD​
  • Negocio: HERRAMIENTAS PUBLICIDAD​ ANÁLITICA​ PORTABILIDAD​
  • Tendencias: PROYECTOS EUROPEOS
  • Regulación: TALLERES​ RGPD​ IMPÁCTO ​RIESGOS​
  • Negocio: CASOS DE ÉXITO​ STARTUPS​
  • Tendencias: PROYECTOS EUROPEOS

Lugar de celebración e inscripciones

El Congreso se realizará en Madrid aunque el lugar concreto está por determinar. La inscripción puede hacerse a través de la web del evento. Más información a través de los e-mails: cdp2017@aui.es cdp2017-programa@aui.es

Read more


Guía sobre el Reglamento General de Protección de Datos

  Con esta guía abordaré los aspectos básicos que necesita cualquier empresa para adecuarse correctamente al Reglamento General de Protección de Datos.

Aplicación del RGPD

En España, las empresas deberán cumplir el RGPD antes de mayo de 2018Su adaptación se hará mediante la nueva LOPD que aún se encuentra en trámite parlamentario.

¿Quién puede realizar el tratamiento de los datos?

En relación a este aspecto el RGPD no introduce cambios, ya que se sigue necesitando acreditar un interés legítimo para realizar el tratamiento de los datos. Este existe, por ejemplo, en casos de ejercicio de la facultad de control del empresario sobre los trabajadores o en los tratamientos de datos con fines de videovigilancia.

Obligaciones del responsable del tratamiento

Nuevos derechos de RGPD

En el Reglamento europeo de Protección de Datos se mantienen los derechos ARCO (acceso, rectificación, cancelación y oposición) y se añaden otros derechos específicos como:

Derecho al olvido

El Derecho al olvido se define como el derecho a impedir la difusión de información personal a través de Internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa.

Derecho a la portabilidad

El derecho a la portabilidad de los datos se trata del derecho a que los datos personales de un ciudadano europeo, recogidos en archivos automatizados, puedan serle entregados a él o traspasados, si así lo solicita, a otra empresa en un formato estructurado, inteligible y automatizado.

Infracciones y sanciones

En el Reglamento General de Protección de Datos se establece un régimen sancionador con sanciones económicas auténticamente disuasorias, pudiendo alcanzar incluso el 4% del volumen anual de facturación de una compañía o los 20 millones de euros en los casos más graves.

Cumple el nuevo Reglamento Europeo

Read more


Herramienta de ayuda de la Agencia de Protección de Datos para el análisis de riesgos

software gratis proteccion de datos
La AEPD, en su 9ª sesión anual, ha informado que dispondrá de herramientas de ayuda, llamada Nanopymes, para que las pequeñas y medianas empresas cumplan el Reglamento General de Protección de Datos.

Registro de Actividades

herramienta ayuda pymes En función los datos que utilice su organización deberá señalar una de las siguientes opciones:
  • Hacer o analizar perfiles
  • Hacer publicidad y prospección comercial
  • Prestar servicios de comunicación electrónica
  • Gestionar los asociados o miembros de partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical
  • Gestión, control sanitario o venta de medicamentos
  • Historial clínico o sanitario
  • Tratamiento de datos de niños
  • Ninguna de las anteriores
En la siguiente pantalla se le solicitará información sobre su empresa (denominación, dirección postal, CIF, teléfono y correo electrónico) para confeccionar los próximos documentos.

¿Su organización trata datos personales de clientes?

informacion protecion datos de clientes Contestar afirmativamente si en las relaciones comerciales su empresa trata con datos personales de personas físicas.
Qué datos personales trata de sus clientes
Marcar alguna/s de las siguientes opciones:
  • Identificación (nombre, apellidos, NIF, dirección postal, teléfono, email)
  • Características personales (estado civil, lugar y fecha de nacimiento, edad, sexo, nacionalidad)
  • Datos académicos
  • Datos bancarios
Para qué utiliza los datos personales que solicita a sus clientes
  • Prestarles un servicio
  • Facturar
  • Enviar publicidad postal o por correo electrónico
  • Servicio postventa y fidelización
Marque a quién entrega los datos personales de sus clientes
  • Administración tributaria
  • Seguridad social
  • Bancos y entidades financieras
  • Cuerpos y fuerzas de seguridad del estado
  • Gestoría. En caso de marcar esta opción, cumplimentar:
    • Nombre de la gestoría
    • Dirección postal
    • CIF
    • Descripción del servicio prestado por su asesor

Potenciales clientes

Se solicita confirmar si su organización trata con datos personales de personas con las que todavía no mantiene una relación comercial, por tanto, transcurrido un tiempo sin hacer uso de estos datos, debe proceder a eliminarlos. En caso afirmativo cumplimentar los siguientes apartados: datos personales de posibles clientes
Qué datos personales trata de sus potenciales clientes
  • Los facilitan ellos
  • Los compro a una tercera empresa
De dónde obtiene los datos personales de sus potenciales clientes
  • Los facilitan ellos
  • Los compro a una tercera empresa
Entrega de datos personales a un tercero
Podrá seleccionar:
  • Agencia de marketing
  • Imprentas
  • No comparto los datos personales de mis potenciales clientes
En caso de cedérselos a un tercero, se le solicitarán los datos del mismo.

Empleados

Se refiere a datos personales de trabajadores: señalar si se tienen datos de trabajadores

Qué datos personales trata de sus empleados

  • Identificación
  • Características personales
  • Datos profesionales
  • Datos bancarios
Qué datos personales trata de sus empleados
  • Identificación
  • Características personales
  • Datos profesionales
  • Datos bancarios
Origen de los datos personales de sus empleados
  • Los facilitan ellos
  • Los facilita una agencia de colocación
Finalidad de los datos que solicita a sus empleados
  • Gestionar la nómina
  • Formación
  • Mantenimiento de la relación laboral
¿Cede los datos de los empleados a una gestoría?
En caso afirmativo deberá cumplimentar los datos de su gestoría o asesoría.

Candidatos

datos de curriculums Se refiere a datos personales de aquellas personas que dejan su curriculum o rellenan un formulario de solicitud de empleo.
Qué datos personales trata de un candidato a un empleo
  • Identificación
  • Características personales
  • Datos sobre el nivel de estudios
  • Historial laboral
Fuentes de los datos personales de los candidatos
  • Los facilitan ellos en curriculum papel
  • Los incorporan ellos a mi página web
  • Rellenan un formulario

Proveedores

datos personales de proveedores Se refiere a datos personales de aquellas personas físicas que proveen de productos o servicios a su empresa. Si sus proveedores son personas jurídicas no tiene que marcar esta casilla.
Qué datos personales trata de sus proveedores
  • Identificación
  • Datos financieros
Encargado de tratamientos para servicios informáticos
Responder afirmativamente si los servicios informáticos, incluido el mantenimiento de la página web, los presta una tercera empresa.

Cláusula informativa

Dentro de las obligaciones, que ya existe actualmente, que afectan al empresario está la de informar a sus trabajadores sobre cómo deben efectuar el tratamiento de los datos personales a los que tienen acceso. Así, se les informará del deber de guardar secreto sobre esos datos personales, del carácter personal e intransferible de las contraseñas o de la obligación de notificar de manera inmediata sobre cualquier incidencia de seguridad de la información de la que tengan conocimiento.

Cláusulas contractuales a incluir en los contratos con los encargados del tratamiento

El Encargado del tratamiento debe observar las mismas medidas de seguridad respecto a los datos que el Responsable del fichero. Por ello, en el contrato de acceso a datos por cuenta de terceros deben incluirse las distintas obligaciones que asume ese encargado del tratamiento así como el compromiso de confidencialidad y secreto respecto de los datos personales a los que acceda en el desarrollo de sus funciones.

Anexo con medidas de seguridad mínimas a tener en cuenta por los responsables

Es necesario que el Responsable del fichero adopte las medidas de seguridad necesarias para proteger los datos personales que maneja. Disponer de un antivirus que minimice la posibilidad de recibir ataques informáticos y que se actualice periódicamente, tener un servidor de calidad y cambiar las contraseñas de forma regular. De nada sirve inscribir unos ficheros en AEPD si luego no se implantan las oportunas medidas técnicas y de seguridad en la empresa (muebles con llave, archivos con acceso restringido, etc.). El RGPD contempla medidas de seguridad que deben adaptarse a las características de los tratamientos, al tipo de datos que se tratan y a la tecnología de cada momento. Los tratamientos que impliquen un bajo riesgo no requerirán, en principio, medidas de seguridad más complejas que las que actualmente establece la LOPD para el nivel básico.

¿Necesitas cumplir la LOPD?

Read more


9ª Sesión anual abierta de la Agencia Española de Protección de Datos 2017

evento AEPD 2017
La Directora de la AEPD, Mar España, nos hace un resumen de las principales actuaciones que está realizando la Agencia para adaptar nuestra normativa al nuevo Reglamento Europeo de Protección de Datos. conferencia agencia proteccion de datos

Novedades en Protección de Datos

Las empresas no están obligadas en general a contratar un Delegado de Protección de Datos, salvo en lo casos indicados en el RGPD, pero contratarlo les dará seguridad jurídica. Puesta en marcha por la AEPD de una unidad de atención a los responsables del tratamiento y a profesionales de la privacidad. El consentimiento tácito dejará de ser válido a partir de mayo del 2018 pero en casos de interés legítimo podrá justificarse. Se hace incapié en la transparencia de la información proporcionada a los interesados y la necesidad de una información por capas. Deber de diligencia del encargado del tratamiento, debe haber un vínculo jurídico entre el responsable del fichero y el encargado del tratamiento. La mayor parte de los tratamientos de datos son de pequeñas empresas y de datos de nivel básico.

Modificaciones introducidas por el RGPD

¿Cuál es la incidencia del RGPD sobre la exclusión de los datos de contacto prevista en el artículo 2.2 del RLOPD?

  • Los datos de contacto son Información referida a personas físicas Identificadas (datos de carácter personal) por lo que su tratamiento se encuentra sometido al RGPD.
  • En consecuencia no cabe considerar aplicable la exclusión hasta ahora vigente
  • El tratamiento deberá cumplir con el RGPD, en particular en lo referente a la legitimación
  • Es posible que ese tratamiento se encuentre amparado en la regla de ponderación del artículo 6.1 f) del RGPD si se cumplen los requisitos establecidos en el RLOPD
    • Mínimos datos imprescindibles de contacto
    • Tratamiento con fines de mantenimiento de relaciones 828

¿Cuáles son las implicaciones del RGPD en relación con el consentimiento?

  • El RGPD no implica necesariamente una obligación de recabar un nuevo consentimiento si el que se hubiera obtenido antes de su aplicación fuese conforme a los requisitos que establece (Cdo. 171)
    • Siguen siendo válidos los consentimientos expresos y los consistentes en una manifestación o clara acción afirmativa
    • El Cdo. 32 clarifica supuestos que pueden considerarse consentimiento (declaración, marcación de una casilla, selección de parámetros)
    • En ningún caso hay aplicación retroactiva, dado que las normas del RGPD no se aplican a tratamientos anteriores al momento en que produce plenos efectos
  • Cuando se preste el consentimiento para el tratamiento de datos con múltiples finalidades será preciso dar el consentimiento para todos ellos (Cdo. 32). En particular:
    • Consentimientos específicos en el marco de un contrato
    • Consentimientos específicos en el marco de declaraciones
  • En caso de que se recabe el consentimiento para varias finalidades
    • Sería posible agrupadas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros)
    • Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros)
    • En ningún caso la falta de consentimiento podría implicar la denegación de un servicio si el tratamiento no es necesario para su prestación (art. 7.4)
  • La aceptación mediante un click de una política de privacidad en que se deja expresamente al interesado la posibilidad de decidir si acepta o no el tratamiento de los datos (a través de casillas no pre marcadas incluso de oposición y no de aceptación-) puede considerarse un consentimiento válido
  • En todo caso, el responsable deberá probar que cuenta con el consentimiento y que ha sido prestado por el afectado a través de los medios que resulten pertinentes

¿Cuáles son las implicaciones del RGPD en relación con los supuestos de “consentimiento tácito" que ahora autoriza el artículo 14 del RLOPD?

  • Estos consentimientos no resultan conformes al RGPD, por lo que no sería válido persistir en el tratamiento sobre su sola base a partir de 25 de mayo de 2018.
  • El período transitorio de adaptación de los consentimientos sería el actual, dado que el RGPD está en vigor pero no es plenamente aplicable.
  • Los tratamientos basados en el “consentimiento tácito" deberán encontrar fundamento en otra causa de legitimación
    • Mediante una nueva solicitud del consentimiento
    • Mediante, en su caso, la aplicación de alguna otra causa de legitimación y, en particular, la ponderación del derecho y el interés legitimo del responsable
      • El Cdo. 47 reconoce que el tratamiento con fines de mercadotecnia directa puede considerarse realizado por interés legítimo, aunque deberá ponderarse ese interés con la posible intrusión en el derecho fundamental
    • Para determinar si es posible aplicar esta regla habrá de atenderse a las circunstancias de cada tratamiento concreto y, en particular, el origen de los datos, el alcance de la información tratada o la finalidad perseguida, no siendo posible fijar una respuesta única. Por ejemplo
      • Envío de comunicaciones comerciales sobre los propios productos o servicios podría ser adecuada a la vista de la Directiva e-privacy y la LSSI
      • Tratamiento de dato que el afectado hubiese hecho manifiestamente públicos

¿Cómo afecta el RGPD a la información que ha de facilitarse a los afectados?

  • Como punto de partida, cuando los datos se recaben con anterioridad a la plena aplicación del RGPD será suficiente la información ya facilitada con arreglo a la LOPD, sin que sea preciso informar nuevamente
  • La información debe ser concisa, transparente, inteligible y de fácil acceso.Debe huirse de fórmulas excesivamente Iegalistas
  • Conforme a la “Guía para el cumplimiento del deber de informar" podrá optarse por un sistema de información por capas
    • La primera capa incorporará la información esencial (identiñcación del responsable, finalidad del tratamiento, ejercicio de derechos, origen de los datos, realización de perfiles)
    • La segunda capa puede encontrarse recogida, entre otros supuestos, en una política de privacidad, que contendrá la totalidad de las exigencias previstas en el RGPD
    • La guía ofrece ejemplos claros sobre el modo de facilitar la información
  • Información sobre algunos extremos:
    • Base legal del tratamiento: podría especiñcarse el fundamento con arreglo al 6.1 del RGPD en la primera capa y su detalle en la segunda (por ejemplo: tratamiento por obligación legal /art. 95 Ley General tributaria)
    • Plazo de conservación: si existieran varios debería indicarse el mayas, que subsume a los restantes

¿Cuál sería el régimen sancionador aplicable tras la plena aplicación del RGPD?

  • EL RGPD establece un régimen sancionador que, aun diferente al propio del ordenamiento español, especifica las conductas típicas y las sanciones aplicables.
    • La determinación de conductas típicas nunca podría darse a efectos de tipificación, sino de forma meramente enunciativa, dado que es el artículo 82 del RGPD el que fija en sus apartados 4,5 y 6 las conductas
    • Del mismo modo, el RGPD establece la posibilidad de imposición de sanciones económicas 0 (adicional o sustitutivamente) las medidas correctoras establecidas en su artículo 58.2
  • No obstante se deja margen a los Estados miembros en determinadas cuestiones
    • Determinación de los plazos de prescripción de infracciones y sanciones
    • Determinación del régimen sancionador aplicable a las Administraciones Públicas.

¿Puede considerarse el Título VIII del RLOPD como metodología de análisis de riesgo?

  • El art. 24,1 del RGPD impone la obligación de adoptar medidas técnicas y organizativas adecuadas a “la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa índole y gravedad para los derechos de las personas físicas"
    • El Cdo. 75 enumera algunas de las posibles situaciones de riesgo
  • El Título VIII del RGPD dedica la práctica totalidad de su articulado a enumerar las medidas y no a especificar el enfoque basado en el riesgo al que se refiere el RGPD
  • Si lo que se plantea es si la división en tres niveles de seguridad efectuada por el artículo 81 del RLOPD es suficiente para valorar el riesgo la respuesta debe ser negativa
    • Este “enfoque" únicamente atiende a la tipología del responsable o de los datos tratados, pero no atiende a los riegos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD

¿Cómo afecta el RGPD a las obligaciones de transparencia?

  • La legislación de transparencia impone unas obligaciones legales de publicidad o de facilitar a los afectados información solicitada en virtud de su derecho de acceso a Información pública
  • En consecuencia, las comunicaciones de datos están amparadas en una obligación legal (artículo 6.1 c) del RGPD).
  • El artículo 86 del RGPD recoge expresamente esta previsión
  • En todo caso, la protección de datos actúa como uno de los límites de transparencia
    • El artículo 15 de la LTAIBG establece la interrelación entre el derecho a la protección de datos y la transparencia
    • Estas normas se completan con los principios contenidos en la legislación de protección de datos
  • En consecuencia, el RGPD no introduce ninguna novedad ni limitación nueva en esta materia

Presentación de nuevas herramientas del RGPD

Andrés Calvo Medina, Coordinador de Evaluación y Estudios Tecnológicos, nos presenta una herramienta dirigida a pymes para adaptarse al nuevo Reglamento europeo de Protección de Datos.

Herramienta Nanopymes

Debe rellenarse el formulario pero será necesario el asesoramiento por parte de la AEPD o de un tercero. Se pretende facilitar el cumplimiento a las pymes. Funcionamiento de la herramienta:
  • Se excluyen tratamientos de alto riesgo
  • Pide información sobre datos de la empresa responsable
  • Solicita información sobre el tipo de tratamientos realizados: datos de clientes, de empleados, de candidatos a un empleo, de proveedores, videovigilancia....
  • Se genera un documento descargable con los tratamientos seleccionados: cláusulas contractuales, medidas de seguridad mínimas, etc.

Medidas de seguridad

Se determinarán los riesgos para los responsables de la información (lo que se hacia antes) (si me roban, si no hago copia de seguridad) y para las personas (ahora en el nuevo RGPD con un marco de seguridad dinámico, son el resultado del estudio de riesgos e impactos). Las auditorias siguen siendo necesarias para comprobar las medidas de seguridad, si tengo que aplicar algún control más. No existe una obligación directa de tenerla, la AEPD no lo va a pedir, va a solicitar que se cumplen las medidas de seguridad. Las auditoras forman parte del enfoque del riesgo y la periodicidad depende del responsable. El RGPD tiene un enfoque de riesgos para determinar los riesgos para la información y para los derechos de las personas. Este enfoque permite tener un marco de medidas de seguridad dinámico, siempre en constante revisión. Hemos pasado a un sistema de seguridad gestionada. El Esquema Nacional de Seguridad es obligatorio para las Administraciones públicas pero también lo pueden utilizar las empresas privadas.

Documento de Seguridad

Se puede incorporar al sistema de gestión de la seguridad de la información por lo que va a seguir siendo útil.

Documentos del Grupo de trabajo europeo

Autoridad principal

La determinación de esa autoridad principal es clave para ejercer las labores de supervisión. Aquí se explican conceptos del RGPD. Tratamiento transfronterizo: debe ser un tratamiento desarrollado en varios Estados miembros (dos al menos) o debe haber afectados en varios Estados miembros. Para determinar si existe o no afectación se tienen en cuenta una serie de criterios. Autoridades afectadas son ante las que se haya presentado una reclamación o las que estén relacionadas con esos tratamientos de datos. La autoridad principal se identifica:
  • Si hay un solo establecimiento, será la de ese Estado miembro donde esté ese establecimiento.
  • Si hay varios establecimientos, será la de la Administración central que tome decisiones sobre los fines y medios del tratamiento.

Delegados de Protección de Datos

Conceptos clave

  • Autoridad u organismo público
  • Actividades principales como operaciones clave necesarias para conseguir los objetivos del responsable o encargado
  • “Gran escala”: podemos considerar que estamos ante datos a gran escala en atención a:
    • Número de afectados
    • Ámbito geográfico
    • Volumen de datos...
  • Seguimiento regular y sistemático
    • Continuado o que se produce a intervalos concretos
    • Recurrente o repetido en momentos prefijados
    • Que se produce de forma constante o periódica
    • Que se produce de acuerdo con un sistema
    • Preestablecido, organizado o metódico
    • Que tiene lugar como parte de un plan general de recogida de datos
    • Llevado a cabo como parte de una estrategia
Se analiza la obligatoriedad de su nombramiento:
  • Si el responsable es un organismo público
  • Si la actividad principal es el tratamiento de datos sensibles a gran escala (nº de afectados, ámbito geográfico, volumen de datos, etc.).
DPD externo
  • Cumplimiento de requisitos de DPD internos por todos miembros.Los Delegados de Protección de Datos pueden ser externos a la organización pero deben cumplir los mismos requisitos que si fueran internos.
  • Conflictos de intereses

Posición del DPD

  • Implicación en todas las cuestiones
  • Acceso a la gerencia
  • Recursos necesarios
  • Actuación independiente
  • Destitución o sanción
  • Conflictos de intereses

Conocimientos y destrezas del DPD

  • Cualificación profesional y, en especial, conocimiento experto de la legislación y las prácticas de protección de datos así como capacidad de desempeñar sus tareas
  • Nivel necesario de conocimiento experto de acuerdo con las operaciones de tratamiento de datos llevadas a cabo y la protección requerida para los datos personales que se están tratando

Empresas que deben tener DPD

  • El RGPD establece:
    • Administraciones Públicas
    • Tratamiento de datos sensibles a gran escala
    • Seguimiento regular y sistemático a gran escala
Decisión corresponde a responsables y encargados tras analizar su situación
  • Podrían considerarse incluidas en estos criterios, entre otras:
    • Entidades aseguradoras y reaseguradoras
    • Distribuidores y comercializadores de energía eléctrica o gas natural
    • Entidades responsables de sistemas de información crediticia
    • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles
    • Centros sanitarios
    • Centros docentes que ofrezcan enseñanzas regladas, universidades
    • Colegios profesionales
    • Entidades dedicadas al juego on line…
  • Procesos de certificación de profesionales
    • RGPD no establece ningún criterio de titulación para DPD
    • RGPD requiere:
      • Cualidades profesionales, en particular, conocimientos especializados del Derecho y la práctica en materia de protección de datos
      • Capacidad para desempeñarlas funciones
      • Certificación como instrumento de garantía y transparencia para responsables y encargados, pero no única vía de acceso
      • Certificación realizada por entidades certificadoras acreditadas por ENAC
      • Elaboración del Esquema de Certificación en curso. Esquema será público
      • Publicación del Esquema supone inicio de procesos de acreditación de entidades certificadoras AEPD, entidades certificadoras y ENAC monitorizan aplicación del Esquema

Perfil del DPD

  • Del RGPD se desprende que el DPD ha de ser una persona. No obstante:
    • Es posible, y en algunas organizaciones será necesario, que el DPD esté respaldado por una unidad de protección de datos
    • Puede haber organizaciones en que sea necesario que existan DPD para ámbitos funcionales o territoriales específicos
En estos casos, debería existir una única persona que sea quien asuma formalmente la posición de DPD En el caso de DPD con una relación de servicios es posible que el contrato se formalice con una persona jurídica. La recomendación de las autoridades es que haya una persona responsable última dentro de la entidad que presta el servicio

Portabilidad de los datos

Portabilidad como derecho que refuerza el control del interesado sobre sus datos personales. Este derecho está relacionado con el derecho de acceso.

Contenido

  • Obtener datos personales en un formato "estructurado, de uso común y lectura mecánica"
  • Posibilidad de transmitir los datos de un responsable a otro responsable, directamente cuando sea técnicamente viable

Tratamientos afectados

  • Datos tratados mecánicamente
  • Datos tratados sobre la base de
    • Consentimiento
    • Ejecución de un contrato
Este derecho no condiciona el ejercicio de otros derechos por los interesados.

Tipos de datos incluidos

  • Datos que conciernan al interesado y
  • Proporcionados por el interesado
  • Se incluyen los datos proporcionados de forma activa y consciente por el interesado y los que se generan y recogen a partir de su actividad en el uso de un servicio o dispositivo.
  • Excluye los derivados o inferidos de los datos proporcionados por el interesado
  • El ejercicio del derecho a la portabilidad no debe afectar los derechos y libertades de terceros 4 Uso de datos de terceros por interesado o por nuevo responsable
  • Ejercicio de derecho a portabilidad no afecta a otros derechos
  • Plazos aplicables para todos los derechos
  • Importancia de verificar identidad del interesado
  • Cómo proporcionar los datos
    • Descarga directa
    • Uso de espacio de almacenamiento proporcionado por terceros
    • Transmisión directa responsable a responsable
      • API
      • Sistemas interoperables --Distinto de compatibles

Evaluación de Impacto en la Protección de Datos

  • EIPD como medida de accountability
  • EIPD como procedimiento dirigido a
    • Describir el tratamiento
    • Evaluar su necesidad y proporcionalidad
    • Identificar los riesgos
    • Gestionar los riesgos
  • Posibilidad de EIPD para uno o varios tratamientos similares Se puede realizar hacer para uno o varios tratamientos. Ejemplo: policía municipal va a instalar cámaras en varias estaciones de tren, seria suficiente con una única EIPD.
  • Debe realizarse la EIPD antes de realizar el tratamiento

Criterios para realizar una EIPD

  • Evaluación o scoring
  • Decisiones automatizadas con efectos legales o significativos similares
  • Seguimiento sistemático
  • Datos sensibles
  • Datos a "gran escala"
  • Combinación de bases de datos
  • Datos de personas vulnerables
  • Usos innovadores de tecnologías o soluciones organizativas
  • Transferencias internacionales en determinados casos
  • Tratamientos que priven al interesado de determinados derechos o del acceso a productos o servicios

Valoración

  • Cuántos más elementos, más probable que esté presente el alto riesgo
  • Dos elementos indicio razonable de alto riesgo

Excepciones

  • Listas de tratamientos sin riesgo de APD
  • Tratamiento determinado por obligación legal o interés publico cuando la norma ya incluye evaluación.

Consultas a AEPD

  • Riesgo residual tras EIPD y aplicación de medidas correctoras
  • Posibilidad de que la AEPD
    • Ofrezca recomendaciones
    • Ejerza sus poderes

Nuevas funciones de las Autoridades de control

sesion anual aepdPedro Colmenares Soto, Subinspector General de Inspección de Datos, fue quien expuso el modelo de Autoridad de control y evaluaciones de impacto que todavía se encuentran en transición. Tendrán nuevas funciones y se rigen por el principio de proactividad. Entre las nuevas funciones están:
  • Participación en el procedimiento administrativo tanto en procedimientos transfronterizos como en los no transfronterizos.
  • Promoción de buenas prácticas
  • Control sobre la seguridad
  • Evaluación de impacto en Protección de Datos: cuando exista alto riesgo para los derechos y libertades. Estas Autoridades elaborarán una lista de los tratamientos que deben someterse a la EIPD y los que no requieren esa evaluación.

Informes y sentencias relevantes

Ámbito de aplicación

  • No aplicación de la LOPD al tratamiento de datos de personas del entorno familiar de los trabajadores que contrata una entidad cuando para la realización de sus actividades se requiere la denominada "habilitación OTAN" (materia clasificada).

Concepto de dato personal

  • Lo son las informaciones que figuran en el registro del fabricante de un vehículo (revisiones y kilometraje) si se asocian a la matrícula del mismo, que permite identificar al titular por consulta al Registro de Vehículos de la Dirección general de Tráfico.
  • Lo es la IP dinámica (doctrina de la STJUE Breyer).
  • No cabe excluir la existencia de datos en supuestos de publicación de datos del Padrón Municipal en que simplemente se suprime la referencia a los datos de identificación directa; es precisa su agregación para evitar la re-identificación.

Seudonimización

  • Validez de la cesión a un Organismo Estadístico de la información relacionada con la ubicación de la totalidad de los terminales móviles durante un período limitado de días si se adopta un protocolo que garantice que la información facilitada será seudonimizada y se establezcan barreras que impidan la reversibilidad.

Ausencia de proporcionalidad en el tratamiento

  • Solicitud por una empresa de informes comerciales, incluso con consentimiento, de los datos de la clave de acceso a banca on-Iine del interesado para comprobar su solvencia y ceder sus datos a otras entidades financieras para obtener condiciones de acceso a préstamos o contratar directamente uno (se generaría además una quiebra de seguridad).
  • Exigencia a cualesquiera empleados o candidatos a un puesto de trabajo en una entidad financiera de los datos relacionados con sus antecedentes penales, que la Ley sólo exige para verificar la honorabilidad de administradores y directivos.
  • Acceso por una Administración Pública a los datos de salud de las personas vinculadas a un funcionario público por parentesco o relación de hecho para determinar la procedencia de otorgar una determinada licencia. Basta que sea el centro sanitario el que indique la concurrencia de causa para la licencia.
  • Inclusión del dato del número del DNI o del Número de Identificación de Extranjero, en la tarjeta de identidad profesional del personal de seguridad privada, conforme a la doctrina del Tribunal Supremo.

Legitimación basada en el interés legitimo preponderante

  • Software ‘agregador" de información publicada en Internet sobre cualquier persona, para que aparezca en búsquedas relacionadas con su nombre, siempre que la Información se encuentre libremente disponible en Internet y se atiendan en todo caso los derechos de cancelación Y oposición conforme a lo señalado en la sentencia del TJUE de 13 de mayo de 2014.
  • Acceso por una entidad que realiza habitualmente transferencias bancarias a los datos de aquellos titulares a los que haya efectuado Indebidamente y por error un determinado o abono, para poder ejercitar reclamaciones relacionadas con el cobro de lo indebido conforme a los artículos 1089 y 1895 del Código Civil.

Supuestos de existencia de legitimación para tratamiento

  • Tratamiento por una entidad local de datos relativos a víctimas de violencia de genero y sus hijos menores incluidos en un registro autonómico al efecto en virtud de la cobertura legal de una norma autonómica que atribuye competencias a las entidades locales.
  • Cesión por una compañía de suministro eléctrico a la Administración Autonómica de clientes con recibos Impagados para la activación de medidas para afrontar la pobreza energética.
  • Cesión por un Ayuntamiento de datos relativos al consumo de usuarios del servicio de abastecimiento de agua potable a la Administración Autonómica para la gestión de un determinado tributo, en virtud de la normativa reguladora del mismo.
  • Publicación en el portal de transparencia de una Comunidad Autónoma de una relación de nombres y apellidos de liberados sindicales y el importe del coste total de las horas dedicadas a la actividad sindical al amparo en legislación autonómica de transparencia.
  • Cesión por una federación deportiva a clubes deportivos organizadores de competiciones de los datos referidos a sanciones que impliquen suspensión o inhabilitación para participar en una competición, amparada en artículo 11.2 c) LOPD.
  • Cesión al Consejo de Administración de una sociedad de la lista de directivos y sus retribuciones y del listado de contrataciones resto de personal, amparada en las facultades del Consejo previstas en la Ley sociedades de capital.
  • Cesión al responsable de los datos identificativos de los empleados del encargado para la comprobación de su identidad en la aplicación de las medidas de seguridad de identificación y autenticación, al amparo del artículo 11.2.c) LOPD.
sentencia AN aepd

Supuestos en que sólo será posible el tratamiento con el consentimiento

  • Cesión por Colegio Profesional de los datos de los colegiados incluidos en el registro de profesionales para su uso con fines comerciales por una entidad aseguradora.
  • Cesión de datos de clientes de un franquiciado a la empresa franquiciadora, salvo en caso de que ésta pasase a prestar los servicios por extinción de la franquicia, en que se aplicaría el artículo 19 RLOPD.
  • Uso de los datos de contacto de las personas que se han dirigido a un determinado cargo político para enviar a todas de forma indiscriminada una felicitación navideña.
  • Tratamiento por empresa de recobros del dato del teléfono móvil del deudor cuando éste sólo había facilitado al acreedor su teléfono fijo, dado que cabe considerar que se trataría de un medio distinto de comunicación con el deudor.

Supuestos de falta de legitimación

  • Publicación por una entidad local de sentencias dictadas en los litigios en que sea parte sin haberlas sometido a un previo proceso de disociación. No cabe considerarla amparada en la Ley de Transparencia.
  • Acceso por los miembros del Ministerio Fiscal a una aplicación que contiene las grabaciones de las actuaciones judiciales sin discriminar los accesos al mismo ni limitarlos a las actuaciones correspondientes a los procesos en que fuera parte el Ministerio Fiscal.

Datos de salud

  • Instalación de sistemas de vídeo que permitieran el seguimiento continuado de los enfermos con parálisis cerebral con el objeto de realizar el seguimiento de la salud y preservar su interés vital, amparado en los artículos 7.6 y 11.2 f) LOPD. No ampara, sin embargo, el acceso en tiempo real por los familiares de los pacientes.
  • Cesión de datos de la historia clínica a la inspección de servicios sociales de una Comunidad Autónoma.
  • Cesión a la Administración Sanitaria de datos de alumnos que han tenido contacto con un enfermo de tuberculosis en un centro escolar para descartar el contagio (salud pública).

Otros datos especialmente protegidos

  • Religión: publicación de imágenes de actos de culto en Internet. Se considera que los datos se han hecho manifiestamente públicos si los participantes han sido suficientemente informados.
  • Afiliación sindical: la publicación del desglose de horas de crédito horario de los miembros del Comité de Empresa, sin asociara su condición de afiliado a un sindicato, no serían datos especialmente protegidos.
  • Origen racial: Fichero con la finalidad de asegurar la integración de una determinada comunidad. Será posible el tratamiento de datos de origen racial, pero limitado al propio de esa comunidad, sin admitirse ningún otro.

Datos de infracciones penales. Registro de delincuentes sexuales

  • Conservación: procede durante todo el tiempo de duración de la relación laboral.
  • Vigencia de los certificados: tres meses.
  • Nivel de seguridad básico en los ficheros en que se conserven los datos referidos a certificaciones negativas de antecedentes penales.

Tratamiento de datos de menores de edad

  • Control de acceso al comedor escolar mediante tecnología RFID incorporada a pulseras que portarían los alumnos. Necesidad de que con carácter previo se lleve a cabo una EIPD, a fin de determinar su proporcionalidad.
  • Licitud del acceso a datos de alergias o intolerancias alimentarias de los alumnos por la empresa que presta el servicio de comedor escolar, dada su condición de encargada del tratamiento.

Encargado del tratamiento

  • Lo son los peritos de parte cuando acceden a la información obrante en los expedientes judiciales que contienen datos de carácter personal.
  • La contratación de un encargado único para un grupo empresarial por la matriz ubicada en otro Estado Miembro exige, respecto del responsable sometido a la LOPD, que se confiriera la matriz representación expresa.

Derecho de cancelación

  • No procede la cancelación de los datos obrantes en el informe de evaluación psicopedagógica y el dictamen de escolarización de un menor de edad.

Derechos a cancelación y oposición en motores de búsqueda

  • Procedencia en caso de publicación de los datos del afectado en un articulo de investigación jurídica. Solución preferible a la aplicación por la publicación de sistemas de exclusión.
  • Improcedencia en la solicitud referida a los datos de participación del afectado como candidato en un proceso electoral.

Solvencia

  • Obligación de que el acreedor notifique al fichero común los supuestos en que una deuda deviene provisionalmente inexigible en virtud del beneficio de pasivo insatisfecho concedido conforme al art. 178 bis de la ley concursal.

Videovigilancia

  • Sistemas de videovigilancia en la parte trasera de grúas, que recogen imágenes de las operaciones de recogida y subida del vehículo a las mismas. Amparo en interés legítimo prevalente si se limitan a las operaciones citadas.
  • Instalación de sistemas de videovigilancia en piscinas y spas con fines de garantía de calidad sanitaria y de seguridad de las personas, siempre que se muten a zonas de uso publico y no a espacios reservados como vestuarios o aseos.
  • Captación de imágenes a través de “drones”. Aplicación de criterios del WP29.
sentencias recurridas lopd

Dictámenes conjuntos con el CTBG: Criterio 2/2016, de 5 de julio

  • Acceso a información de las agendas de responsables públicos.
  • Acotaciones previas:
  • Reuniones celebradas en la condición de responsable público.
  • Disponibilidad de
  • la información.
  • Información de responsables públicos:
  • Identificación únicamente en caso de órganos directivos y asimilados.
  • En los restantes supuestos, referencia al órgano.
  • Entidades privadas:
  • Identificación en caso de administradores y directivos.
  • No identificación de asesores o consultores, ni siquiera por referencia a la empresa de asesoría o consultoría.
  • En los restantes supuestos, identificación de la empresa y, a lo sumo, el departamento.
  • Solución caso a caso en el supuesto de personas físicas.
  • Posible revelación si existe previo consentimiento con los requisitos de la LOPD
  • Aplicación posterior de los restantes límites al acceso a información publica.

Sentencia de 28 de julio de 2016 (C-191/ 15; Amazon)

  • Determinación de la legislación de protección de datos aplicable en relación con las empresas de comercio electrónico que dirigen sus actividades a Estados en que no tienen establecimiento.
  • Aplicación de la doctrina de las sentencias Google y Weltimo. Es preciso que el tratamiento se lleve a cabo en el contexto de las actividades de un establecimiento en el Estado Miembro.
  • Concepto amplio de establecimiento, aunque no es suficiente la mera posibilidad de acceso desde el estado en cuestión al sitio de Internet del responsable.
  • El órgano nacional deberá determinar, en caso de existir establecimiento, si el tratamiento se lleva a cabo en el contexto de sus actividades.

Sentencia de 19 de octubre de 2016 ((:-582114; Breyer)

  • Carácter de dato personal de la dirección IP dinámica:
  • Lo es para el proveedor de acceso (sentencia Scarlet Extended).
  • Para los prestadores de servicios:
    • Los medios de identificación no tienen que estar necesariamente en poder del sujeto en cuestión.
    • Posibilidad de acceso a la Información del proveedor de acceso para actuar en caso de ataque por denegación de servicio.
  • Legitimación para el tratamiento de la IP por prestadores de servicios:
  • Limitación por la Ley nacional a “posibilitar o facturar servicios", pero no a garantizar su funcionamiento por quien no es proveedor de acceso.
  • Esta limitación es contraria al derecho de la Unión, porque el tratamiento puede estar amparado en el artículo 7 f) de la Directiva.

Sentencia de 21 de diciembre de 2016 ((:-203] 15 y C-698/15;Tele2 Suecia)

  • Conformidad de las disposiciones de trasposición de la Directiva 2006/24/CE con el derecho de la Unión (Suecia y UK).
  • Remisión a la doctrina general establecida en la sentencia de 8 de abril de 2014 (anulación de la Directiva, Asunto Digital Rights Ireland).
  • Análisis de las normas nacionales a la luz del artículo 15.1 de la Directiva 2002/28/CE por ser ésta la actual cobertura legal.
  • Sería contraria al derecho de la Unión una norma que:
  • Estableciera la conservación generalizada de todos los datos de tráfico de todos los abonados o usuarios de todos los medios de comunicación electrónica.
  • No limite el acceso a los casos de delincuencia grave.
  • Que no supedite el acceso a la existencia de control judicial o administrativo previo.
  • No exija la conservación de los datos en el territorio de la Unión.
  • Requisitos de la Ley nacional:
  • Limitación de la medida a lo estrictamente necesario y conservación basada en criterios objetivos (delimitación de los datos y el colectivo afectado; posible aplicación del criterio geográfico).
  • Adopción de medidas reforzadas de seguridad.
  • Conclusión: se considera que las leyes analizadas son contrarias al derecho de la Unión dada su generalidad y la inexistencia de control judicial o administrativo previo.

Sentencia de 15 de marzo de 2017 (C-536/15; Tele2 Paises Bajos)

  • Acceso por una empresa dedicada a la elaboración de guías de abonados a los datos de abonados de operadores de otro Estado Miembro para la realización de un directorio sobre dicho Estado.
  • El Tribunal considera contrario al derecho de la Unión:
    • La limitación de la entrega de los datos a entidades de la misma nacionalidad que el operador, dado que supone una vulneración del principio de no discriminación.
    • La exigencia de un consentimiento para llevar a cabo esta entrega especufico y distinto del prestado con caracter general para la aparición en guías si la, entidad del tercer Estado va a publicar gunas similares a aquellas respecto de las que ya existe el consentimiento.Sí será exigible el consentimiento adicional en los supuestos previstos en la Directiva 2002/58/CE (por ejemplo, publicación de directorios inversos).

Doctrina de la Audiencia Nacional

Ámbito de aplicación

  • Exclusión de datos de personas de contacto:
    • Publicación de actas de inspección de trabajo con identificación de representantes de la empresa y su puesto en la misma.
    • No se excluye en caso de call center sobre contratos de leasing y renting en que se piden datos adicionales de identificación.
  • Exclusión de personas fallecidas:
    • Si no se atiende la solicitud de cancelación de sus datos no cabría tramitar procedimiento sancionador por vulneración de calidad de datos, pero sí tutela de derechos.
    • Otros supuestos: correo electrónico en que se incluye información del afectado

Principio de exactitud

  • Vulnerado en caso de cargo de facturas a cuenta distinta de la facilitada por el interesado para tal fin, aunque se cuente con dicha información.

Deber de información

  • Vulneración en caso de datos recogidos telefónicamente si no existe locución informativa.
Legitimación: regla del equilibrio de derechos e intereses
  • Confirmación de su aplicabilidad en videovigilancia.

Otros supuestos de legitimación

  • Habilitación legal en cesión de créditos: arts. 347 y 348 Ccom. Siempre que:
  • Se informe fehacientemente al interesado de la cesión (reglas similares al requerimiento de pago).
  • No exista litigio sobre la deuda objeto de cesión.
  • Inexistencia de legitimación específica para el acceso por la matriz a los datos de una filial comercializadora de energía sin consentimiento.
  • Falta de legitimación para el uso de los datos de cuenta corriente para cargar recibos de un familiar (fin ilícito).

Contratación

  • Competencia de la AEPD para resolver reclamaciones de abonados de comunicaciones electrónicas en lo que afecta a protección de datos.
  • Supuestos en que no existen indicios:
    • La grabación que se aporta no se corresponde con una verificación.
    • No se ha verificado la identidad con aportación del DNI.
    • Uso por distribuidor de datos obtenidos por otros medios para simular contratos.
    • Aunque se han abonado recibos:
      • El abonado tiene otras líneas contratadas.
      • Los pagos se han hecho en metálico en correos.
  • Inclusión como “abonado" del cónyuge de la abonada que había sido comunicado por ella como “contacto alternativo".
  • Contrato on-line en que no se requiere ninguna acreditación posterior dela identidad ni se realiza verificación posterior.
Contrato con quien expresamente había manifestado no querer.

Encargado del tratamiento

  • Responsabilidad del responsable por culpa in vigilando:
  • No cabe alegar confianza legítima en la existencia de verificación en caso de contratación irregular.
  • No utilización por el encargado de la lista Robinson facilitada por el responsable.

Ejercicio de derechos

  • La reclamación al responsable es requisito sine qua non para solicitarla tutela de la Agencia.
  • Aplicación de su régimen específico:
    • Solicitud de rectificación y cancelación de saldo de puntos: deberá efectuarse conforme a la Ley de Seguridad Vial.
    • Historias clínicas. Aplicación de la normativa reguladora de la autonomía del paciente.

Derechos en relación con las historias clínicas

  • Acceso:
  • No incluye documentos ajenos a la misma como las órdenes judiciales de internamiento en el centro.
  • Rectificación:
  • No es aplicable para modificar un informe médicos sobre la base de considerarse erróneo.
  • Cancelación:
  • No basta la mera alegación del transcurso del plazo mínimo de cinco años si el centro considera necesaria la información para la adecuada asistencia sanitaria.

Derecho de oposición

  • Motores de búsqueda: aplicación de la doctrina del TS en relación con Google: reclamación contra Google Inc.

Seguridad

  • Vulneración por publicación “en claro" sin necesidad de usuario ni contraseña de expedientes judiciales y administrativos de tasación de inmuebles por una asociación.

Solvencia

  • Requisitos de la deuda
  • Ilicitud de la inclusión anterior al cumplimiento del plazo dado en el requerimiento.
  • Improcedencia de incluir deuda sometida a arbitraje o reclamación durante toda su duración.
  • Requerimiento de pago
  • Licitud de su exigibilidad al amparo de los arts. 1100 Cc y 63 Ccom, que lo exigen para que el deudor se constituya en mora.
  • Prueba:
    • No basta la acreditación de la mera puesta en correos si no acredita la entrega.
    • Se apreciará que no existe si así se ha declarado por la jurisdicción civil.
    • Insuficiencia de los requerimientos efectuados por sms o por correo electrónico al no poder probarse su recepción:
      • Incluso cuando hay comportamientos del deudor que implican la recepción habitual de sms o correo del acreedor.
    • Insuficiencia del requerimiento telefónico si no consta la deuda y la consecuencia del incumplimiento.
    • Si existe prueba si el deudor se ha dirigido al acreedor para oponerse a la deuda a la que se refiere.

Tratamiento con fines de publicidad o prospección

  • Consentimiento insuficiente:
    • En caso de que se solicite por una cláusula general que se remita a las condiciones particulares disponibles en un sitio web.
    • Si el contrato se refiere sólo a productos o servicios propios y la empresa ofrece los de terceros.
  • Supuestos de oposición:
    • Ficheros de exclusión general.
    • Exclusión en guías telefónicas (“U").
    • Ejercicio del derecho en relación con el propio responsable.
  • Spam
    • Para la determinación de carácter masivo se puede tener en cuenta el envío a diversas cuentas del denunciante.
    • Ejercicio de la oposición:
      • Es posible a través de medios distintos de los indicados en los correos.
      • Puede incluso incorporarse a una queja de otra naturaleza dirigida al departamento de atención al cliente.
      • Es también aplicable cuando se trata de “productos o servicios similares”.

Actuaciones de investigación

  • La AEPD puede no llevarlas a cabo en caso de que el denunciante no aporte una mínima acreditación de la comisión de una infracción.
  • Resulta irrelevante para su tramitación la existencia de motivos distintos en el denunciante o el planteamiento por éste ante el responsable de la posibilidad de llegar a un “arreglo amistoso
  • No existe secreto de las comunicaciones por el acceso por los inspectores a los sistemas de información, incluyendo bandejas de correo, si se ha hecho en presencia del inspeccionado y consta en acta firmada por éste.

Caducidad:

  • El cómputo es de fecha a fecha y no de hora a hora.
  • Es posible la apertura de unas nuevas actuaciones tras la caducidad si la infracción no ha prescrito.
  • Notificación: deberá existir una hora de diferencia entre los dos intentos de notificación en fechas consecutivas.

Prescripción. Dios a quo

  • En caso de publicación indebida de una resolución en BC, será el día de la publicación.
  • En caso de cesión de datos, el día en que la misma se produjo. Prescripción instantánea y no continuada porque el cesionario trate los datos.
  • En caso de falta de requerimiento de pago en tanto no se produzca.

Criterios de atenuación

  • Cuestión general: los tenidos en cuenta para aplicarla reducción del 45.5 no deben ser nuevamente tenidos en cuenta para calcular la cuantía de la sanción.
  • Falta de beneficios:
    • No puede invocarse si los datos se tratan para ofrecer servicios de terceros.
    • No puede invocarse cuando se giran facturas al afectado.
  • Regularización diligente:
    • Corrección tan pronto se tuvo conocimiento de la actuación de inspección o la AEPD requirió información.
    • No existe cuando tiene lugar ocho meses después de la queja del interesado.
    • En solvencia no puede apreciarse si los datos permanecieron erróneamente en el fichero dieciocho meses.
  • Ausencia de perjuicios:
    • No puede alegarse si el afectado tuvo que presentar varias reclamaciones (SETSI, OMIC) o una demanda civil.
    • Irrelevancia de la motivación o supuesta “coacción" del denunciante.
  • Apercibimiento:
    • Nunca puede tener carácter sustitutorio de una sanción impuesta.
    • No cabe imponerlo si las medidas correctoras se han adoptado antes de la resolución.
    • No cabe apreciarlo en infracciones leves por considerarse aplicable el 45.5.
    • En caso de incumplimiento procede la apertura de procedimiento sancionador por no atender el requerimiento.
 

Read more


Formación en Bilbao sobre el Reglamento General de Protección de Datos

Jornada en Bizkaia sobre el Reglamento europeo de Protección de Datos
El próximo día 21 de abril se realizará en Bilbao un Curso sobre el nuevo Reglamento General de Protección de Datos de la UE.  Esta nueva legislación proporciona una única ley de Protección de Datos, armonizada para la Unión Europea. Con el aumento del riesgo de filtraciones de datos por ciber ataques, el RGPD tiene como objetivo evitar la pérdida de datos personales mediante la mejora de la seguridad de datos para todas las personas que viven en países de la UE. Las organizaciones tienen hasta mayo de 2018 para cumplir con la nueva ley, o sino harán frente a multas de hasta el 4% de la facturación anual o 20 millones de euros.

Curso dirigido a empresas y profesionales

El Curso está destinado para todas aquellas personas, tanto del Sector Público como del Sector Privado, que estén interesadas en cuestiones de protección de datos y, de manera específica, en cómo implementar los cambios que incorpora el Reglamento Europeo de Protección de Datos. En concreto, se dirige a:
  • Managers / responsables a los que se les ha asignado la "responsabilidad" de RGPD pero no están seguros de los primeros pasos
  • Managers / responsables que ya están involucrados en la protección de datos con background en la seguridad de la información o protección de datos
  • Las personas con poca experiencia pero que desean entrar el campo de la protección de datos

Objetivos de la formación

El curso presencial, de un día, ofrece una amplia introducción al RGPD, y un conocimiento práctico de las implicaciones y requisitos legales para organizaciones españolas y de la UE de cualquier tamaño. Esta sesión realizada por un consultor experto en seguridad, se basa en las bases de nuestra amplia experiencia práctica adquirida en asesoramiento sobre el cumplimiento de las leyes de privacidad de datos y normas de seguridad de la información relacionadas. Se trata de un curso de carácter eminentemente práctico donde el alumno podrá aprender, de manera práctica, a redactar cláusulas, contratos, evaluaciones de impacto y demás requisitos exigidos por el Reglamento Europeo de Protección de Datos.

Contenido de la jornada

  1. Esencia y terminología del RGPD
  2. Principales diferencias entre la LOPD y el RGPD
  3. Interesados y sus derechos
  4. Gestión de las peticiones de acceso de los intersados
  5. Requisitos e impacto en el sector de marketing (consentimiento, profiling, direct marketing)
  6. El camino de implementación para el cumplimiento del RGPD:
  • GAP analisis
  • Privacidad por diseño y por defecto
  • Evaluaciones de impacto sobre la privacidad (DPIA)
  • Auditorías de datos
  • Requisitos de formación y competencia
  • Respuesta (notificaciones) a incidentes e informes sobre infracciones
  • Actualización de políticas y procedimientos
  • Implementacion de controles
  • Mejora continua 7. Relaciones con terceros / encargados de tratamiento 8. Recursos disponibles como las últimas plantillas y directrices de la UE y AEPD

Lugar de celebración e inscripciones

El curso se celebrará en Mondragon Unibertsitatea - Bilbao, 6 Uribitarte Kalea 48001 Bibao, de 9:30 a 16:30 horas. La inscripción puede realizarse a través del siguiente enlace.

Read more


Curso en Madrid sobre el RGPD: Evaluación de impacto en Privacidad

Evento en Madrid sobre Privacidad y Protección de Datos
La Asociación Española para la Calidad (AEC) organiza en Madrid un curso sobre el nuevo Reglamento UE de Protección de Datos y Evaluación de impacto en Privacidad el día 14 de marzo. El RGPD, aprobado en abril de 2016, incorpora la nueva obligación de llevar a cabo evaluaciones de impacto que puedan incidir sobre la protección de datos personales. La obligación se incorpora para los casos en los que sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Curso dirigido a empresas y profesionales

Las evaluaciones de impacto pueden requerirse en cualquier sector que trate datos personales. Especialmente aquellos que diseñen e implanten nuevos procesos de negocio, nuevas Apps, nuevos servicios, nuevos dispositivos, ya que estas evaluaciones deben hacerse antes de lanzar el producto o servicio. Por tanto, el curso se dirige principalmente a:
  • Responsables de Calidad
  • Responsables de Sistemas
  • Personal Directivo
  • Responsables de Seguridad de las empresas
  • En su caso Delegados de Protección de Datos, y, en general, profesionales que decidan capacitarse en el ámbito del nuevo enfoque en protección de datos.

Objetivos de la formación

  • Cumplir con las obligaciones que introduce el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas.
  • Diferenciar los supuestos en los que es obligatorio realizar una evaluación de impacto con respecto a otros casos en los que es conveniente.
  • Adquirir los conocimientos teóricos y prácticos necesarios para llevar a cabo una evaluación de impacto en privacidad.
  • Aprender a confeccionar un Informe de evaluación de impacto relativo a la protección de datos, conforme al artículo 35 RGPD.
  • Conocer las acciones a realizar en protección de datos, con los riesgos inaceptables identificados, para tratarlos y cómo definir un catálogo de controles.

Contenido de la jornada

La evaluación de impacto supone la realización de un análisis de riesgos. Para llevar a cabo este análisis tendremos en cuenta estándares internacionales (normas ISO) que han abordado la gestión de riesgos al considerarla clave para cualquier marco normativo actual.
  • Novedades del Reglamento Europeo de Protección de Datos. Conceptos básicos para la realización de una Evaluación de Impacto en Protección de Datos.
  • Determinación del alcance, planificación y preparación de una evaluación de impacto en privacidad.
  • Gestión de riesgos en privacidad y su relación con estándares internacionales
  • Fase de ejecución: identificación, análisis y evaluación de los riesgos
  • Diseño de un informe de evaluación de impacto.

Lugar de celebración e inscripciones

El curso se celebrará en la sede de la AEC, C/ Claudio Coello, 92 28006 Madrid, de 9 a 13:30 y de 15 a 18:30 horas. La inscripción puede realizarse online a través del siguiente enlace. Para adaptar tu empresa a la nueva legislación es aconsejable contratar un experto en Protección de Datos en Madrid.

Read more