Entradas

Los límites a la protección de datos por el coronavirus. LETRADOX Abogados

Límites a la protección de datos por el coronavirus. LETRADOX Abogados

Protección de Datos & Coronavirus.

¿Hasta qué punto está la población española dispuesta a que se limiten sus derechos en protección de datos en pro de un objetivo de Salud pública y control de la pandemia #Covid19?

¿Es el rastreo de móviles el inicio del control digital masivo de la población y/o es una medida necesaria para frenar el #coronavirus?

ᵀᴴᴱ future is coming…

Reflexionamos sobre los derechos y sus límites en tiempos de excepcionalidad en este nuevo artículo de LETRADOX®️.

Hoy: protección de datos y coronavirus.

 

LETRADOX ABOGADOS

Domicilio social y sede central: C/ Jorge Juan nº141, 3ºA. Madrid

Tlfs: 912980061 / 645958948 

info@letradox.es

www.letradox.com 

 

Límites a la protección de datos por el coronavirus. LETRADOX Abogados

 

El Gobierno, en colaboración con las principales operadoras de España, rastreará los movimientos de 40 millones de móviles para controlar al coronavirus.

Esta operación se llama DataCovid y aseguran que es para tener los datos de movimientos, sin individualizarlos. Aunque la finalidad es loable no es menos cierto que supone el inicio de una «relajación» en los derechos de protección de datos y genera dudas en el sector.

En primer lugar, hemos de apuntar, tal y como afirman los expertos médicos y científicos en la materia, reputados epidemiólogos de todo el mundo, que el gran peligro de este nuevo coronavirus que provoca la enfermedad Covid19, es que entre un 20% y un 30% de las personas que lo contraen son asintomáticas. Es decir, no sabemos quien lo tiene y quien no por meros rastros externos de síntomas (tos, fiebre…etc), y solamente con un test de detección (temprana) generalizado para toda la población se podría conocer este dato con precisión. Este factor impide el rastreo de las personas que lo padecen y ha hecho que se extienda con rapidez, entre otros motivos.

Pues bien, para paliar esta carencia, la recopilación masiva de datos de la población a través de los dispositivos móviles se torna fundamental puesto que controlará, al menos los movimientos, de determinadas personas y permite tener más elementos para predecir y trazar estrategias. Un avance significativo sería el poder controlar masivamente mediante la tecnología, la salud de los ciudadanos. Una app que permitiese conocer si se tiene la enfermedad o no y los controles de movimiento… Estas cuestiones serían impensables hace apenas unos meses, pero ahora, ante circunstancias excepcionales, no parece que sean medidas de ciencia ficción, sino medidas incluso necesarias.

El control de los datos, no solamente de movimientos sino de la salud de los individuos, será un probable paso a dar por todos los países desarrollados en el control de epidemias actuales y en el futuro.

La salud de los ciudadanos es un objetivo primordial, al que parecen supeditarse todos los demás, incluidos los derechos a la privacidad.

Hasta que la gravedad no se ve de manera muy directa, no se contemplan medidas restrictivas de derechos generalizadas,

pero cuando la gravedad acecha, entonces se justifica la restricción de derechos. Ya lo hemos vivido con la restricción de movimientos durante el estado de alarma. Y ahora lo estamos empezando a tolerar con los derechos en protección de datos , si esto supone cercenar la maldita pandemia.

 

El Considerando (46) del RGPD ya reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.

(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

Por lo tanto, como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).

La propia legislación de protección de datos contempla estas excepciones, por tanto, en casos de epidemia.

¿Usted estaría dispuesto a que se dieran sus datos de salud si eso supone cercar al virus e impedir la propagación a terceros que pueden desarrollar problemas respiratorios graves e incluso la muerte? ¿Cree que esto se puede convertir en una medida para prevenir futuras pandemias? Son muchas las preguntas que están encima de la mesa y nunca antes habían estado tan abiertas las respuestas.

Tenemos que remontarnos un siglo para encontrar un hecho precedente, la gripe que se cobró millones de vidas en todo el mundo. Pero hace un siglo no había, ni de lejos, un sistema de protección de derechos en materia de privacidad como ahora.

Por tanto nos encontramos con un escenario inaudito. Las soluciones también tienen que ser creativas y arriesgadas, porque el desafío es grande y hay que estar a la altura de las circunstancias.

Esperamos vuestros comentarios y reflexiones sobre estas cuestiones en todas nuestras redes sociales de LETRADOX Abogados,

 

Estamos a vuestra completa disposición 24 horas al día, si tienes dudas sobre los Límites a la protección de datos por el coronavirus. LETRADOX Abogados,

como siempre; y durante el estado de alarma en el email info@letradox.es

 

LETRADOX ABOGADOS

Domicilio social y sede central: C/ Jorge Juan nº141, 3ºA. Madrid

Tlfs: 912980061 / 645958948

info@letradox.es

www.letradox.com

 

 

#Protecciondedatos #letradox #abogados #coronavirus #empresas #datos #control #ia

 Límites a la protección de datos por el coronavirus. LETRADOX Abogados

PropTech y Sector legal. Letradox® Abogados

PropTech y Sector legal. Letradox® Abogados

Ayer día martes 26 de noviembre de 2019 tuvo lugar en el espacio “GoMadrid” (Calle Gran Vía 39) un debate  abierto sobre todo lo relacionado con el  PropTech. 

La abogada Mercedes de Parada,  fue uno de los tres ponentes de expertos que configuraban la mesa, presentándonos todos los aspectos legales relacionados con el objeto del debate. 

El PropTech, llega para mejorar todos los aspectos relacionados con el mercado tradicional inmobiliario. Se trata de un acrónimo inglés (Reino Unido) que ha sido acogido como tendencia  al referirse la la “tecnología aplicada a la propiedad” (“property” y “technology”). 

De esta manera, se pretende crear y otorgar más valor a este sector haciendo uso de la última tecnología. En este sentido: portales inmobiliarios, software de gestión, realidad virtual, big data, o domótica. 

Se persigue concertar su valor en la aplicación y uso de las nuevas tecnologías en base a los diferentes negocios inmobiliarios. 

Desde el ámbito  jurídico, se resaltaba la importancia que acoge el profesional (abogado ) de adaptarse de una forma inminente a los cambios actuales. Esto se debe a que ante todo, nosotros los letrados, debemos adaptarnos a las exigencias de los clientes y del mercado.  

El hecho de “pensar en digital”, no incumbe “pensar primero en la compañía” sino ante todo, en las personas, ya que son el punto de partida.  

Por lo tanto, surge la necesidad de reconfigurar los sectores jurídicos tradicionales con esta nueva visión. Dicho de otro modo, dejar atrás los procesos legales del mundo analógico y llevarlos al mundo actual, al digital. 

Dentro del Derecho Inmobiliario, encontramos multitud de elementos como pueden ser los contratos (arras, compraventa, arrendamientos, derechos reales…) ;a la par que licencias (urbanismo). Por tanto, con el Proptech podremos obtener una  combinación tanto específica (Dº Inmobiliario) como innovadora que presten servicios jurídicos y ayuden al cliente. 

Sin olvidar, en todo momento lo más importante: una visión futura del sector ligada a una transformación digital. Con el fin de dar respuesta a la cuestión de qué efectos positivos tendrá esta herramienta tanto en el individuo, como en el equipo, cliente y demás.  

Así pues, la implantación deberá ser general, que todos participen en este objetivo. Teniendo presente la idea de que cualquier persona del equipo puede aportar ideas, visión de oportunidades… En definitiva, puntos de apoyo que proyecten una visión estratégica y emprendedora dentro de la organización para buscar y lograr el cambio.

Con este nuevo tipo de tendencias (Legaltech, Proptech y Fintech) se llevarán a cabo cambios en los conceptos legales clásicos. El “Digital tkinking” pasará a convertirse en el nuevo ADN del profesional  legal. Por tanto, además de hablar de personas físicas y jurídicas habrá personas electrónicas (robots) que pasarán a ser nuevos agentes protagonistas en los proyectos. 

Como señalaba la abogada Mercedes, el 16 de febrero de  2017, el Parlamento Europeo elaboró  una resolución con reglas de Derecho Civil referida  Robótica.  Cuya función era la de presentarse  como base para la nueva normativa europea. 

De esta forma, consideraba necesaria la creación de un sistema global de registro de robots avanzados dentro del mercado interior de la Unión Europea en los casos en que sea pertinente y necesario. 

Además, pone de relieve que el desarrollo de la tecnología robótica debe orientarse a  complementar las capacidades humanas y no sustituirlas. Ya que,  considera fundamental, que dentro del desarrollo de la robótica y los sistemas de inteligencia artificial los seres humanos tengan en todo momento el control sobre las máquinas inteligentes. 

Estima que debe prestarse especial atención al posible desarrollo de un vínculo emocional entre seres humanos y robots, sin desinteresarse de las posibles consecuencias derivadas del mismo. 

La tendencia actual que apunta el desarrollo de máquinas inteligentes y autónomas, con capacidad para pensar y tomar decisiones de manera independiente, implica ventajas  y desventajas.

En relación a las desventajas podemos encontrar las posibles preocupaciones relativas a los efectos directos e indirectos en el conjunto de la sociedad. 

Sin embargo, se destacan mayor número de ventajas  como: 

Económicas ;  

Seguridad  (en relación al Reglamento de la UE 2016/679 del Parlamento Europeo y del Consejo (Reglamento general de protección de datos) para la protección de datos personales; 

Ética (considerando que la evolución en la robótica debe preservar la dignidad, autonomía y autodeterminación del individuo). 

Siguiendo la misma línea, encontramos otras maravillas tecnológicas que están afectando de una manera positiva al sistema inmobiliario. 

En este sentido, señalamos  en primer lugar el Big data. Se trata de un proceso que permite clasificar grandes toneladas de información que han sido recopiladas durante varios años. Si aplicamos los datos al sector inmobiliario, se permitirá a los individuos y compañías tomar decisiones informadas con respecto a invertir, administrar y operar. Todo ello, en base a un análisis de macro datos. 

El Big data, se puede utilizar en las Porptech para proporcionar información. Como por ejemplo, la  relativa a la historia de la propiedad, el coste de la misma o el cálculo de pago de la hipoteca, entre otras  de sus funciones. 

En segundo lugar, encontramos la Geolocalización. Este, lo están empleando algunas empresas ya que permite conocer dónde estás, sin necesidad de introducir mil datos y poder rastrear pisos en tu ubicación actual. 

Otra de las maravillas tecnológicas es la Realidad Virtual. Gracias a ella se puede simular la visita real a una vivienda, siendo no necesario trasladarse a la dirección del inmueble para recorrer su interior. Con ella se contribuye a mejorar la comodidad de los clientes, quienes tan solo deberán ponerse unas gafas. En este sentido hablaremos de una RV (Realidad Virtual) y RA (realidad aumentada), que ponen a disposición del comprador la posibilidad de ver la vivienda sin haberse construido. 

Seguidamente hablaremos de otros “milagros de la tecnología” como la Domótica.  Se trata de un sistema que conectado a la red, automatiza determinadas funciones desde casa sin que se tenga que hacer nada de nada. U otros, como el uso de Drones que permite ver la vivienda desde un vídeo aéreo. 

Contamos con la presencia de otras aplicaciones para el sector inmobiliario como es el Blockchain. Algunas compañías lo implementan para tramitar pagos del alquiler, eliminando intermediarios y reduciendo los costes de transacción. O por ejemplo, los Chatbots, que permiten al usuario consultar dudas relacionadas con el sector inmobiliario. 

Con todo ello, queda constancia de cómo el mercado inmobiliario se ha ido reinventando en los últimos años gracias a la tecnología y la transformación digital de sus procesos. 

El sector Proptech, ha ido creciendo exponencialmente hasta superar las 230 compañías en España y emplear en la actualidad a más de 5.000 personas. Por tanto, están revolucionando un mercado en el que empieza a imponerse la realidad virtual y las agencias digitales. 

En definitiva, la tecnología, está poniendo “patas arriba” el sector inmobiliario español. Al igual que en el sector financiero con la Fintech, el inmobiliario está siendo colonizado por nuevas empresas cuyo objetivo es innovar y simplificar el negocio a través de herramientas tecnológicas.

España está iniciando una revolución. Desde Letradox® Abogados, apoyamos el auge de las nuevas tecnologías que están empezando a implantarse en el sector jurídico. 

Por último, resaltar que algunos medios de comunicación se han hecho eco de este evento. Algunos de ellos como:

  • «Lawyerpress»: ( https://www.lawyerpress.com/2019/11/29/meetup-proptech-real-estate-real-challenge/ ) y
  • El Jurista: ( http://www.eljurista.eu/2019/12/01/legal-hackers-madrid-organiza-un-meetup-sobre-proptech/ )

Cualquier duda o consulta que quiera realizarnos, cuente con nosotros. Letradox® Abogados es su despacho de confianza. 

Contactar con cita previa:

Despacho en Madrid:

Calle Jorge Juan nº141 Esc.Izd. 3ºA (junto a metro O´Donnell).

Despacho en Alcalá de Henares:

Calle Mayor nº26, 2ºB “Oficina Insula”.

(Contactar para reservar cita previa)

Email: info@letradox.es

Teléfonos: 912980061 – 645958948

Abogados asesoramiento protección de datos

Abogados expertos en protección de datos

¿Necesita abogados expertos en protección de datos? En Letradox tenemos la solución y podemos ayudarle.

Abogados expertos para Asesoramiento legal en protección de datos

Nuevo Real Decreto-Ley en materia de protección de datos.

www.letradox.com

Con la normativa europea de protección de datos ha entrado en vigor en España un nuevo Decreto , el Real Decrete-Ley 5/2018 de 27 de julio, que establece unas determinadas medidas urgentes, para que se pueda hacer frente a la imposición de la normativa europea.

En Letradox queremos que estén al tanto de esta actualidad, explicándoles de qué trata este nuevo Decreto.

El Reglamento de la Unión Europea 2016/679 es aplicable en España desde el 25 de mayo de este año, este Reglamento deroga la Directiva 95/46/CE, con ello supone una gran modificación en la materia de protección de datos que estaba vigente en España.

Esto conlleva que haya disposiciones de nuestro Derecho interno que tengan que ser modificados o incluso derogados.

Además implica la creación de nuevas disposiciones internas, también la creación de unas autoridades de control de este derecho.

Esta autoridad será la representante del Estado en el Comité Europeo de Protección de Datos.

El objetivo de este Decreto 5/2018 del 27 de julio es la adecuación del Reglamento a nuestro ordenamiento interno.

De momento sólo para los aspectos que no se pueden retrasar, hasta que se realice una legislación orgánica, que este plenamente adaptada a la normativa de la Unión Europea.

Este Decreto se estructura en 14 artículos divididos en tres capítulos.

Tratan los aspectos concretos urgentes.

El capítulo 1 comprende los dos primeros artículos.

Estos artículos versan sobre personal que es competente en el ejercicio de la actividad para la investigación de la nueva Agencia Española de Protección de Datos.

Está todavía en fase de creación.

Y también sobre el alcance que tenga la actividad de investigación.

El segundo capítulo se encuentran del artículo tercero al sexto.

En ellos nos encontramos la materia sobre: los sujetos que son responsables, las infracciones (que estas son las que se encuentran en el Reglamento Europeo), la prescripción de las infracciones y la prescripción de las sanciones.

Ninguna de estas prescripciones las recoge el Reglamento.

Y el último capítulo recoge los artículos restantes ( 7 al 14).

Estos artículos tratan acerca del régimen jurídico al que se somete, como se puede iniciar el procedimiento y cuanto dura, como será la admisión a tramite de las reclamaciones, el alcance territorial de la Agencia Española de Protección de datos, cuales son las actuaciones previas para iniciar una investigación, como se acuerda el inicio del ejercicio para sancionar, que mediadas provisionales se pueden dar y cual es el procedimiento más adecuado, cuando a la Agencia Española de protección de datos le atribuya competencias otras leyes diferentes.

Decir también que esta nueva Agencia Española de protección de datos, a través de su director, podrá publicar diferentes resoluciones.

Estas resoluciones puede ser que pongan atención a los artículos 15 a 22 del Reglamento Europeo, también podrán archivar las actuaciones previas a una investigación, estas resoluciones también serán sobre las sanciones de apercibimiento que encontramos en Ley Orgánica 15/1999 de 13 de diciembre en su art. 46, sobre las medidas cautelares o cualquier resolución que su Estatuto disponga.

También se establece en este Decreto que si ya había iniciados procedimientos anteriores a la entrada en vigor de este nuevo Decreto , se regirán como regla general por la normativa anterior.

Con los contratos de encargado que ya estaban suscritos antes de este Decreto y que están al amparo de la Ley Orgánica de Protección de Datos, podrán mantener su vigencia hasta el 25 de mayo de 2022, pero hasta esa fecha, cualquiera de las partes puede exigir la modificación de contrato, resultando ya conforme a lo que establece el art. 28 del Reglamento (UE) 2016/679.

Destacar también que este nuevo Decreto deroga todas las normas de igual o inferior rango, que se opongan a lo que establece este nuevo Decreto, y destacar también los que deroga de la Ley Orgánica de Protección de datos, que son el art. 40 y del art. 43 al 49 exceptuando el 46.

Si tiene alguna duda sobre este nuevo Decreto o sobre cualquier cuestión en materia de protección de datos no se preocupe y consultenos, en Letradox Abogados estaremos encantados de atenderle y ayudarle.

Las pymes y su adaptación al Reglamento de protección de datos.

Abogados expertos en la adaptación al Reglamento de protección de datos. LETRADOX

www.letradox.com

Hablaremos hoy también de las pymes, es decir, pequeñas y medianas empresas y su necesidad de adaptarse al Reglamento.

Desde que hace unos meses entró en vigor esta normativa, hay todavía algunas pymes que no saben si tienen que adaptarse a este nuevo reglamento o no.

Por ello en Letradox Abogados queremos aclararles como lo pueden hacer.

Muchas de las empresas quieren saber si tienen la obligación de adaptarse a este nuevo reglamento.

Tampoco saben qué pasos tienen que dar, que si los datos que manejan son susceptibles de este nuevo reglamento etc.

Es importante que se adapten y sobre todo desconocen si pueden llegar a tener alguna sanción si no se adaptan.

En primer lugar decir que todas las empresas tienen que adaptarse a este reglamento sin excepción.

Pero solo si manejan datos de carácter personal.

Estos datos son aquellos que identifican o pueden identificar a una persona física.

Por ello si tenemos este tipo de datos en nuestra actividad diaria, hay que adaptarse a este reglamento.

Puesto que son datos de clientes , de sus trabajadores , de sus proveedores, etc.

Otros datos que también se dan de carácter personal son aquellos que utilizan videovigilancia.

También los audios, los videos promocionales, etc, ya que la imagen o los audios son de carácter personal.

Por todo ello tiene que estar normalizado y regularizado siguiendo la normativa vigente.

También si no cumplimos con la normativa vigente y no nos adaptamos podemos exponer a grandes multas ya que la normativa ha endurecido las sanciones por infracciones de no cumplir la normativa y no adaptarse.

Estas sanciones son de hasta los 20 millones de euros o un 4% del volumen de facturación anual global.

Por lo que hay que adaptarse cuanto antes.

Además los clientes o cualquier persona que quiera contratar con la empresa debe exigir que este reglamento de protección de datos se este cumpliendo.

Está cambiando la cultura de la protección de datos y eso hace que el cliente no confíe en las empresas que no están adaptadas a la normativa.

Los usuarios tienden a elegir las empresas que están adaptadas a la normativa. Es una realidad.

Por ello las pymes y los autónomos tienen que adaptarse cuanto antes a la normativa y como cada una tiene su diferente actividad es conveniente que cuente con asesoramiento jurídico experto , para ver que tienen que hacer en cada caso.

En Letradox Abogados estamos disponibles para ayudarles, no dude en contar con nosotros para ayudar a que os adaptéis a esta nueva normativa, que aunque lleva unos meses en vigor todavía hay tiempo.

Para ver el vídeo sobre las pymes y su adaptación:

 

Letradox Abogados
C/ Jorge Juan 141, 3ºA. Madrid
TLF: 645 958 948 / 91 298 00 61
Correo: info@letradox.es

Foto publicada sin consentimiento ¿Cómo actuar?

Las novedades sobre la Protección de Datos ¡fácil de entender!

¿Por qué es importante la protección de datos?

– Diariamente estamos facilitando nuestros datos de carácter personal para realizar actividades cotidianas.

Y más aún, con las nuevas tecnologías los datos de carácter personal circulan por internet a una gran velocidad.

Como en compras online, reservas de viajes, transferencias bancarias…

– Hay quien dice incluso que los datos son el petróleo del siglo XXI.

– Estamos hablando de un gran mercado y es importante que exista una legislación que regule este mercado para garantizar la seguridad del mismo.

– Como usuarios necesitamos estar seguros que nuestros datos no van a ser usados para fines ilícitos o tratados de forma irregular.

– Como empresas o titulares de negocios necesitamos tratar los datos personales de forma adecuada.

No solo para evitar sanciones, también el desprestigio que supone para la empresa una mala gestión.

Como puede ser una fuga de datos.

¿Cómo adaptar mi empresa al Reglamento Europeo de Protección de Datos?

– Reglameto UE 2016/679 (RGPD)
– Cambia el modelo de gestión de la protección de datos
– Privacidad desde el diseño y por defecto
– No basta con cumplir la normativa, hay que poder demostrarlo, por lo que todo tiene que estar muy bien documentado.
– Importante contar con asesoramiento jurídico experto.
¿Qué sanciones hay en caso de incumplimiento?
Se prevén sanciones económicas de hasta 20 millones de euros o un 4% del volumen de facturación anual global de la empresa.

¿Qué es el DPO?
El Delegado de Protección de Datos es una nueva figura creada por el RGPD, obligatoria para determinadas empresas.

Pero muy recomendable para todas.

Se trata de una figura cuya principal función es coordinar y dirigir la política de protección de datos de una empresa o negocio. Y además servir de nexo de unión entre el responsable y la autoridad de control (AGPD).

Puede ser una persona de la propia empresa o contratarse a un profesional externo.

Pero,eso si, siempre será nombrado atendiendo a sus cualificaciones profesionales.

No es obligatorio que esté acreditado, sin embargo, siempre ofrecerá más garantías un DPO acreditado.
(No olvidemos que hay que acreditar el cumplimiento)

¿Cuáles son las novedades principales del Reglamento General de protección de datos?

Además de implantar el modelo de privacidad desde el diseño y por defecto y la figura del DPO.

El reglamento contiene otras importantes novedades.

– Forma de obtención del consentimiento
– Nuevos derechos para los interesados (derecho al olvido, portabilidad, limitación).
– Necesidad de notificar las violaciones de privacidad a la AGPD en un plazo de 90 días

¿Qué plazo tengo para adaptar mi empresa a lo dispuesto en la directiva?

El RGPD entró en vigor en 2016, pero él mismo retrasa su aplicación hasta el 25 de mayo de 2018.

Ese día la nueva normativa será plenamente aplicable y todas las empresas tienen que estar adaptadas a ella.

¿Qué servicios ofrece Letradox a las empresas en relación a protección de datos?
Sistema 360, acompañamos al cliente en todo el proceso.
– Implementación o adaptación (obtención del consentimiento, formación a los miembros de la empresa, Análisis de riesgos, Evaluaciones de Impacto, Registro de actividades de tratamiento…)
– Procedimientos ante la AGPD
– Procedimientos judiciales relacionados con esta materia

Puedes ver este vídeo relacionado:

 

¿Qué novedades incorpora el nuevo Reglamento General de Protección de Datos? ¿Qué tiene que hacer mi empresa para adaptarse al mismo?

A partir del 25 de mayo de 2018 será plenamente aplicable la nueva normativa europea sobre protección de datos de carácter personal.
Esta nueva legislación supone un gran cambio en todo el modelo de gestión de los datos de carácter personal a nivel europeo. Pero con implicaciones mundiales.

En este artículo vamos a repasar brevemente las principales novedades que incorpora el Reglamento General de Protección de Datos.

Y como éstas pueden afectar a nuestros negocios.

El 27 de abril de 2018 fue aprobado el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO.

Es relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Aunque fue aprobado en 2016, su artículo 99.2 determina que su aplicación se producirá a partir del 25 de mayo de 2018.

Este Reglamento es de aplicación directa en todo el territorio de la Unión.

Sin embargo, el mismo habilita a los Estado miembros a desarrollar sus propias leyes internas para desarrollar y precisar determinados aspectos del mismo.

En España, el Proyecto de Ley Orgánica de Protección de Datos se encuentra en fase de tramitación parlamentaria.

No obstante, el mismo tendrá que estar plenamente en vigor desde el momento en que sea aplicable el Reglamento General de Protección de Datos.

Cabe destacar que esta nueva normativa supone un cambio de un modelo más formalista en cuanto a las acciones a realizar por las empresas (registro de ficheros, elaboración de documento de seguridad…).

Pasa a un sistema de Responsabilidad Activa, en el que es el propio responsable quien tiene que acreditar que el tratamiento de los datos de carácter personal que está llevando a cabo es acorde con la normativa vigente.

No podemos olvidar que una de las principales novedades del Reglamento es el incremento de la cuantía de las sanciones económicas. Sobre todo en caso de incumplimiento de sus disposiciones.

Así, una empresa puede llegar a ser multada con hasta 20 millones de euros o hasta el 4% del volumen de su facturación anual.

Además, en esta era de la comunicación en la cual nos encontramos.

Con unos consumidores cada día más formados en el uso de las herramientas digitales y su implementación para realizar acciones de la vida cotidiana.

Tales como: consultar su banco online o contratar unas vacaciones.

Un error en la gestión de los datos de carácter personal imputable a una compañía puede suponer perjuicios irreparables a nivel reputacional. Pues nadie quiere tratar con una empresa que no garantice una adecuada protección de los datos personales de sus usuarios.

Por todo ello, hemos de tener muy presente la necesidad de adaptar nuestro negocio a la normativa sobre protección de datos antes de que sea demasiado tarde.

A grandes rasgos, el RGPD incorpora las siguientes novedades:

El consentimiento

Se trata de uno de los supuestos que legitiman el tratamiento de los datos por parte del responsable.
El RGPD destaca que el mismo tiene “darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen” (Considerando 32)

No será válido, por tanto, el consentimiento obtenido por omisión o inactividad.

Tratamientos de datos de menores

El RGPD fija la edad para el consentimiento de los menores en relación a sus datos de carácter personal a los 16 años. Para menores de esta edad será necesario el consentimiento de sus padres o tutores.

Sin embargo, el RGPD permite que los Estados miembros fijen una edad inferior siempre que no sea por debajo de los 13 años. Precisamente el Proyecto de la LOPD en tramitación fija en 13 años de edad la edad mínima para que un menor pueda prestar su consentimiento en esta materia.

Nuevos Derechos de los interesados

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 contenía los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).

La nueva normativa incorpora otros derechos como:

El Derecho a la Portabilidad, el Derecho al Olvido, o el Derecho a la limitación del tratamiento.

Este Derecho a la Portabilidad se refiere a la posibilidad de obtener del responsable una copia de los datos de carácter personal que le hayamos facilitado anteriormente en un formato “estructurado, de uso común y lectura mecánica”, para poder transmitirlo a otro responsable.

El Derecho al Olvido es la concreción de los tradicionales derechos de rectificación y oposición aplicados al entorno online.

Siguiendo con la interpretación que el Tribunal de Justicia de la Unión Europea realizó de esta cuestión en su importante sentencia de 13 de mayo de 2014.

El derecho al olvido supone la posibilidad de ejercitar estos derechos frente a los buscadores.

Sin necesidad de dirigirse contra el alojador del contenido.

La limitación del tratamiento consiste en la posibilidad de solicitar al responsable del tratamiento una limitación en el uso de los datos en determinadas circunstancias.

Como son: inexactitud de los datos, ilicitud del tratamiento, que los datos ya no sean necesarios para los fines que se recogieron pero sí para la gestión de reclamaciones o que el interesado se haya opuesto al tratamiento.

Durante el tiempo que tarde el responsable en verificar que esa oposición cumple todos los requisitos.

Análisis de riesgo

Se trata de un elemento fundamental de la nueva regulación.

Es necesario determinar el riesgo que las actividades llevadas a cabo por el responsable pueden suponer para los derechos y libertades de los titulares de los datos.

Para ello se hace imprescindible el análisis exhaustivo de estas actividades.

El mismo debe quedar plasmado a través de documentos que permitan al responsable demostrar que efectivamente se ha llevado a cabo este análisis con el fin de determinar qué medidas se deben aplicar para evitar y paliar esos riesgos y cómo han de aplicarse.

Registro de actividades de tratamiento

Todos los responsables y encargados del tratamiento de datos de carácter personal deben llevar un registro de las actividades que realizan con esos datos.

El registro debe reflejar, entre otras cuestiones:

Nombre y datos de contacto del responsable,

Encargado, así como sus representantes y el Delegado de Protección de Datos;

Categorías de tratamientos efectuadas por cada responsable;

Transferencias internacionales de datos;

Medidas de seguridad activa aplicadas al tratamiento…

Evaluación de impacto sobre la protección de datos (EIPD)

Cuando el responsable pretenda llevar a cabo tratamientos que conlleven un alto riesgo para los derechos y libertades de los interesados.

Debería realizar una Evaluación de Impacto sobre la protección de datos.

La EIPD es un instrumento para determinar qué riesgos supone el nuevo tratamiento para los titulares de los datos antes de que el mismo llegue a materializarse.

Debiendo implementarse las medidas oportunas para evitarlo.

Notificación de violaciones de seguridad de los datos.

El Reglamento exige la notificación a la Agencia Española de Protección de Datos (o entidad de control competente en cada caso) de las violaciones de seguridad de los datos que se hayan producido.

Esta comunicación tendrá que producirse antes de transcurridas 72 horas desde que el responsable tenga conocimiento de la misma.

Se exceptúan de esta obligación aquellos casos en que se considere improbable que dicha violación de la seguridad pueda afectar a los titulares de los datos.

Cualquier violación de la seguridad tiene que estar documentada.

Delegado de Protección de Datos

Es una nueva figura creada por el Reglamento General de Protección de Datos que será obligatoria para los siguientes casos:

– Autoridades u organismos públicos.

– Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática a gran escala.

– Responsables o encargados que tengan entre sus actividades principales el tratamiento de datos personales de categorías especiales de datos (datos sensibles).

Además, el Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, amplía los supuestos obligatorios a otros.

Como: colegios profesionales, centros docentes de enseñanza reglada.

También entidades que exploten redes y presten servicios de comunicaciones electrónicas.

O incluso prestadores de servicios de la sociedad de la información, establecimientos financieros de crédito.

Entidades aseguradoras y reaseguradoras, entidades que desarrollen actividades de publicidad y prospección comercial…

Transferencias internacionales

En esencia sigue el mismo régimen que la normativa anterior.

Aunque incorpora algunas novedades como las siguientes:

Se amplían los elementos para ofrecer garantías de la seguridad de la trasferencia.

Como son las Normas Corporativas Vinculantes, los Códigos de Conducta o los Esquemas de Certificación.

En estos casos no se hará necesaria la autorización por parte de la autoridad de control.

También se añade la posibilidad de que el responsable pueda transferir datos a terceros países.

Sobre todo que no presenten un nivel adecuado de protección. Si esa transferencia es necesaria para servir a intereses legítimos imperiosos del responsable del tratamiento.

Si no prevalecen sobre ellos los intereses o los derechos y libertades del interesado. Y si el responsable ha evaluado todas las circunstancias concurrentes en la transferencia de datos.

Por todo lo dicho, podemos concluir que es necesario adaptarse lo antes posible a esta nueva regulación.

Y hacerlo asesorado por abogados expertos en la materia que puedan guiarnos en las fases de la aplicación.

Estableciendo un plan de trabajo y asegurándose que cada gestión realizada es acorde a derecho.

Solo de este modo podremos evitar:

Tanto la imposición de sanciones por parte de la Agencia Española de Protección de Datos.

Como el desprestigio que puede producir una gestión inadecuada de los datos de carácter personal.

Te estamos esperando para ayudarte a la nueva normativa de protección de datos.

Llámanos a los tlf. 645958948 / 912980061 / info@letradox.es

 

PYMES y datos

Todo sobre Protección de Datos, por LETRADOX ABOGADOS

TODO SOBRE PROTECCIÓN DE DATOS

 

LAS 10 CLAVES DE LA NUEVA NORMATIVA DE PROTECCIÓN DE DATOS
Por LETRADOX ABOGADOS

El nuevo Reglamento de Protección de Datos , que entrará en vigor en mayo de este año 2018. Introduce cambios en la regulación de la política de datos.

Entre tales cambios destaca los que obligan a disponer en plantilla de un oficial de protección de datos a las empresas que trabajen con información profesional a gran escala.

Otro aspecto es el que complica la forma de obtener datos personales. Ya que los usuarios tienen que confirmar de forma activa que están de acuerdo con el uso de sus datos. Y también la empresa tiene que dejar muy claro el propósito por el que piden tales datos.

Esta normativa no afecta solo a empresas europeas, sino a aquellas que procesen datos de ciudadanos europeos. Independientemente de si está establecida o no en la Union Europea.

El nuevo reglamento distingue entre los controladores de datos( la organización que determina los propósitos y medios del procesamiento de datos personales) y los procesadores de datos( el usuario que procesa los datos en nombre de otros).

De esta forma, el consumidor tiene nuevos derechos, como el de recibir información clara sobre los datos que se están almacenando y la forma de corregirlos o eliminarlos por completo.

Del mismo modo, todas las empresas están obligadas a comunicar las brechas de seguridad que pudieran producirse, por lo que deberán extraer información cons-tante sobre los intentos de intrusión y los accesos no autorizados y notificarlos en el plazo correspondiente. También será obligatorio comunicar los detalles del fallo a las personas cuyos datos hayan podido verse afectados.

El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018.

Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la tras-ponen, entre ellas la española, así como la Ley Orgánica 15/1999, de 13 de Di-ciembre, siguen siendo plenamente válidas y aplicables.

Por ello, puede ser útil para las organizaciones que tratan datos, empezar ya a va-lorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España ya que se prevén sanciones millonarias para las empresas que incumplan la normativa, por lo que sería recomendable acreditar su cumplimiento mediante un Sistema de Gestión de Seguridad de la Información y considerar la privacidad de forma previa a cualquier tratamiento de datos.

Mercedes de Parada Rodríguez y Marián Rojo Setién
ABOGADAS

LETRADOX ABOGADOS

Despacho de abogados en Alcalá de Henares

Bufete de abogados en Madrid

Tlf. (+34) 645958948 / 912980061

info@letradox.es

www.letradox.com

Sede central: C/ Jorge Juan nº141. Madrid.

Abogado en Alcalá de Henares
Abogado Madrid
Y Abogado España.

Análisis de los riesgos en Protección de Datos por LETRADOX ABOGADOS

ANÁLISIS DE RIESGOS EN LOS TRATAMIENTOS
DE DATOS PERSONALES
SUJETOS AL RGPD

LETRADOX ABOGADOS
Despacho de abogados en Alcalá de Henares
Bufete en Madrid
Tlf. (+34) 645958948
Tlf: 912980061
info@letradox.es
www.letradox.com

En LETRADOX ABOGADOS , abogados expertos en Protección de Datos. Basándonos en el documento de la Agencia Española de Protección de Datos.

Por ello hemos confeccionado este resumen sobre los riesgos en los tratamientos de datos personales sujetos al RGPD. Como continuación de nuestros artículos sobre el nuevo Reglamento.

¿A qué riesgos está sometida tu empresa en el tratamiento de datos personales? ¿Cómo intentar neutralizar esos riesgos y cumplir con la normativa?

Hoy, en Letradox, todas las respuestas.

El 25 de mayo de 2018 entro en vigor el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales (RGPD).

CONSIDERACIONES GENERALES

Llamamos Gestión de riesgos al conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza. A través de una secuencia de actividades que incluyen la identificación y evaluación del riesgo.

Así como las medidas para su reducción o mitigación.
Se puede dividir en tres etapas:

Identificación, evaluación y tratamiento de los riesgos.

Un riesgo lo podemos definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas. La evaluación de riesgos consiste en valorar el impacto de la exposición a la amenaza.

También junto a la probabilidad de que esta se materialice.

El impacto se determina en base a los daños que se pueden producir si la amenaza se materializa.

Además el objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad o impacto de que estos se materialicen.

El RGPD centra su atención en las amenazas sobre los derechos y libertades de los interesados.  Además trata de ver como es una actividad de tratamiento, por sus características.

También el tipo de datos a los que se refiere o el tipo de operaciones que puede causar un daño a los interesados.

PROTECCION DE DATOS DESDE EL DISEÑO Y LA GESTION DE RIESGOS

La exposición a los riesgos con impacto en la protección de datos se produce desde el inicio o puesta en marcha de los tratamientos. Además evolucionando en función de las variaciones del contexto y de factores o elementos que intervienen en las mismas.

El RGPD introduce los conceptos de protección de datos desde el diseño y por defecto, para garantizar los derechos y libertades de los interesados desde una actividad de tratamiento.

El responsable del tratamiento que utilice datos personales debe aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo:

– pseudonimización, cifrado de datos personales
– Confidencialidad, integridad, disponibilidad, resiliencia permanente de sistemas de tratamiento
– Proceso de verificación, evaluación y valoración regulares de la eficacia.

A la hora de definir una actividad de tratamiento hay que saber cuales son las finalidades del tratamiento de datos personales. Corresponde a cada organización decidir el nivel de agregación o segregación para elaborar el registro de actividades de tratamiento.

Como, ponderar la optimizaron de la gestión de la protección de datos para que resulte útil, ágil, efectiva y permita alcanzar los objetivos que la legislación busca.

También puede resultar útil al responsable y al encargado del tratamiento a la hora de elaborar el registro de actividades de tratamiento volver.

Los ficheros que la organización hubiera descrito con anterioridad.

Por ello, la AEPD ha incluido la posibilidad de obtener una copia en electrónico del contenido completo de la declaración de sus ficheros incorporadas al registro de tratamientos de la entidad las actividades que realiza sobre los datos personales de las personas deberá fijarse en las nuevas obligaciones que el RGPD describe sobre el responsable de tratamiento y el encargado de tratamiento.

Art. 5 RGPD, establece los principios relativos al tratamiento de datos personales:

– licitud, lealtad y transparencia
– Limitación de la finalidad
– Minimizaron de datos
– Exactitud
– Limitación del plazo de conservación
– Integridad y confidencialidad

Para determinar si un tratamiento entraña escaso riesgo.

AEPD ha puesto a disposición de los responsables de tratamiento de datos personales la herramienta Facilita_RGPD, destinada a las personas y empresas.

Para las personas y entidades que no cubran sus necesidades on la herramienta se debe evaluar si las actividades entrañan un alto riesgo para los derechos y libertades del interesado.

Una EIPD no se requiere siempre para ello hay que realizar un análisis previo para determinar de forma preliminar el nivel de riesgo al que puede estar expuesto el tratamiento y tomar la decisión adecuada en base a ello.

Para determinar si es necesario o no una EIPD se puede seguir una breve metodología constituida por dos fases:

La primera, análisis de las listas de tratamientos previstos en la regulación (art 35.3, 35.4 y 35.5).

Posteriormente, análisis de la naturaleza, alcance, contesto y fines de tratamiento (art.35.1).

Con caracter general hay que realizar una IPD cuando un tratamiento puede suponer un alto riesgo para los derechos y las libertades de las personas físicas.

Sobre todo si se utilizan nuevas tecnologías y teniendo en cuenta la naturaleza, alcance, contexto o finalidades del tratamiento.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Puede identificase como el conjunto de operaciones dirigidas a conseguir una determinada finalidad que se legitiman en una misma base jurídica.

Cada tratamiento incluirá una serie de operaciones. Se deben incluir en el registro de actividades en el momento previo antes de su puesta en marcha.

La identificación y descripción de las acts de tratamiento es una obligación y necesidad en las fases iniciales para facilitar el análisis de riesgos.

Posteriormente cada responsable deberá valorar el grado de segregación o agregación al que somete sus tratamientos.

Es fundamental que el registro de acts este permanentemente actualizado y en un formato claro y legible que facilite su comprensión por parte de terceros.

El registro de actos de tratamiento debe incluir toda la información que recoge el articulo 30 RGPD.

ANALISIS BASICOS DE RIESGOS

El análisis básico de riesgos es un análisis de mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos en aquellas actividades de tratamiento con baja exposición al riesgo.

Se deben describir adecuadamente las actividades de tratamiento proceso que facilitara la documentación del registro de actividades de tratamiento.

La descripción de los tratamientos sujetos al análisis de riesgos permite obtener un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas.

Las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares.

También simplifica el análisis y permite establecer medidas de seguridad por defecto. El ciclo de vida de los datos se puede dividir en etapas:

– captura de datos
– clasificación, almacenamiento
– Uso, tratamiento
– Cesión o transferencia de los datos a un terceros para su tratamiento
– Destrucción

Los elementos involucrados en cada una de las etapas del ciclo de vida de los datos en las actividades de tratamiento se pueden clasificar en:

– Actividades de tratamiento sobre los datos de carácter personal
– Datos
– Intervinieres
– Tecnología

Las actividades de tratamiento donde se puede aplicar el enfoque de gestión de riesgos por defecto.

Además considerando que han sido analizadas previamente mediante el análisis de la necesidad de realizar una EIPD se situaran siempre en un nivel de riesgo no elevado.

Los principales riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se diferencian en:

Riesgos asociados a la protección de la información.

Y también riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

El proceso de gestión de riesgos se estructura en tres fases:

Identificación, evaluación y tratamiento.

Para ayudaros en esta compleja cuestión sobre riesgos en el tratamiento de los datos personales, estamos a vuestra disposición en LETRADOX ABOGADOS.

También nos podéis escribir a info@letradox.es

Y además llamarnos a los tlf 912980061 / 645958948

además pedir cita para atenderos y resolver vuestras cuestiones sobre Protección de datos.

Esperamos que este artículo os haya sido de utilidad.

Atte
Mercedes de Parada y Marián Rojo
Abogadas

LETRADOX ABOGADOS
www.letradox.com