Entradas

TODO SOBRE PROTECCIÓN DE DATOS. POR LETRADOX ABOGADOS.

/en /por

TODO SOBRE PROTECCION DE DATOS POR LETRADOX ABOGADOS.

Desde que el pasado 25 de mayo de 2018 entrase en vigor la nueva normativa de Protección de Datos hemos sufrido grandes cambios.

No hay más que ver la cantidad de artículos que desde aquí hemos dedicado a ello. Conscientes de la densidad de información, recogemos en este post todas las claves de manera sucinta. Enlazando para mayor desarrollo a otros escritos sobre los diferentes puntos.

Así pues, esta es toda la información que necesitará sobre protección de datos. Todas las novedades y necesidades que trajo el Reglamento Europeo sobre la materia.

Diariamente estamos facilitando nuestros datos de carácter personal para realizar actividades cotidianas. Y sobre todo, con las nuevas tecnologías el volumen y rapidez con el que se captan tratan estos datos es ingente. 

  • DEFINICIONES DE DATO DE CARÁCTER PERSONAL.

En primer lugar, Según el art 3.a de la LOPD. Es cualquier información concerniente a personas físicas identificadas o identificables.

De otro lado, Según el art. 5.1.f. del RDLOPD. Es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Las novedades que incluye este RDLOPD entre otras es: incluir en su ámbito de aplicación a fallecidos, personas de contacto y empresarios individuales. La regla general de aplicación es a todo tratamiento automatizado o manual de estos datos si existe fichero.

(definición de fichero. Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.)

OTRAS DEFINICIONES DESTACABLES, COMO POR EJEMPLO, RESPONSABLE, ENCARGADO… LES ACONSEJAMOS QUE VISITEN ESTE LINK A NUESTRO POST. 

  • PRINCIPIOS LOPD.

Calidad. en esencia, Los datos inexactos o incompletos deben ser cancelados y sustituidos de oficio. Además los datos deben ser recogidos para finalidades determinadas, explícitas y legítimas. así mismo, los datos recogidos no pueden usarse para finalidades incompatibles.

Por otro lado, Información. El afectado debe ser informado de manera expresa, precisa e inequívoca de lo recogido en el art. 5.1.

“ A) existencia de un fichero. B) finalidad de la recogida. C) destinatarios de la información. D) carácter obligatorio o facultativo de las preguntas. E) consecuencias de la obtención. F)posibilidad de ejercicio de derechos. G) identidad del responsable o su representante. H) dirección del responsable o su representante.”

Así mismo, cuando el dato se recaba de un tercero se informa por el responsable en los tres meses siguientes.:

  • origen de los datos.
  • Identidad del responsable del tratamiento.
  • Extremos a,d y e del art. 5.1.

Para publicidad o prospección comercial cuando los datos sean recogidos de fuentes accesibles al público. Se debe incluir el origen de los datos, identidad del responsable del tratamiento y los derechos que le asisten

Consentimiento. Debe existir una manifestación de la voluntad libre, inequívoca, específica e informada. Tanto para el tratamiento de datos como para la cesión.  Si son datos especialmente protegidos requieren consentimiento por escrito. El consentimiento, además puede ser revocado. Y cuando no sea necesario el consentimiento puede oponerse al tratamiento por motivos fundados y legítimos. (ejemplos de este último caso es por ejemplo datos de fuentes accesibles al Público).

Finalmente, están los principios de Seguridad de los Datos (art.9). El Deber de secreto (art.10). Y el Acceso a datos por cuenta de terceros (art. 12).

  • DERECHOS COMO INTERESADO.

En primer lugar, tener en cuenta que están recogidos en los artículos del 13 al 19 de la LOPD. Los más relevantes los denominamos derechos ARCO. Y son el de Acceso, el derecho de Rectificación, el de Cancelación y el de Oposición. Estos son los derechos sobre los que le podremos asesorar y ayudar a ejercer. Así mismo, estos tienen especialidades reguladas en el RDLOPD.

Sobre estos derechos hacíamos mención en el siguiente post: aquí.  Estaremos completamente a su disposición para esclarecer dudas.

  • ANÁLISIS DE LOS RIESGOS EN PROTECCIÓN DE DATOS.

Llamamos Gestión de riesgos al conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza. A través de una secuencia de actividades que incluyen la identificación y evaluación del riesgo.

Por lo tanto, podemos dividirlo en tres etapas. Identificación, evaluación y tratamiento de los riesgos. La evaluación de riesgos es la valoración del impacto de la exposición a la amenaza. La exposición a los riesgos en la protección de datos se produce desde el mismo momento en que se inician los tratamientos.

El responsable (figura que ahora definiremos) debe aplicar unas medidas técnicas y organizativas apropiadas para la protección. 

– pseudonimización, cifrado de datos personales

– Confidencialidad, integridad, disponibilidad, resiliencia permanente de sistemas de tratamiento

– Proceso de verificación, evaluación y valoración regulares de la eficacia.

En primer lugar, será capital la definición la actividad del tratamiento para ver qué medidas emplear.

Sobre todas estas cuestiones enunciadas y de suma importancia, sin duda, le redirigiros a un completo artículo. Vistas las pinceladas más relevantes sobre el asunto desarrollamos todo aquí.

  • NOVEDADES PRINCIPALES DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS.

primero, partiendo del modelo de privacidad y la figura del DPO el reglamento incluye.:

Forma de obtención del consentimiento

Nuevos derechos para los interesados (derecho al olvido, portabilidad, limitación).

Necesidad de notificar las violaciones de privacidad a la AGPD en un plazo de 90 días

La obtención del consentimiento la hemos tratado someramente en los principios antes citados. Y es muy curioso y relevante el nuevo derecho al olvido. Un derecho que materializa nuestro deseo de querer “desaparecer”. De hacer desaparecer nuestros datos de determinados lugares y tratamientos.

Por otra parte, ¿Cómo adaptar mi empresa al Reglamento Europeo de Protección de Datos?. De manera muy sencilla los principales puntos, al margen de un asesoramiento más individualizado y profundo, son.:

– Cambia el modelo de gestión de la protección de datos

– Privacidad desde el diseño y por defecto

– No basta con cumplir la normativa, hay que poder demostrarlo, por lo que todo tiene que estar muy bien documentado.

– Importante contar con asesoramiento jurídico experto.

Más datos aquí.

Finalmente, en este punto, quizá lo que más interese saber sean las medidas de seguridad del nuevo Reglamento. Habrá de saber que no existe un catálogo de medidas. Se exige como hemos enunciado el análisis de riesgos y evaluaciones de impacto. Sin embargo, aunque no se recojan todas las medidas de seguridad sí hay medidas obligatorias. Algunas son.: Registrar actividades de tratamiento, deber de información, informar sobre brechas de seguridad, la citada evaluación de impacto y contar con un Delegado de Protección de Datos.

Sobre cómo empezar a implementar las medidas de seguridad dentro de una empresa recogemos el siguiente texto de nuestro blog. Link.

Para concluir daremos la definición de la tan citada figura del Delegado de Protección de Datos. 

En primer lugar. Siempre habrá que tener un DPD en los supuestos del art. 37.1 RGPD. Y en todo caso en 16 supuestos recogidos entre los que citamos.: Los colegios profesionales y sus consejos generales. Centros docentes. Entidades de que presten servicios de comunicaciones electrónicas. también, prestadores de servicios de la sociedad de la información. Establecimientos financieros de crédito. Así mismo, entidades aseguradoras y reasegurados. Distribuidores y comercializadores de energía eléctrica y distribuidores de gas. Centros sanitarios…

el Delegado de Protección de Datos se encargará de garantizar el cumplimiento de normativa de protección de datos en empresa.sería ideal que este contase con conocimientos en derecho. Lo que sí será necesario es que cuente con formación en protección de datos. el art. 39 del RGPD recoge sus funciones. Además, representa a la empresa ante la Agencia Española de Protección de Datos. Y establece protocolos de actuación respecto al cumplimiento de estas normas.

Es muy relevante el paso dado por la Agencia Española de Protección de Datos. Ésta ha desarrollado un modelo de certificación para los delegados. 

Para más información: post.

Así pues, Como han podido comprobar es ingente la cantidad de información sobre el tema. Hemos buscado la mejor manera de condensarla y explicarla de manera clara y sucinta. No obstante, les invitamos a que contacten con Letradox Abogados con cualquier consulta. Contamos con grandes profesionales especialistas en esta materia. 

Letradox Abogados

C/ Jorge Juan 141, 3ºA. Madrid

TLF: 645 958 948 / 91 298 00 61

Correo: info@letradox.es

PYMES y datos

Medidas de seguridad del nuevo reglamento de protección de datos.

/en /por

Medidas de seguridad del nuevo reglamento de protección de datos.

1. Hemos recibido muchas consultas sobre qué medidas de seguridad debemos implementar en las empresas para cumplir con la normativa sobre protección de datos. Si hay que poner contraseñas en los ordenadores, o si necesitamos guardar los documentos bajo llave… ¿Son todas estas medidas obligatorias?

– La nueva normativa sobre protección de datos no recoge un catálogo de medidas tasadas como incluía anteriormente el reglamento de desarrollo de la LOPD.
Responsabilidad proactiva, requiere un enfoque basado en el riesgo: en función del riesgo que presente la empresa, debemos tomar unas medidas de seguridad u otras.
– Garantizarse una seguridad adecuada de los datos (art. 5 RGPD)
– Para saber qué medidas son las más adecuadas: análisis de riesgos y, en su caso, evaluaciones de impacto
– Habrá que tener siempre en cuenta el coste de la técnica, los costes de aplicación, la naturaleza, alcance y fines del tratamiento y los riesgos para los derechos y libertades

2. sin embargo, el Reglamento General de Protección de Datos y la LOPDGDD si recogen algunas medidas como obligatorias. ¿No es así?

– Una serie de medidas que siempre serán obligatorias cuando se den determinadas circunstancias:
Contar con un Delegado de Protección de Datos
Registro de actividades del tratamiento
Evaluaciones de impacto: privacidad desde el diseño
Consultas previas a la autoridad de control
Cumplimiento del deber de informar
Garantizar el cumplimiento de los derechos para los interesados
Informar sobre las brechas de seguridad

3. Entonces, por donde debemos empezar a la hora de implementar las medidas de seguridad dentro de una empresa

– en primer lugar, comenzaremos siempre por una evaluación inicial de la situación y un análisis de riesgos o, en su caso, evaluación de impacto. Del mismo modo, Habrá que identificar las amenazas (accesos ilegítimos, modificación de los datos no autorizada, eliminación de datos)
– Será necesario el asesoramiento de un experto
– Establecer protocolos para el cumplimiento

4. Destacan especialmente las figuras del “Análisis de Riesgos y la Evaluación de Impacto”. ¿Cuándo debemos realizar uno u otro?

– Va a depender en gran medida de la probabilidad de que se produzca un riesgo y la gravedad en caso de producirse
– La evaluación de impacto es una herramienta preventiva que permite identificar, evaluar y tratar los riesgos.
– Algunos supuestos tasados por la ley o Reglamento:

Art. 35: Alto riesgo por su naturaleza, alcance, contexto o fines
(Especialmente si utiliza nuevas tecnologías)
 Evaluación sistemática a gran escala de zonas de acceso público
 Tratamiento a gran escala de datos especialmente protegidos
 Uso de tecnologías invasivas

o LOPDGDD
El Art. 28 considera de especial riesgo determinados tratamientos:

¨ Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
¨ El tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
¨ Cuando el tratamiento afecte de forma no incidental o accesoria a categorías especiales de datos
¨ El tratamiento sirva para crear perfiles
¨ Se traten datos de colectivos especialmente vulnerables
¨ Cuando se realicen tratamientos masivos de datos
¨ Se vayan a transferir los datos a terceros países sin nivel adecuado de protección
¨ O así se prevea en códigos de conducta o esquemas de certificación

– En todo caso, es el responsable quien tendrá que justificar que la evaluación de impacto no era necesaria

5. ¿Puedo seguir aplicando las mismas medidas de seguridad que aplicaba hasta ahora?

– Siempre que hayas realizado el correspondiente análisis de riesgos o evaluación de impacto y del mismo se desprenda que son las más adecuadas.

6. ¿Qué pasa si no cumplo?

– Si se trata de alguna de las medidas obligatorias: posible sanción o Infracción grave

(art. 37.t LOPDGDD) “El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible”.

– Grave riesgo de brechas de seguridad
Perjuicios reputacionales