Entradas

LETRADOX® ABOGADOS celebra el DÍA DE GALICIA

/en /por

Vídeo Presentación de LETRADOX® Abogados en Galicia

 

Desde los lugares más espectaculares de Galicia celebramos desde LETRADOX® Abogados este #DiadeGalicia y aprovechamos para felicitar a todos nuestros clientes de Lugo, Ourense, Pontevedra y A Coruña.
Hace más de dos años que Letradox® Abogados se expandió a Galicia, haciéndose eco de ello los principales medios de comunicación.
Desde entonces hemos asesorado a cientos de clientes particulares y empresas en todas las poblaciones.
Si usted también quiere disponer del mejor equipo de abogados en Madrid y Galicia, consúltenos su caso sin compromiso.
En este vídeo desde los lugares más impactantes de Galicia descubrirá no solamente la belleza de las poblaciones y paisajes gallegos sino cómo desde nuestro despacho podemos ayudarle.
LETRADOX® ABOGADOS
Sede principal en Madrid y oficinas en Lugo (Galicia).
Tlfs. 912980061 y 645958948
info@letradox.es
www.letradox.com

 

Formación Protección de Datos en FOTOCASA

/en /por
Formación Protección de Datos en FOTOCASA
Compartimos la información del webinar en directo para fotocasa.es sobre Protección de Datos en inmobiliarias que ha impartido hoy 14 de octubre doña Mercedes de Parada, abogada y CEO de LETRADOX.
Gracias Fotocasa por con nosotros una vez más para aportar nuestro conocimiento jurídico en cuestiones relevantes para el mercado inmobiliario.
We share the information about the live webinar for FOTOCASA on Data Protection in real estate that Mercedes de Parada, lawyer, have had the privilege of teaching it today.
Thank you Fotocasa for having us on board once again to provide our legal knowledge on relevant issues for the real estate market.
Más información en:
Cómo adaptar tu empresa a #protecciondedatos :
LETRADOX ABOGADOS
C/ Jorge Juan nº141, esc.izda. 3ºA. Madrid.
info@letradox.es
tlfs: 912980061 / 645958948
www.letradox.com
Abogados protección de datos

Transferencias internacionales de datos. LETRADOX Abogados

/en /por

Transferencias internacionales de datos. LETRADOX® Abogados

Nuestro Dpto. de Protección de Datos le asesora en las cuestiones internacionales de Protección de Datos.

 

ÍNDICE

1.    Introducción protección de datos España

 

  1. Impacto del tratamiento de datos en las empresas

 

3.    Transferencias internacionales de datos

 

  1. Nuevas cláusulas contractuales tipo

 

4.1.       Estructura

1.     INTRODUCCIÓN PROTECCIÓN DE DATOS ESPAÑA.

La protección de datos personales aparece ya en el artículo 18.4 de la Constitución Española: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

El 28 de enero de 1981, el Consejo de Europa aprueba el convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. España no formaba parte de la CEE pero firmó el Convenio.

La Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD) y la creación de la Agencia Española de Protección de Datos (AEDP) suponen la primera normativa de protección de datos en la legislación española.

La directiva 95/46/CE del Parlamento Europeo se traspuso en España a través de la LO 15/99 de Protección de Datos de carácter personal (LOPD).

A finales de 2018 llegó la vigente LO 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales.

Con anterioridad y fundamental en la regulación está el Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) con este reglamento el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea reforzaban y unificaban la protección de datos para todos los individuos dentro de la Unión Europea. También se ocupa de la exportación de datos personales fuera de la UE.

El objetivo principal del GDPR es dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE. La aplicación entró en vigor el pasado 25 de mayo de 2018 tras una transición de dos años y, a diferencia de una directiva, no obligó a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.

El nuevo régimen propuesto de protección de datos de la UE amplía el ámbito de aplicación de la legislación de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE. Proporciona una armonización

de los reglamentos de protección de datos en toda la UE, facilitando así que las empresas no europeas cumplan estas normas.

El GDPR aplica:

A los “controladores” y a los “procesadores” de datos.

Un controlador de datos indica cómo y por qué se procesan los datos personales, mientras que un procesador es la parte que realiza el procesamiento real de los datos. Por lo tanto, el controlador podría ser cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno. Un procesador podría ser una empresa de TI que realice el procesamiento de datos real.

Incluso si los controladores y procesadores están fuera de la UE, el GDPR seguirá aplicándose a ellos siempre y cuando se trate de datos pertenecientes a residentes de la UE.

Es responsabilidad del controlador asegurar que su procesador cumple con la ley de protección de datos y los procesadores deben respetar las reglas para mantener registros de sus actividades de procesamiento. Si los procesadores están involucrados en una violación de datos, son mucho más responsables bajo GDPR que estaban bajo la Ley de Protección de Datos.

Los puntos fundamentales del GDPR

Nueva gestión de los tratamientos: no será necesario notificar los tratamientos a la Agencia Española de Protección de Datos y, en su lugar, se deberá llevar internamente un registro de actividades de tratamiento. Aunque la entidad se pueda acoger a la excepción de menos de 250 trabajadores, por lo menos tendrá que tenerlos identificados.

Categorías especiales de datos: además de los ya existentes, se incluyen los datos genéticos y biométricos.

Base jurídica de los tratamientos: el consentimiento no será ya la causa principal de legalización de los tratamientos, sino que también podrán realizarse por habilitación legal, ejecución de un contrato, en interés vital de interesado o por interés legítimo del responsable. De basarse en el consentimiento, pasa a ser expreso requiriendo una clara acción afirmativa o declaración expresa.

Privacidad por diseño: supone tener presente a la privacidad durante todo el ciclo de vida del dato, desde antes de su obtención, pasando por las diferentes fases de tratamiento, hasta su destrucción.

Privacidad por defecto: supone obtener y tratar sólo aquellos datos necesarios para cumplir con la finalidad del tratamiento.

Responsabilidad proactiva o accountability: el responsable de tratamiento debe cumplir con las obligaciones del RGPD y ser capaz de demostrarlo, por lo que la documentación y trazabilidad son requisitos imprescindibles.

Enfoque basado en el riesgo: los responsables y encargados de tratamiento deberán adoptar medidas técnicas y organizativas apropiadas, para reducir o eliminar los riesgos detectados para los interesados en relación con el tratamiento de sus datos personales. Como el riesgo cero no existe, se debe lograr un riesgo residual aceptable.

Delegado de protección de datos: se deberá nombrar un DPD con carácter obligatorio en las administraciones públicas, cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, y cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o datos de condenas y sanciones penales.

El Proyecto de Ley Orgánica de Protección de Datos, de aprobarse en los términos actuales, permitirá que cuando exista DPD, la Agencia Española de Protección de Datos les pase durante un mes las reclamaciones que presenten los interesados para que intente dar solución a la misma. De no conseguirlo, continuará el procedimiento sancionador o de tutela de derechos correspondiente.

Evaluaciones de impacto en protección de datos: los tratamientos que impliquen un riesgo para los datos personales de los interesados requerirán una evaluación de impacto en protección de datos previa. En concreto lo requerirán el tratamiento a gran escala de categorías especiales de datos y datos de condenas y sanciones penales, la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o

que les afecten significativamente de modo similar y la observación sistemática a gran escala de una zona de acceso público.

Notificación de violaciones de seguridad de los datos personales: se deberán notificar aquellas violaciones que afecten a la confidencialidad, integridad o disponibilidad de los datos personales a la Agencia Española de Protección de Datos cuando exista un riesgo para los interesados. Si además, existe un alto riesgo para los interesados, se les deberá notificar a estos salvo que se hubieran tomado medidas previas que imposibilitaran el acceso de la información a terceros como el cifrado o se tomen medidas posteriores que eliminen la alta probabilidad de que se materialice ese riesgo.

2.     IMPACTO DEL TRATAMIENTO DE DATOS EN LAS EMPRESAS.

 

La regulación de protección de datos afecta de lleno a las empresas. Estamos en la era de la información y en este momento el GDPR endurece las condiciones para los ciudadanos y lar organizaciones que manejan información personal ajena.

El incumplimiento puede conllevar multas de hasta 20 millones de euros o el 4% de la facturación de la empresa.

Por ejemplo, la autoridad francesa impuso a Google una sanción de 50 millones de euros porque el tratamiento de los datos no estaba bien descrito. En este sentido se establece que para que el consentimiento de uso se considere informado el usuario debe conocer perfectamente para qué se van a emplear, en este caso se consideró que este requisito no estaba bien implementado.

En Alemania la autoridad alemana impuso a la compañía inmobiliaria Deutsche Wohen una sanción de 14,5 millones de euros por incumplimiento de la política de conservación de datos, al conservar éstos más tiempo del necesario.

Por la gravedad de las sanciones y por los derechos protegidos, los principios de privacidad y de respeto a la normativa deben estar integrados en toda la estructura de la empresa desde los departamentos de ventas y marketing a los de gestión y recursos humanos.

3.     TRANSFERENCIAS INTERNACIONALES DE DATOS.

La AEDP señala que las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea, mas Liechtenstein, Islandia y Noruega)

Las personas responsables y encargadas del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y se den los siguientes supuestos:

Destinatario declarado de nivel adecuado por la Comisión Europea. Las personas destinatarias de los datos se encuentres en un país, un territorio o uno o varios sectores específicos de este país u organización internacional que hay sido declarado de nivel de protección adecuado por la Comisión Europea. Hasta la fecha los países y territorios declarados como adecuados son:

  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de
  • Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
  • Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
  • Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016 (Decisión invalidada por el Tribunal de Justicia de la Unión Europea (TJUE) el 17 de julio de 2020).
  • Japón. Decisión de 23 de enero de 2019.
  • Reino Unido. Decisión de 28 de junio de 2021 (versión en inglés).

–    A falta de decisión de adecuación, con las siguientes garantías:

  1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
  2. Normas corporativas
  3. Cláusulas tipo de protección de datos adoptadas por la Comisión, las cuales abordaremos en el apartado
  4. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
  5. Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas
  6. Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas

A falta de decisión de adecuación y de garantías. Únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:

  1. La persona interesada haya dado explícitamente su

  1. La transferencia sea necesaria para la ejecución de un contrato entre las personas interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona
  2.  sea necesaria para la celebración o ejecución de un contrato, en interés de la persona interesada, entre la persona responsable del tratamiento y otra persona física o jurídica.
  3. o por razones importantes de interés público.

  1. La transferencia sea necesaria para la formulación, el ejercicio o la defensa de

  1.    proteger   los   intereses   vitales   de la persona interesada o de otras personas, cuando la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.
  2.  se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si (1) no es repetitiva, (2) afecta solo a un número limitado de personas interesadas, (3) es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades de la persona interesada, y (4) el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.

En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará a la persona interesada de la transferencia y de los intereses legítimos imperiosos perseguidos.

Cuándo se necesita una autorización expresa. Se necesitará autorización expresa de la agencia española de protección de datos cuando las garantía adecuadas se aporten mediante:

  • Cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado, que no hayan sido adoptadas por la Comisión Europea o
  • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para las personas

Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

4.     NUEVAS CLÁUSULAS CONTRACTUALES TIPO

 

Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.

Las nuevas   cláusulas   se   adaptan   al   RGPD   incorporando   los   principios   de

«accountability» y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II. No obstante, sigue siendo necesario que el exportador, en su caso ayudado por el importador, analice el impacto que la legislación del país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.

Las cláusulas contractuales de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedarán derogadas a partir del 27 de septiembre de 2021. No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.

Los contratos que utilicen las cláusulas contractuales de 2001/497/CE, 2004/915/CE o la Decisión 2010/87/UE tendrán un período de 15 meses para su adaptación a las nuevas cláusulas.

Las cuestiones más relevantes son:

4.1  Estructura

 

Tienen una estructura modular, siendo su redactado diferente dependiendo del escenario en el que se utilicen. En este sentido, contemplan cuatro escenarios diferentes de transferencias internacionales de datos:

  1.  responsable a responsable (R-R);
  2.  responsable a encargado (R-E);

  1.  encargado a responsable (E-R); y
  2.  encargado a encargado (E-E).

La estructura modular de las nuevas cláusulas en cuanto escenarios diferentes tiene en cuenta dos escenarios que no se contemplaban con las anteriores (E-R y E-E). De esta manera, las nuevas reflejan mejor la diversidad de escenarios presentes en la realidad.

Así, las cláusulas para todos los escenarios se dividen en cuatro secciones diferentes:

Una primera sección introductoria con cláusulas generales sobre interpretación y jerarquía.

Una segunda sección con las obligaciones de las partes.

Una tercera sección sobre obligaciones de análisis de normas locales y acceso a datos por parte de las autoridades.

Una cuarta sección con cláusulas finales como pueden ser, la cláusula de ley aplicable o la de jurisdicción. Asimismo, los escenarios R-R y E-R contienen dos anexos sobre características del tratamiento y medidas técnicas y organizativas, mientras que los escenarios R-E y E-E contienen un anexo adicional para listar a los subencargados del tratamiento.

Adicionalmente, las nuevas cláusulas contienen toda la información requerida para la contratación de encargados del tratamiento. Por lo tanto, en la medida en la que aplique, no será necesario firmar un contrato de encargo de tratamiento adicional a las cláusulas.

Estas cláusulas actualizadas tratan de solucionar las anteriores deficiencias implementando obligaciones que emanan de la GDPR. Destacando:

  • Se incorporan apartados expresamente previstos en el RGPD como la gestión de brechas de seguridad o la referencia a las medidas técnicas y organizativas del artículo 32 del RGPD. Las partes deben describir las medidas de seguridad técnicas y organizativas aplicadas, que incluirán las medidas adoptadas para ayudar a responder a las solicitudes de los

  • Se integra el principio de responsabilidad proactiva al obligar a las partes a demostrar el cumplimiento del contenido de las

  • Se crean obligaciones más detalladas en comparación con las establecidasen las anteriores CCT, lo que aumenta sustancialmente el nivel de diligencia debida para evaluar el impacto potencial de las leyes locales sobre los En este sentido, se incorporan algunas de las obligaciones señaladas por el TJUE en “Schrems II” y apoyadas por el CEPD.

La suscripción de las CCT actualizadas está condicionada a la realización previa de un análisis de impacto de la transferencia para verificar si el marco legislativo del país de destino es esencialmente equivalente al del país de origen de los datos. La Comisión ha introducido cierta flexibilidad en relación con los diferentes elementos que pueden tenerse en cuenta para realizar este análisis. Puede analizarse desde la jurisprudencia e informes de organismos de supervisión independientes hasta la experiencia practica documentada del exportador y/o del importador de datos.

  • Se refuerzan obligaciones como el deber del importador de notificar el al exportadorante una solicitud de divulgación de datos personales por parte de una autoridad, o el deber del importador de impugnar dicha solicitud y de, incluso, solicitar medidas cautelares si considera que existen razones suficientes para hacerlo. Asimismo, si un importador notifica al exportador la imposibilidad de cumplir con las CCT actaulizadas, el exportador puede identificar medidas adicionales para mitigar el riesgo del Si las medidas adicionales no permiten mitigar debidamente los riesgos, el exportador deberá suspender la transferencia

  • Se admiten las transferencias ulteriores por parte de importadores de datos a otros destinatarios para el ejercicio de reclamaciones legales relacionadas con procedimientos administrativos, judiciales o reglamentarios, así como para proteger intereses vitales del interesado u otra persona física.

  • Se admiten las transferencias ulteriores por parte de importadores de datos a otros destinatarios para el ejercicio de reclamaciones legales relacionadas con procedimientos administrativos, judiciales o reglamentarios, así como para proteger intereses vitales del interesado u otra persona física.

  • Con respecto al derecho del exportador de datos a obtener, previa solicitud, una copia de los contratos de subencargo del importador, se aclara que el importados puede reservarse la facultad de redactar el contrato de forma que proteja sus secretos comerciales u otra información confidencial. Se trata de una mejora con respecto a las anteriores que preveían la obligación de proporcionar copias sobre información comercial sin autorización.

  • Se prevé la adhesión de partes adicionales a las cláusulas ya suscritas, si bien esta cláusula es voluntaria y está sujeta a la aceptación por las partes contratantes y al cumplimiento de los anexos y medidas técnicas y organizativas de las cláusulas por parte del tercero.

 

Para adaptar su empresa a la normativa de protección de datos o bien consultarnos su caso sobre transferencias internacionales datos :

LETRADOX ABOGADOS

Tlf. 912980061 / 645958948

email: info@letradox.es

http://www.letradox.com

Transferencias internacionales de datos. LETRADOX® Abogados

HEARST recoge la opinión de LETRADOX® en Protección de Datos

/en /por

HEARST recoge la opinión de LETRADOX® en Protección de Datos

LETRADOX® Abogados es un despacho que se ha caracterizado por ser referente en protección de datos y nuevas tecnologías. Así lo acreditan los medios que nos preguntan sobre estas materias. El último de ellos, de la editorial Hearst de Nueva York. 

Muchas gracias a la editorial HEARST por contar en vuestras publicaciones en octubre de 2020 con la opinión de LETRADOX® Abogados S.L.P. en temas tan importantes y de actualidad como la protección de datos y la privacidad en redes sociales.

Thank you very much HEARST for having in your publications in October 2020 the opinion of LETRADOX® Lawyers S.L.P. on such important and current issues as data protection and privacy in social networks.

 

En caso de que ud o su empresa necesiten de un abogado especialista en protección de datos, contáctenos sin compromiso en:

LETRADOX

Tlfs: 912980061 / 645958948

info@letradox.es

#proteccióndedatos #abogadosproteccióndedatos #dataprotection #socialnetworks #lawyers #privacy #abogadosexpertos #hearst #letradox #socialmedialawyers #influencers #dataprotectionlawyers

VÍDEO DE LA PUBLICACIÓN en este link: Letradox en Hearst

HEARST recoge la opinión de LETRADOX® en Protección de Datos

Reclamación exámenes online. Letradox® Abogados

/en /por

Reclamación exámenes online. Letradox®Abogados

 

Reclamación exámenes online. Letradox®Abogados. 

Es destacada la proliferación actual del teletrabajo y la enseñanza online. Las circunstancias han obligado a cambiar la enseñanza en tiempos de alerta sanitaria. La realización de exámenes online en Universidades , oposiciones, Pruebas de Acceso etc no está exenta de problemas. (Ejemplo. Prueba de Acceso a la Abogacía del año 2020).

Algunos de éstos son los mencionados a continuación.

Si ud se ha visto afectado por alguna de estas vulneraciones, contacte sin compromiso con nosotros para saber qué derechos tiene y cómo actuar.

Los casos en los que se ven afectados los derechos de los estudiantes por las pruebas de evaluación online son, entre otros, los relativos a:

La protección de datos personales y el reconocimiento facial o grabación de las pruebas de evaluación online

De manera orientativa, la CRUE estableció el pasado mes de abril algunas alternativas de realización de pruebas de evaluación online.

Una de estas alternativas es el uso de herramientas tecnológicas de reconocimiento facial del alumno.

Respecto a esta última alternativa ha sido algo más cauta.

Acorde con el informe de la Agencia Española de Protección de Datos, el reconocimiento facial a través de plataformas tecnológicas requiere un acceso a los datos biométricos de cada individuo y por tanto deben de ser tratados conforme al RGPD.

La situación derivada de la COVID19 NO EXIME del cumplimiento de su tratamiento y tampoco, la suspensión de los Derechos Fundamentales. por ello esta legislación debe ser cumplida en la realización de las pruebas, para lo que resulta fundamental la adecuación de la empresa a la normativa de Protección de Datos.

A pesar de que la REACU ha permitido al cambio de memorias de verificación no deja de existir una responsabilidad Autonómica Universitaria de determinación de normas y planes de formación de procedimientos de evaluación que acrediten la igualdad entre los estudiantes.

Pero los datos biométricos suponen datos esenciales que para ser legitimados deben de justificar un interés público esencial que emana de una norma con rango de ley, que a su vez establezca un régimen de garantías de protección de los datos personales.

Sin embargo, el uso de estas plataformas de reconocimiento facial puede ser útiles cuando se preste un consentimiento libre, pero en ocasiones, en la realidad universitaria, puede existir una coacción indirecta sobre las decisiones que pueda tomar un alumno, por lo tanto, en las situaciones en las que existe un desequilibrio entre las partes no puede ser interpretado como libre consentimiento.

En estas ocasiones, en las que no pueda exista un libre consentimiento y no se ofrezcan otras alternativas supondrá una vulneración de los derechos del estudiante, pudiendo velar por su efectividad en los tribunales. Habiendo agotado los trámites internos que ofrece la universidad, se recurrirá por la vía jurisdiccional que conocerá será la Contencioso – Administrativa, impugnando del acuerdo alcanzado por la universidad.1

Del mismo modo que las pruebas orales realizadas tampoco podrán ser grabadas si consentimiento del alumno y, según normativas universitarias, estas de forma general serán públicas, por lo que deberá permitirse que estas pruebas, aunque realizadas telemáticamente, gocen se ese mismo carácter.

 

Escaso tiempo para la correcta realización de la prueba de evaluación

El análisis de varias normativas de universidades, entre las que se encuentran la Universidad de Málaga, Castilla y León, Navarra y Barcelona, establecen criterios similares en la realización de pruebas de evaluación.

Denota la transposición matizada de las normas estatales relativas a los deberes y derechos de los estudiantes y el RD 1393/2007, de 29 de octubre, por el que se establece la ordenación de las enseñanzas universitarias oficiales.

Se observan protocolos que deben ser seguidos para la realización de pruebas de evaluación: A efectos de tiempo, se establece un límite que puede ser excedido cuando este sea justificado por el profesor al departamento (artículo 12 de la normativa de evaluación de la UGR, en sintonía con normativa de evaluación de la Universidad de Zaragoza).

Poco se dice al respecto del tiempo mínimo que debe de tener una prueba.Tenemos que acudir al estudio de cada caso para valorar las circunstancias.

La CEUNE ha denunciado la desproporción de los exámenes online. Es debido a  la imposición de tiempo muy limitado para su desarrollo, tratando de garantizar que, al no tener de tiempo suficiente por pregunta, el alumno no copie.

Otros problemas que suelen existir en las pruebas online son los errores de conexión de los propios alumnos y de la propia plataforma del Centro. Por último podemos apuntar la necesidad de una igualdad entre todos los alumnos a fin de que no haya ningún trato discriminatorio.

Ya sea para la defensa en vía universitaria o si llegado el caso fuera necesaria intervención judicial y acudir a los tribunales de lo contencioso administrativo, en Letradox Abogados le podemos ayudar a defender sus derechos.

Reclamación exámenes online.

Letradox®Abogados

En toda España.

Tlfs. 912980061 / 645958948

info@letradox.es

www.letradox.com

 

Exámenes online. Abogados

International Data Transfers. LETRADOX® Lawyers S.L.P.

/en /por

International Data Transfers. LETRADOX® Lawyers S.L.P.

 

Las Transferencias Internacionales de Datos. / Data Protection / Protección de Datos.

 

LETRADOX® Lawyers S.L.P.

C/ Jorge Juan 141, 3º Madrid

info@letradox.es

Tlfs: 912980061 / 645958948

www.letradox.com

La adaptación de las empresas internacionales en protección de datos es un requisito indispensable para su correcta puesta en marcha cumpliendo los parámetros legales.

En Letradox Abogados hemos realizado numerosos artículos recalcando la importancia de esta materia y hemos dado asesoramiento a empresas internacionales.

Hoy vamos a explicar algunas cuestiones en cuanto a las Transferencias Internacionales de Datos en relación al RGPD. Reglamento General de Protección de Datos:

  • No legal definition of transfer, international transfer or transfer to third countries (non-EEA countries)

Transfer EDPS’ definition: communication, disclosure or other wise making available of personal data, conducted with the knowledge or intention of a sender subject to the regulation that the recipient(s) will have access to it.

Cases in which there is no third country transfer : A data processing in a third-country is not automatically a transfer : can be a case of direct application of the GDPR and According to article 3 of the GDPR:

1.(…)

2.This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or the monitoring of their behaviour as far as their behaviour takes place within the Union.

One of the Principle: In the absence of an adequacy decision  ,data  transfer  may only take place under appropriate safeguards or under derogations allowed for in specific situations

  • Adequacy decision: Clear focus, Clear criteria in the GDPR and Clear mechanism for periodic review.

Requirements to implement appropriate safeguards: Enforce able rights and effective legal remedies for data subjects. The safe guards used must provide those rights or the third country guarantees that they are enforceable.

  • In certain cases authorization or approval by the supervisory authority.

En caso de que desee adaptar su empresa a los requisitos legales en protección de datos, póngase en contacto con nosotros:

Las Transferencias Internacionales de Datos. / Data Protection / Protección de Datos.

LETRADOX® Lawyers S.L.P.

C/ Jorge Juan 141, 3º Madrid

info@letradox.es

Tlfs: 912980061 / 645958948

Los límites a la protección de datos por el coronavirus. LETRADOX Abogados

/en /por

Límites a la protección de datos por el coronavirus. LETRADOX Abogados

Protección de Datos & Coronavirus.

¿Hasta qué punto está la población española dispuesta a que se limiten sus derechos en protección de datos en pro de un objetivo de Salud pública y control de la pandemia #Covid19?

¿Es el rastreo de móviles el inicio del control digital masivo de la población y/o es una medida necesaria para frenar el #coronavirus?

ᵀᴴᴱ future is coming…

Reflexionamos sobre los derechos y sus límites en tiempos de excepcionalidad en este nuevo artículo de LETRADOX®️.

Hoy: protección de datos y coronavirus.

 

LETRADOX ABOGADOS

Domicilio social y sede central: C/ Jorge Juan nº141, 3ºA. Madrid

Tlfs: 912980061 / 645958948 

info@letradox.es

www.letradox.com 

 

Límites a la protección de datos por el coronavirus. LETRADOX Abogados

 

El Gobierno, en colaboración con las principales operadoras de España, rastreará los movimientos de 40 millones de móviles para controlar al coronavirus.

Esta operación se llama DataCovid y aseguran que es para tener los datos de movimientos, sin individualizarlos. Aunque la finalidad es loable no es menos cierto que supone el inicio de una «relajación» en los derechos de protección de datos y genera dudas en el sector.

En primer lugar, hemos de apuntar, tal y como afirman los expertos médicos y científicos en la materia, reputados epidemiólogos de todo el mundo, que el gran peligro de este nuevo coronavirus que provoca la enfermedad Covid19, es que entre un 20% y un 30% de las personas que lo contraen son asintomáticas. Es decir, no sabemos quien lo tiene y quien no por meros rastros externos de síntomas (tos, fiebre…etc), y solamente con un test de detección (temprana) generalizado para toda la población se podría conocer este dato con precisión. Este factor impide el rastreo de las personas que lo padecen y ha hecho que se extienda con rapidez, entre otros motivos.

Pues bien, para paliar esta carencia, la recopilación masiva de datos de la población a través de los dispositivos móviles se torna fundamental puesto que controlará, al menos los movimientos, de determinadas personas y permite tener más elementos para predecir y trazar estrategias. Un avance significativo sería el poder controlar masivamente mediante la tecnología, la salud de los ciudadanos. Una app que permitiese conocer si se tiene la enfermedad o no y los controles de movimiento… Estas cuestiones serían impensables hace apenas unos meses, pero ahora, ante circunstancias excepcionales, no parece que sean medidas de ciencia ficción, sino medidas incluso necesarias.

El control de los datos, no solamente de movimientos sino de la salud de los individuos, será un probable paso a dar por todos los países desarrollados en el control de epidemias actuales y en el futuro.

La salud de los ciudadanos es un objetivo primordial, al que parecen supeditarse todos los demás, incluidos los derechos a la privacidad.

Hasta que la gravedad no se ve de manera muy directa, no se contemplan medidas restrictivas de derechos generalizadas,

pero cuando la gravedad acecha, entonces se justifica la restricción de derechos. Ya lo hemos vivido con la restricción de movimientos durante el estado de alarma. Y ahora lo estamos empezando a tolerar con los derechos en protección de datos , si esto supone cercenar la maldita pandemia.

 

El Considerando (46) del RGPD ya reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.

(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

Por lo tanto, como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).

La propia legislación de protección de datos contempla estas excepciones, por tanto, en casos de epidemia.

¿Usted estaría dispuesto a que se dieran sus datos de salud si eso supone cercar al virus e impedir la propagación a terceros que pueden desarrollar problemas respiratorios graves e incluso la muerte? ¿Cree que esto se puede convertir en una medida para prevenir futuras pandemias? Son muchas las preguntas que están encima de la mesa y nunca antes habían estado tan abiertas las respuestas.

Tenemos que remontarnos un siglo para encontrar un hecho precedente, la gripe que se cobró millones de vidas en todo el mundo. Pero hace un siglo no había, ni de lejos, un sistema de protección de derechos en materia de privacidad como ahora.

Por tanto nos encontramos con un escenario inaudito. Las soluciones también tienen que ser creativas y arriesgadas, porque el desafío es grande y hay que estar a la altura de las circunstancias.

Esperamos vuestros comentarios y reflexiones sobre estas cuestiones en todas nuestras redes sociales de LETRADOX Abogados,

 

Estamos a vuestra completa disposición 24 horas al día, si tienes dudas sobre los Límites a la protección de datos por el coronavirus. LETRADOX Abogados,

como siempre; y durante el estado de alarma en el email info@letradox.es

 

LETRADOX ABOGADOS

Domicilio social y sede central: C/ Jorge Juan nº141, 3ºA. Madrid

Tlfs: 912980061 / 645958948

info@letradox.es

www.letradox.com

 

 

#Protecciondedatos #letradox #abogados #coronavirus #empresas #datos #control #ia

 Límites a la protección de datos por el coronavirus. LETRADOX Abogados

Abogados asesoramiento protección de datos

28 de enero, Día Internacional de la Protección de Datos. Letradox® Abogados

/en /por

Se trata de  una fecha proclamada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los EEMM de la UE. El principal objetivo es el de informar y concienciar sobre los derechos y obligaciones como usuarios de Internet.

Al respecto, el Consejo de Europa proclamó esta fecha, como Día Europeo de la Protección de Datos en una resolución de 26 de abril de 2006 . 

Asimismo, encontramos el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal («Convenio 108»). Se trata del único instrumento internacional jurídicamente vinculante en el ámbito de la protección de datos.

La pretensión  del Convenio no es otra que la de  proteger el derecho a la vida privada. Este mismo está reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. 

Así pues, tanto los derechos relativos a la vida privada como a la protección de datos también están consagrados en la ley.  Concretamente,  en los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE y en el artículo 16 del TFUE.

Dicho Convenio 108, establece y reconoce  la obligación que debe darse entre las partes. Esta no es otra que la  de incorporar en su ordenamiento jurídico interno las disposiciones necesarias para garantizar el respeto de sus datos personales. 

Además, fue una de las principales fuentes de inspiración para la elaboración del acervo de la Unión Europea  en el ámbito de la protección de datos. 

Por lo tanto, la firma de dicho  Convenio 108, se consideró como el impulso para que en el año 1981 se regulase lo relativo al tratamiento automatizado de datos personales. 

Esto se debe a que anteriormente, solo se había incluido el reconocimiento de determinados Derechos Humanos. Únicamente se recogía el derecho y reconocimiento del respeto a la vida privada y familiar. Por lo que, no se había considerado, hasta ahora, el derecho a la protección de datos personales. 

Además,  este día  28 de  enero, se celebra en multitud de países, no sólo a nivel europeo. No obstante, mundialmente  es más conocido como “Data  Privacity Day”.

Así pues, durante este día, se pretender concienciar a ciudadanos sobre la importancia del tratamiento de nuestros datos personales y la LOPD.

Se pretende que tanto personas físicas como jurídicas tomen en consideración de la importancia de su buen tratamiento. Así como, de las consecuencias de la cesión o mala práctica en el uso de los mismos. 

En lo que concierne a nivel nacional,  encontramos la  Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. 

En el mismo Preámbulo, se destaca la protección de las personas físicas en relación con el tratamiento de datos personales. Y es que, se trata  de un derecho fundamental protegido por el art 18.4 de la CE. 

De esta manera, nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales. Dispuso en el precepto señalado ut supra, que:«la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. 

Por su parte, el Tribunal Constitucional ya señaló en su Sentencia 94/1998 de 4 de mayo que “nos encontramos ante un derecho fundamental a la protección de datos” que se reconoce a las personas. 

Igualmente, la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente. El cual  consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporciona. 

Lo que se pretende es la buena y correcta aplicación del Reglamento Europeo 2016/679 de 27 de abril de 2016 relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales. 

En definitiva, el avance tecnológico y las nuevas formas de comunicación hacen que el futuro de la protección de datos y la privacidad tengan más sentido que nunca. De tal modo, habrá que hacer frente a nuevos retos por lo que se necesitarán buenos profesionales en el sector. 

Desde Letradox® Abogados te garantizamos esfuerzo y trabajo para conseguir resultados satisfactorios.  

No dude en ponerse en contacto con nosotros. 

Contactar con cita previa 

Despacho en Madrid: 

Calle Jorge Juan nº141 Esc.Izd. 3ºA (junto a metro O´Donnell).

Despacho en Alcalá de Henares:

Calle Mayor nº26, 2ºB “Oficina Insula”.

Email: info@letradox.es

Teléfonos: 912980061 – 645958948

La página web de mi negocio incorpora un botón de “Me gusta” de nuestro perfil de empresa en Facebook, ¿Está permitido por la normativa de europea de protección de datos?

/en /por

La página web de mi negocio incorpora un botón de “Me gusta” de nuestro perfil de empresa en Facebook, ¿Está permitido por la normativa de europea de protección de datos?

Recientemente hemos conocido el fallo de la Sentencia del Tribunal de Justicia de la Unión Europea (Sala Segunda) de 29 de julio de 2019, en relación al procedimiento prejudicial Nº C- 40/17 .

En este mismo,  se determina que quién incorpora a su página web corporativa un botón de“me gusta” ( Facebook ) estaría haciendo un tratamiento de datos de carácter personal.

Este,  consiste  en recabar determinados datos de esos usuarios y facilitárselos a Facebook, que sería el  corresponsable de dicho tratamiento.

Los antecedentes del caso emergen de  una marca de ropa alemana denominada Fashion ID GmbH & Co. KG. Esta,  disponía en su página web del clásico botón de “me gusta” al cual puede acceder el usuario clicando sobre el mismo, pasando a convertirse en follower.

Además, en el caso de que  el usuario careciese  de perfil personal en Facebook, la empresa domiciliada en Irlanda, recibe determinados datos que después utiliza para finalidades propias.

El objetivo de incorporar esta funcionalidad a la página web de la empresa es claramente comercial, pues con ello podría optimizar la publicidad destinada a sus potenciales clientes, obteniendo con ello un beneficio económico.

Una asociación de consumidores alemana consideró que esta práctica vulneraba tanto la normativa interna del Estado alemán sobre competencia como la legislación europea de protección de datos.

Es por eso que,  acudió a los tribunales alemanes en defensa de los derechos de los consumidores por ellos representados.

El Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania, eleva cuestión prejudicial al Tribunal de Justicia de la Unión Europea.

El objetivo principal es que  resuelva, principalmente, dos puntos esenciales:
– Si una asociación de consumidores es competente para interponer acciones judiciales en materia de protección de datos

– Si la empresa de moda es considerada responsable del tratamiento. Por introducir un “módulo social” de Facebook en su página web. A la luz de la normativa europea sobre protección de datos.

Sobre el primero de estos puntos: dice la Sentencia analizada que no existe normativa europea. Ni que se oponga a “una normativa nacional que permite que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales. Ésta serán contra el presunto autor de una infracción de ese tipo”.

El Reglamento General de Protección de Datos de 2016:  autoriza expresamente en su artículo 80 a los particulares. Lo hace en relación a la protección de sus datos personales.

En este sentido; dicho precepto certifica:

“Dar mandato a una entidad, organización o asociación sin ánimo de lucro. La cual haya sido correctamente constituida con arreglo al Derecho de un Estado miembro. Esto es para que presente en su nombre la reclamación. También para que ejerza en su nombre los derechos”.

Por lo tanto, podemos interpretar lo siguiente. Que la asociación de interés público en defensa de los consumidores que plantea el litigio está perfectamente capacitada para ello. Se entiende que es en el plano procesal.

En relación a la segunda cuestión controvertida. Hemos de tener en cuenta que cuando una empresa inserta en su web un módulo social de Facebook: está permitiendo que la empresa Facebook Ireland ltd acceda a determinados datos de sus usuarios.

Si bien una vez el usuario es redirigido a la red social, la empresa de moda no tiene posibilidad de saber qué se tratamiento se realiza de esos datos.

Según la directiva de 1995, aplicable al caso, es considerado responsable del tratamiento: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales».

Todo ello, ; «en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o [de la Unión], el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o [de la Unión]”;

Se trata de una definición amplia del concepto de responsable, muchas veces matizado ya por la jurisprudencia del TJUE.  Precisamente se pretende una mayor protección de los particulares frente al tratamiento de sus datos de carácter personal.

Nos encontraríamos en este caso ante una responsabilidad conjunta en determinadas fases del tratamiento,. Esta misma pasará a compartirse  entre la empresa textil y Facebook Ireland ltd.
Sería en las fases de recogida de datos y su comunicación a Facebook donde la empresa de moda sería responsable. Aunque,  sin perjuicio de que existan otras fases del tratamiento  que puedan  realizarse  únicamente por Facebook, sin conocimiento ni intervención de la marca de moda.

Así, reza la sentencia  que: “el administrador de un sitio de Internet  que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante puede ser considerado responsable del tratamiento «.

Será por tanto,  responsable la empresa textil de las fases del tratamiento que realiza, debiendo entonces respetar la normativa en materia de protección de datos. Así como,  cumpliendo con las obligaciones que la legislación impone a los responsables del tratamiento.

Deberá informar al usuario del tratamiento de datos que va a realizarse, es decir, la recogida de los mismos y su posterior comunicación a Facebook. Asimismo, el  modo en el cuál puede ejercitar sus derechos al respecto.

Además, no podrá realizar dicho tratamiento si no está amparado por alguna de las fuentes de legitimación que recoge la normativa en materia.

En definitiva,  las empresas pueden incorporar este botón social en sus páginas web, pero deberán hacerlo con las debidas garantías.

Además, se les exigirá  un escrupuloso respeto a la legislación vigente en materia de protección de datos de carácter personal (Reglamento 2016/679 ).  Para  España, encontramos la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

 

En LETRADOX®ABOGADOS, conocemos de forma experta la materia. Si necesitas resolver cualquier duda, estamos a tu disposición. ¡Protege tus datos con Letradox@Abogados y su equipo de abogados profesionales!

 

Contactar con cita previa:

Despacho en Madrid:
Calle Jorge Juan nº141 Esc.Izd. 3ºA (junto a metro O´Donnell).

Despacho en Alcalá de Henares:
Calle Mayor nº26, 2ºB “Oficina Insula”.
(Contactar para reservar cita previa)

Email: info@letradox.es

Teléfonos: 912980061645958948

 

 

LETRADOX® entrevista al Referente en Asfalto y Carretera, J.J Potti

/0 Comentarios/en /por

 

 

En #REFERENTES de LETRADOX®️Abogados entrevistamos al Presidente de ASEFMA. Coincidiendo con los miles de desplazamientos por carretera en verano, qué mejor que conocer al #Referente en #Carretera, asfalto y movilidad, don Juan José Potti.

 

El Presidente de ASEFMA y director de la revista de Asfalto y Pavimentación nos habla de asfalto 4.0, la transformación digital del sector, coches autónomos y mucho más en esta entrevista…

 

Las entrevistas a los #REFERENTES del Derecho y la Empresa , en LETRADOX Abogados. www.Letradox.com

 

Defensa, asesoramiento, formación e información ¡Únete a la Comunidad LETRADOX®️! www.letradox.com Entrevista por Mercedes de Parada y Marián Rojo, abogadas de LETRADOX.

 

#coches #abogados #propiedadintelectual #abogadoscoches #carretera #transformaciondigital @itafec @asefma_es @jjpotti @repsol @aecarretera @Cepsa_ES @eapa_org @fomentogob