Entradas

Abogados protección de datos

Transferencias internacionales de datos. LETRADOX Abogados

Transferencias internacionales de datos. LETRADOX® Abogados

Nuestro Dpto. de Protección de Datos le asesora en las cuestiones internacionales de Protección de Datos.

 

ÍNDICE

1.    Introducción protección de datos España

 

  1. Impacto del tratamiento de datos en las empresas

 

3.    Transferencias internacionales de datos

 

  1. Nuevas cláusulas contractuales tipo

 

4.1.       Estructura

1.     INTRODUCCIÓN PROTECCIÓN DE DATOS ESPAÑA.

La protección de datos personales aparece ya en el artículo 18.4 de la Constitución Española: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

El 28 de enero de 1981, el Consejo de Europa aprueba el convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. España no formaba parte de la CEE pero firmó el Convenio.

La Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD) y la creación de la Agencia Española de Protección de Datos (AEDP) suponen la primera normativa de protección de datos en la legislación española.

La directiva 95/46/CE del Parlamento Europeo se traspuso en España a través de la LO 15/99 de Protección de Datos de carácter personal (LOPD).

A finales de 2018 llegó la vigente LO 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales.

Con anterioridad y fundamental en la regulación está el Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) con este reglamento el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea reforzaban y unificaban la protección de datos para todos los individuos dentro de la Unión Europea. También se ocupa de la exportación de datos personales fuera de la UE.

El objetivo principal del GDPR es dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE. La aplicación entró en vigor el pasado 25 de mayo de 2018 tras una transición de dos años y, a diferencia de una directiva, no obligó a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.

El nuevo régimen propuesto de protección de datos de la UE amplía el ámbito de aplicación de la legislación de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE. Proporciona una armonización

de los reglamentos de protección de datos en toda la UE, facilitando así que las empresas no europeas cumplan estas normas.

El GDPR aplica:

A los “controladores” y a los “procesadores” de datos.

Un controlador de datos indica cómo y por qué se procesan los datos personales, mientras que un procesador es la parte que realiza el procesamiento real de los datos. Por lo tanto, el controlador podría ser cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno. Un procesador podría ser una empresa de TI que realice el procesamiento de datos real.

Incluso si los controladores y procesadores están fuera de la UE, el GDPR seguirá aplicándose a ellos siempre y cuando se trate de datos pertenecientes a residentes de la UE.

Es responsabilidad del controlador asegurar que su procesador cumple con la ley de protección de datos y los procesadores deben respetar las reglas para mantener registros de sus actividades de procesamiento. Si los procesadores están involucrados en una violación de datos, son mucho más responsables bajo GDPR que estaban bajo la Ley de Protección de Datos.

Los puntos fundamentales del GDPR

Nueva gestión de los tratamientos: no será necesario notificar los tratamientos a la Agencia Española de Protección de Datos y, en su lugar, se deberá llevar internamente un registro de actividades de tratamiento. Aunque la entidad se pueda acoger a la excepción de menos de 250 trabajadores, por lo menos tendrá que tenerlos identificados.

Categorías especiales de datos: además de los ya existentes, se incluyen los datos genéticos y biométricos.

Base jurídica de los tratamientos: el consentimiento no será ya la causa principal de legalización de los tratamientos, sino que también podrán realizarse por habilitación legal, ejecución de un contrato, en interés vital de interesado o por interés legítimo del responsable. De basarse en el consentimiento, pasa a ser expreso requiriendo una clara acción afirmativa o declaración expresa.

Privacidad por diseño: supone tener presente a la privacidad durante todo el ciclo de vida del dato, desde antes de su obtención, pasando por las diferentes fases de tratamiento, hasta su destrucción.

Privacidad por defecto: supone obtener y tratar sólo aquellos datos necesarios para cumplir con la finalidad del tratamiento.

Responsabilidad proactiva o accountability: el responsable de tratamiento debe cumplir con las obligaciones del RGPD y ser capaz de demostrarlo, por lo que la documentación y trazabilidad son requisitos imprescindibles.

Enfoque basado en el riesgo: los responsables y encargados de tratamiento deberán adoptar medidas técnicas y organizativas apropiadas, para reducir o eliminar los riesgos detectados para los interesados en relación con el tratamiento de sus datos personales. Como el riesgo cero no existe, se debe lograr un riesgo residual aceptable.

Delegado de protección de datos: se deberá nombrar un DPD con carácter obligatorio en las administraciones públicas, cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, y cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o datos de condenas y sanciones penales.

El Proyecto de Ley Orgánica de Protección de Datos, de aprobarse en los términos actuales, permitirá que cuando exista DPD, la Agencia Española de Protección de Datos les pase durante un mes las reclamaciones que presenten los interesados para que intente dar solución a la misma. De no conseguirlo, continuará el procedimiento sancionador o de tutela de derechos correspondiente.

Evaluaciones de impacto en protección de datos: los tratamientos que impliquen un riesgo para los datos personales de los interesados requerirán una evaluación de impacto en protección de datos previa. En concreto lo requerirán el tratamiento a gran escala de categorías especiales de datos y datos de condenas y sanciones penales, la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o

que les afecten significativamente de modo similar y la observación sistemática a gran escala de una zona de acceso público.

Notificación de violaciones de seguridad de los datos personales: se deberán notificar aquellas violaciones que afecten a la confidencialidad, integridad o disponibilidad de los datos personales a la Agencia Española de Protección de Datos cuando exista un riesgo para los interesados. Si además, existe un alto riesgo para los interesados, se les deberá notificar a estos salvo que se hubieran tomado medidas previas que imposibilitaran el acceso de la información a terceros como el cifrado o se tomen medidas posteriores que eliminen la alta probabilidad de que se materialice ese riesgo.

2.     IMPACTO DEL TRATAMIENTO DE DATOS EN LAS EMPRESAS.

 

La regulación de protección de datos afecta de lleno a las empresas. Estamos en la era de la información y en este momento el GDPR endurece las condiciones para los ciudadanos y lar organizaciones que manejan información personal ajena.

El incumplimiento puede conllevar multas de hasta 20 millones de euros o el 4% de la facturación de la empresa.

Por ejemplo, la autoridad francesa impuso a Google una sanción de 50 millones de euros porque el tratamiento de los datos no estaba bien descrito. En este sentido se establece que para que el consentimiento de uso se considere informado el usuario debe conocer perfectamente para qué se van a emplear, en este caso se consideró que este requisito no estaba bien implementado.

En Alemania la autoridad alemana impuso a la compañía inmobiliaria Deutsche Wohen una sanción de 14,5 millones de euros por incumplimiento de la política de conservación de datos, al conservar éstos más tiempo del necesario.

Por la gravedad de las sanciones y por los derechos protegidos, los principios de privacidad y de respeto a la normativa deben estar integrados en toda la estructura de la empresa desde los departamentos de ventas y marketing a los de gestión y recursos humanos.

3.     TRANSFERENCIAS INTERNACIONALES DE DATOS.

La AEDP señala que las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea, mas Liechtenstein, Islandia y Noruega)

Las personas responsables y encargadas del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y se den los siguientes supuestos:

Destinatario declarado de nivel adecuado por la Comisión Europea. Las personas destinatarias de los datos se encuentres en un país, un territorio o uno o varios sectores específicos de este país u organización internacional que hay sido declarado de nivel de protección adecuado por la Comisión Europea. Hasta la fecha los países y territorios declarados como adecuados son:

  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de
  • Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
  • Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
  • Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016 (Decisión invalidada por el Tribunal de Justicia de la Unión Europea (TJUE) el 17 de julio de 2020).
  • Japón. Decisión de 23 de enero de 2019.
  • Reino Unido. Decisión de 28 de junio de 2021 (versión en inglés).

–    A falta de decisión de adecuación, con las siguientes garantías:

  1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
  2. Normas corporativas
  3. Cláusulas tipo de protección de datos adoptadas por la Comisión, las cuales abordaremos en el apartado
  4. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
  5. Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas
  6. Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas

A falta de decisión de adecuación y de garantías. Únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:

  1. La persona interesada haya dado explícitamente su

  1. La transferencia sea necesaria para la ejecución de un contrato entre las personas interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona
  2.  sea necesaria para la celebración o ejecución de un contrato, en interés de la persona interesada, entre la persona responsable del tratamiento y otra persona física o jurídica.
  3. o por razones importantes de interés público.

  1. La transferencia sea necesaria para la formulación, el ejercicio o la defensa de

  1.    proteger   los   intereses   vitales   de la persona interesada o de otras personas, cuando la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.
  2.  se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si (1) no es repetitiva, (2) afecta solo a un número limitado de personas interesadas, (3) es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades de la persona interesada, y (4) el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.

En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará a la persona interesada de la transferencia y de los intereses legítimos imperiosos perseguidos.

Cuándo se necesita una autorización expresa. Se necesitará autorización expresa de la agencia española de protección de datos cuando las garantía adecuadas se aporten mediante:

  • Cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado, que no hayan sido adoptadas por la Comisión Europea o
  • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para las personas

Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

4.     NUEVAS CLÁUSULAS CONTRACTUALES TIPO

 

Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.

Las nuevas   cláusulas   se   adaptan   al   RGPD   incorporando   los   principios   de

«accountability» y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II. No obstante, sigue siendo necesario que el exportador, en su caso ayudado por el importador, analice el impacto que la legislación del país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.

Las cláusulas contractuales de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedarán derogadas a partir del 27 de septiembre de 2021. No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.

Los contratos que utilicen las cláusulas contractuales de 2001/497/CE, 2004/915/CE o la Decisión 2010/87/UE tendrán un período de 15 meses para su adaptación a las nuevas cláusulas.

Las cuestiones más relevantes son:

4.1  Estructura

 

Tienen una estructura modular, siendo su redactado diferente dependiendo del escenario en el que se utilicen. En este sentido, contemplan cuatro escenarios diferentes de transferencias internacionales de datos:

  1.  responsable a responsable (R-R);
  2.  responsable a encargado (R-E);

  1.  encargado a responsable (E-R); y
  2.  encargado a encargado (E-E).

La estructura modular de las nuevas cláusulas en cuanto escenarios diferentes tiene en cuenta dos escenarios que no se contemplaban con las anteriores (E-R y E-E). De esta manera, las nuevas reflejan mejor la diversidad de escenarios presentes en la realidad.

Así, las cláusulas para todos los escenarios se dividen en cuatro secciones diferentes:

Una primera sección introductoria con cláusulas generales sobre interpretación y jerarquía.

Una segunda sección con las obligaciones de las partes.

Una tercera sección sobre obligaciones de análisis de normas locales y acceso a datos por parte de las autoridades.

Una cuarta sección con cláusulas finales como pueden ser, la cláusula de ley aplicable o la de jurisdicción. Asimismo, los escenarios R-R y E-R contienen dos anexos sobre características del tratamiento y medidas técnicas y organizativas, mientras que los escenarios R-E y E-E contienen un anexo adicional para listar a los subencargados del tratamiento.

Adicionalmente, las nuevas cláusulas contienen toda la información requerida para la contratación de encargados del tratamiento. Por lo tanto, en la medida en la que aplique, no será necesario firmar un contrato de encargo de tratamiento adicional a las cláusulas.

Estas cláusulas actualizadas tratan de solucionar las anteriores deficiencias implementando obligaciones que emanan de la GDPR. Destacando:

  • Se incorporan apartados expresamente previstos en el RGPD como la gestión de brechas de seguridad o la referencia a las medidas técnicas y organizativas del artículo 32 del RGPD. Las partes deben describir las medidas de seguridad técnicas y organizativas aplicadas, que incluirán las medidas adoptadas para ayudar a responder a las solicitudes de los

  • Se integra el principio de responsabilidad proactiva al obligar a las partes a demostrar el cumplimiento del contenido de las

  • Se crean obligaciones más detalladas en comparación con las establecidasen las anteriores CCT, lo que aumenta sustancialmente el nivel de diligencia debida para evaluar el impacto potencial de las leyes locales sobre los En este sentido, se incorporan algunas de las obligaciones señaladas por el TJUE en “Schrems II” y apoyadas por el CEPD.

La suscripción de las CCT actualizadas está condicionada a la realización previa de un análisis de impacto de la transferencia para verificar si el marco legislativo del país de destino es esencialmente equivalente al del país de origen de los datos. La Comisión ha introducido cierta flexibilidad en relación con los diferentes elementos que pueden tenerse en cuenta para realizar este análisis. Puede analizarse desde la jurisprudencia e informes de organismos de supervisión independientes hasta la experiencia practica documentada del exportador y/o del importador de datos.

  • Se refuerzan obligaciones como el deber del importador de notificar el al exportadorante una solicitud de divulgación de datos personales por parte de una autoridad, o el deber del importador de impugnar dicha solicitud y de, incluso, solicitar medidas cautelares si considera que existen razones suficientes para hacerlo. Asimismo, si un importador notifica al exportador la imposibilidad de cumplir con las CCT actaulizadas, el exportador puede identificar medidas adicionales para mitigar el riesgo del Si las medidas adicionales no permiten mitigar debidamente los riesgos, el exportador deberá suspender la transferencia

  • Se admiten las transferencias ulteriores por parte de importadores de datos a otros destinatarios para el ejercicio de reclamaciones legales relacionadas con procedimientos administrativos, judiciales o reglamentarios, así como para proteger intereses vitales del interesado u otra persona física.

  • Se admiten las transferencias ulteriores por parte de importadores de datos a otros destinatarios para el ejercicio de reclamaciones legales relacionadas con procedimientos administrativos, judiciales o reglamentarios, así como para proteger intereses vitales del interesado u otra persona física.

  • Con respecto al derecho del exportador de datos a obtener, previa solicitud, una copia de los contratos de subencargo del importador, se aclara que el importados puede reservarse la facultad de redactar el contrato de forma que proteja sus secretos comerciales u otra información confidencial. Se trata de una mejora con respecto a las anteriores que preveían la obligación de proporcionar copias sobre información comercial sin autorización.

  • Se prevé la adhesión de partes adicionales a las cláusulas ya suscritas, si bien esta cláusula es voluntaria y está sujeta a la aceptación por las partes contratantes y al cumplimiento de los anexos y medidas técnicas y organizativas de las cláusulas por parte del tercero.

 

Para adaptar su empresa a la normativa de protección de datos o bien consultarnos su caso sobre transferencias internacionales datos :

LETRADOX ABOGADOS

Tlf. 912980061 / 645958948

email: info@letradox.es

https://www.letradox.com

Transferencias internacionales de datos. LETRADOX® Abogados

HEARST recoge la opinión de LETRADOX® en Protección de Datos

HEARST recoge la opinión de LETRADOX® en Protección de Datos

LETRADOX® Abogados es un despacho que se ha caracterizado por ser referente en protección de datos y nuevas tecnologías. Así lo acreditan los medios que nos preguntan sobre estas materias. El último de ellos, de la editorial Hearst de Nueva York. 

Muchas gracias a la editorial HEARST por contar en vuestras publicaciones en octubre de 2020 con la opinión de LETRADOX® Abogados S.L.P. en temas tan importantes y de actualidad como la protección de datos y la privacidad en redes sociales.

Thank you very much HEARST for having in your publications in October 2020 the opinion of LETRADOX® Lawyers S.L.P. on such important and current issues as data protection and privacy in social networks.

 

En caso de que ud o su empresa necesiten de un abogado especialista en protección de datos, contáctenos sin compromiso en:

LETRADOX

Tlfs: 912980061 / 645958948

info@letradox.es

#proteccióndedatos #abogadosproteccióndedatos #dataprotection #socialnetworks #lawyers #privacy #abogadosexpertos #hearst #letradox #socialmedialawyers #influencers #dataprotectionlawyers

VÍDEO DE LA PUBLICACIÓN en este link: Letradox en Hearst

HEARST recoge la opinión de LETRADOX® en Protección de Datos

Reclamación exámenes online. Letradox® Abogados

Reclamación exámenes online. Letradox®Abogados

 

Reclamación exámenes online. Letradox®Abogados. 

Es destacada la proliferación actual del teletrabajo y la enseñanza online. Las circunstancias han obligado a cambiar la enseñanza en tiempos de alerta sanitaria. La realización de exámenes online en Universidades , oposiciones, Pruebas de Acceso etc no está exenta de problemas. (Ejemplo. Prueba de Acceso a la Abogacía del año 2020).

Algunos de éstos son los mencionados a continuación.

Si ud se ha visto afectado por alguna de estas vulneraciones, contacte sin compromiso con nosotros para saber qué derechos tiene y cómo actuar.

Los casos en los que se ven afectados los derechos de los estudiantes por las pruebas de evaluación online son, entre otros, los relativos a:

La protección de datos personales y el reconocimiento facial o grabación de las pruebas de evaluación online

De manera orientativa, la CRUE estableció el pasado mes de abril algunas alternativas de realización de pruebas de evaluación online.

Una de estas alternativas es el uso de herramientas tecnológicas de reconocimiento facial del alumno.

Respecto a esta última alternativa ha sido algo más cauta.

Acorde con el informe de la Agencia Española de Protección de Datos, el reconocimiento facial a través de plataformas tecnológicas requiere un acceso a los datos biométricos de cada individuo y por tanto deben de ser tratados conforme al RGPD.

La situación derivada de la COVID19 NO EXIME del cumplimiento de su tratamiento y tampoco, la suspensión de los Derechos Fundamentales. por ello esta legislación debe ser cumplida en la realización de las pruebas, para lo que resulta fundamental la adecuación de la empresa a la normativa de Protección de Datos.

A pesar de que la REACU ha permitido al cambio de memorias de verificación no deja de existir una responsabilidad Autonómica Universitaria de determinación de normas y planes de formación de procedimientos de evaluación que acrediten la igualdad entre los estudiantes.

Pero los datos biométricos suponen datos esenciales que para ser legitimados deben de justificar un interés público esencial que emana de una norma con rango de ley, que a su vez establezca un régimen de garantías de protección de los datos personales.

Sin embargo, el uso de estas plataformas de reconocimiento facial puede ser útiles cuando se preste un consentimiento libre, pero en ocasiones, en la realidad universitaria, puede existir una coacción indirecta sobre las decisiones que pueda tomar un alumno, por lo tanto, en las situaciones en las que existe un desequilibrio entre las partes no puede ser interpretado como libre consentimiento.

En estas ocasiones, en las que no pueda exista un libre consentimiento y no se ofrezcan otras alternativas supondrá una vulneración de los derechos del estudiante, pudiendo velar por su efectividad en los tribunales. Habiendo agotado los trámites internos que ofrece la universidad, se recurrirá por la vía jurisdiccional que conocerá será la Contencioso – Administrativa, impugnando del acuerdo alcanzado por la universidad.1

Del mismo modo que las pruebas orales realizadas tampoco podrán ser grabadas si consentimiento del alumno y, según normativas universitarias, estas de forma general serán públicas, por lo que deberá permitirse que estas pruebas, aunque realizadas telemáticamente, gocen se ese mismo carácter.

 

Escaso tiempo para la correcta realización de la prueba de evaluación

El análisis de varias normativas de universidades, entre las que se encuentran la Universidad de Málaga, Castilla y León, Navarra y Barcelona, establecen criterios similares en la realización de pruebas de evaluación.

Denota la transposición matizada de las normas estatales relativas a los deberes y derechos de los estudiantes y el RD 1393/2007, de 29 de octubre, por el que se establece la ordenación de las enseñanzas universitarias oficiales.

Se observan protocolos que deben ser seguidos para la realización de pruebas de evaluación: A efectos de tiempo, se establece un límite que puede ser excedido cuando este sea justificado por el profesor al departamento (artículo 12 de la normativa de evaluación de la UGR, en sintonía con normativa de evaluación de la Universidad de Zaragoza).

Poco se dice al respecto del tiempo mínimo que debe de tener una prueba.Tenemos que acudir al estudio de cada caso para valorar las circunstancias.

La CEUNE ha denunciado la desproporción de los exámenes online. Es debido a  la imposición de tiempo muy limitado para su desarrollo, tratando de garantizar que, al no tener de tiempo suficiente por pregunta, el alumno no copie.

Otros problemas que suelen existir en las pruebas online son los errores de conexión de los propios alumnos y de la propia plataforma del Centro. Por último podemos apuntar la necesidad de una igualdad entre todos los alumnos a fin de que no haya ningún trato discriminatorio.

Ya sea para la defensa en vía universitaria o si llegado el caso fuera necesaria intervención judicial y acudir a los tribunales de lo contencioso administrativo, en Letradox Abogados le podemos ayudar a defender sus derechos.

Reclamación exámenes online.

Letradox®Abogados

En toda España.

Tlfs. 912980061 / 645958948

info@letradox.es

www.letradox.com

 

Exámenes online. Abogados

International Data Transfers. LETRADOX® Lawyers S.L.P.

International Data Transfers. LETRADOX® Lawyers S.L.P.

 

Las Transferencias Internacionales de Datos. / Data Protection / Protección de Datos.

 

LETRADOX® Lawyers S.L.P.

C/ Jorge Juan 141, 3º Madrid

info@letradox.es

Tlfs: 912980061 / 645958948

www.letradox.com

La adaptación de las empresas internacionales en protección de datos es un requisito indispensable para su correcta puesta en marcha cumpliendo los parámetros legales.

En Letradox Abogados hemos realizado numerosos artículos recalcando la importancia de esta materia y hemos dado asesoramiento a empresas internacionales.

Hoy vamos a explicar algunas cuestiones en cuanto a las Transferencias Internacionales de Datos en relación al RGPD. Reglamento General de Protección de Datos:

  • No legal definition of transfer, international transfer or transfer to third countries (non-EEA countries)

Transfer EDPS’ definition: communication, disclosure or other wise making available of personal data, conducted with the knowledge or intention of a sender subject to the regulation that the recipient(s) will have access to it.

Cases in which there is no third country transfer : A data processing in a third-country is not automatically a transfer : can be a case of direct application of the GDPR and According to article 3 of the GDPR:

1.(…)

2.This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or the monitoring of their behaviour as far as their behaviour takes place within the Union.

One of the Principle: In the absence of an adequacy decision  ,data  transfer  may only take place under appropriate safeguards or under derogations allowed for in specific situations

  • Adequacy decision: Clear focus, Clear criteria in the GDPR and Clear mechanism for periodic review.

Requirements to implement appropriate safeguards: Enforce able rights and effective legal remedies for data subjects. The safe guards used must provide those rights or the third country guarantees that they are enforceable.

  • In certain cases authorization or approval by the supervisory authority.

En caso de que desee adaptar su empresa a los requisitos legales en protección de datos, póngase en contacto con nosotros:

Las Transferencias Internacionales de Datos. / Data Protection / Protección de Datos.

LETRADOX® Lawyers S.L.P.

C/ Jorge Juan 141, 3º Madrid

info@letradox.es

Tlfs: 912980061 / 645958948

Los límites a la protección de datos por el coronavirus. LETRADOX Abogados

Límites a la protección de datos por el coronavirus. LETRADOX Abogados

Protección de Datos & Coronavirus.

¿Hasta qué punto está la población española dispuesta a que se limiten sus derechos en protección de datos en pro de un objetivo de Salud pública y control de la pandemia #Covid19?

¿Es el rastreo de móviles el inicio del control digital masivo de la población y/o es una medida necesaria para frenar el #coronavirus?

ᵀᴴᴱ future is coming…

Reflexionamos sobre los derechos y sus límites en tiempos de excepcionalidad en este nuevo artículo de LETRADOX®️.

Hoy: protección de datos y coronavirus.

 

LETRADOX ABOGADOS

Domicilio social y sede central: C/ Jorge Juan nº141, 3ºA. Madrid

Tlfs: 912980061 / 645958948 

info@letradox.es

www.letradox.com 

 

Límites a la protección de datos por el coronavirus. LETRADOX Abogados

 

El Gobierno, en colaboración con las principales operadoras de España, rastreará los movimientos de 40 millones de móviles para controlar al coronavirus.

Esta operación se llama DataCovid y aseguran que es para tener los datos de movimientos, sin individualizarlos. Aunque la finalidad es loable no es menos cierto que supone el inicio de una “relajación” en los derechos de protección de datos y genera dudas en el sector.

En primer lugar, hemos de apuntar, tal y como afirman los expertos médicos y científicos en la materia, reputados epidemiólogos de todo el mundo, que el gran peligro de este nuevo coronavirus que provoca la enfermedad Covid19, es que entre un 20% y un 30% de las personas que lo contraen son asintomáticas. Es decir, no sabemos quien lo tiene y quien no por meros rastros externos de síntomas (tos, fiebre…etc), y solamente con un test de detección (temprana) generalizado para toda la población se podría conocer este dato con precisión. Este factor impide el rastreo de las personas que lo padecen y ha hecho que se extienda con rapidez, entre otros motivos.

Pues bien, para paliar esta carencia, la recopilación masiva de datos de la población a través de los dispositivos móviles se torna fundamental puesto que controlará, al menos los movimientos, de determinadas personas y permite tener más elementos para predecir y trazar estrategias. Un avance significativo sería el poder controlar masivamente mediante la tecnología, la salud de los ciudadanos. Una app que permitiese conocer si se tiene la enfermedad o no y los controles de movimiento… Estas cuestiones serían impensables hace apenas unos meses, pero ahora, ante circunstancias excepcionales, no parece que sean medidas de ciencia ficción, sino medidas incluso necesarias.

El control de los datos, no solamente de movimientos sino de la salud de los individuos, será un probable paso a dar por todos los países desarrollados en el control de epidemias actuales y en el futuro.

La salud de los ciudadanos es un objetivo primordial, al que parecen supeditarse todos los demás, incluidos los derechos a la privacidad.

Hasta que la gravedad no se ve de manera muy directa, no se contemplan medidas restrictivas de derechos generalizadas,

pero cuando la gravedad acecha, entonces se justifica la restricción de derechos. Ya lo hemos vivido con la restricción de movimientos durante el estado de alarma. Y ahora lo estamos empezando a tolerar con los derechos en protección de datos , si esto supone cercenar la maldita pandemia.

 

El Considerando (46) del RGPD ya reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.

(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

Por lo tanto, como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).

La propia legislación de protección de datos contempla estas excepciones, por tanto, en casos de epidemia.

¿Usted estaría dispuesto a que se dieran sus datos de salud si eso supone cercar al virus e impedir la propagación a terceros que pueden desarrollar problemas respiratorios graves e incluso la muerte? ¿Cree que esto se puede convertir en una medida para prevenir futuras pandemias? Son muchas las preguntas que están encima de la mesa y nunca antes habían estado tan abiertas las respuestas.

Tenemos que remontarnos un siglo para encontrar un hecho precedente, la gripe que se cobró millones de vidas en todo el mundo. Pero hace un siglo no había, ni de lejos, un sistema de protección de derechos en materia de privacidad como ahora.

Por tanto nos encontramos con un escenario inaudito. Las soluciones también tienen que ser creativas y arriesgadas, porque el desafío es grande y hay que estar a la altura de las circunstancias.

Esperamos vuestros comentarios y reflexiones sobre estas cuestiones en todas nuestras redes sociales de LETRADOX Abogados,

 

Estamos a vuestra completa disposición 24 horas al día, si tienes dudas sobre los Límites a la protección de datos por el coronavirus. LETRADOX Abogados,

como siempre; y durante el estado de alarma en el email info@letradox.es

 

LETRADOX ABOGADOS

Domicilio social y sede central: C/ Jorge Juan nº141, 3ºA. Madrid

Tlfs: 912980061 / 645958948

info@letradox.es

www.letradox.com

 

 

#Protecciondedatos #letradox #abogados #coronavirus #empresas #datos #control #ia

 Límites a la protección de datos por el coronavirus. LETRADOX Abogados

Abogados asesoramiento protección de datos

28 de enero, Día Internacional de la Protección de Datos. Letradox® Abogados

Se trata de  una fecha proclamada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los EEMM de la UE. El principal objetivo es el de informar y concienciar sobre los derechos y obligaciones como usuarios de Internet.

Al respecto, el Consejo de Europa proclamó esta fecha, como Día Europeo de la Protección de Datos en una resolución de 26 de abril de 2006 . 

Asimismo, encontramos el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal («Convenio 108»). Se trata del único instrumento internacional jurídicamente vinculante en el ámbito de la protección de datos.

La pretensión  del Convenio no es otra que la de  proteger el derecho a la vida privada. Este mismo está reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. 

Así pues, tanto los derechos relativos a la vida privada como a la protección de datos también están consagrados en la ley.  Concretamente,  en los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE y en el artículo 16 del TFUE.

Dicho Convenio 108, establece y reconoce  la obligación que debe darse entre las partes. Esta no es otra que la  de incorporar en su ordenamiento jurídico interno las disposiciones necesarias para garantizar el respeto de sus datos personales. 

Además, fue una de las principales fuentes de inspiración para la elaboración del acervo de la Unión Europea  en el ámbito de la protección de datos. 

Por lo tanto, la firma de dicho  Convenio 108, se consideró como el impulso para que en el año 1981 se regulase lo relativo al tratamiento automatizado de datos personales. 

Esto se debe a que anteriormente, solo se había incluido el reconocimiento de determinados Derechos Humanos. Únicamente se recogía el derecho y reconocimiento del respeto a la vida privada y familiar. Por lo que, no se había considerado, hasta ahora, el derecho a la protección de datos personales. 

Además,  este día  28 de  enero, se celebra en multitud de países, no sólo a nivel europeo. No obstante, mundialmente  es más conocido como “Data  Privacity Day”.

Así pues, durante este día, se pretender concienciar a ciudadanos sobre la importancia del tratamiento de nuestros datos personales y la LOPD.

Se pretende que tanto personas físicas como jurídicas tomen en consideración de la importancia de su buen tratamiento. Así como, de las consecuencias de la cesión o mala práctica en el uso de los mismos. 

En lo que concierne a nivel nacional,  encontramos la  Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. 

En el mismo Preámbulo, se destaca la protección de las personas físicas en relación con el tratamiento de datos personales. Y es que, se trata  de un derecho fundamental protegido por el art 18.4 de la CE. 

De esta manera, nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales. Dispuso en el precepto señalado ut supra, que:«la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. 

Por su parte, el Tribunal Constitucional ya señaló en su Sentencia 94/1998 de 4 de mayo que “nos encontramos ante un derecho fundamental a la protección de datos” que se reconoce a las personas. 

Igualmente, la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente. El cual  consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporciona. 

Lo que se pretende es la buena y correcta aplicación del Reglamento Europeo 2016/679 de 27 de abril de 2016 relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales. 

En definitiva, el avance tecnológico y las nuevas formas de comunicación hacen que el futuro de la protección de datos y la privacidad tengan más sentido que nunca. De tal modo, habrá que hacer frente a nuevos retos por lo que se necesitarán buenos profesionales en el sector. 

Desde Letradox® Abogados te garantizamos esfuerzo y trabajo para conseguir resultados satisfactorios.  

No dude en ponerse en contacto con nosotros. 

Contactar con cita previa 

Despacho en Madrid: 

Calle Jorge Juan nº141 Esc.Izd. 3ºA (junto a metro O´Donnell).

Despacho en Alcalá de Henares:

Calle Mayor nº26, 2ºB “Oficina Insula”.

Email: info@letradox.es

Teléfonos: 912980061 – 645958948

La página web de mi negocio incorpora un botón de “Me gusta” de nuestro perfil de empresa en Facebook, ¿Está permitido por la normativa de europea de protección de datos?

La página web de mi negocio incorpora un botón de “Me gusta” de nuestro perfil de empresa en Facebook, ¿Está permitido por la normativa de europea de protección de datos?

Recientemente hemos conocido el fallo de la Sentencia del Tribunal de Justicia de la Unión Europea (Sala Segunda) de 29 de julio de 2019, en relación al procedimiento prejudicial Nº C- 40/17 .

En este mismo,  se determina que quién incorpora a su página web corporativa un botón de“me gusta” ( Facebook ) estaría haciendo un tratamiento de datos de carácter personal.

Este,  consiste  en recabar determinados datos de esos usuarios y facilitárselos a Facebook, que sería el  corresponsable de dicho tratamiento.

Los antecedentes del caso emergen de  una marca de ropa alemana denominada Fashion ID GmbH & Co. KG. Esta,  disponía en su página web del clásico botón de “me gusta” al cual puede acceder el usuario clicando sobre el mismo, pasando a convertirse en follower.

Además, en el caso de que  el usuario careciese  de perfil personal en Facebook, la empresa domiciliada en Irlanda, recibe determinados datos que después utiliza para finalidades propias.

El objetivo de incorporar esta funcionalidad a la página web de la empresa es claramente comercial, pues con ello podría optimizar la publicidad destinada a sus potenciales clientes, obteniendo con ello un beneficio económico.

Una asociación de consumidores alemana consideró que esta práctica vulneraba tanto la normativa interna del Estado alemán sobre competencia como la legislación europea de protección de datos.

Es por eso que,  acudió a los tribunales alemanes en defensa de los derechos de los consumidores por ellos representados.

El Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania, eleva cuestión prejudicial al Tribunal de Justicia de la Unión Europea.

El objetivo principal es que  resuelva, principalmente, dos puntos esenciales:
– Si una asociación de consumidores es competente para interponer acciones judiciales en materia de protección de datos

– Si la empresa de moda es considerada responsable del tratamiento. Por introducir un “módulo social” de Facebook en su página web. A la luz de la normativa europea sobre protección de datos.

Sobre el primero de estos puntos: dice la Sentencia analizada que no existe normativa europea. Ni que se oponga a “una normativa nacional que permite que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales. Ésta serán contra el presunto autor de una infracción de ese tipo”.

El Reglamento General de Protección de Datos de 2016:  autoriza expresamente en su artículo 80 a los particulares. Lo hace en relación a la protección de sus datos personales.

En este sentido; dicho precepto certifica:

“Dar mandato a una entidad, organización o asociación sin ánimo de lucro. La cual haya sido correctamente constituida con arreglo al Derecho de un Estado miembro. Esto es para que presente en su nombre la reclamación. También para que ejerza en su nombre los derechos”.

Por lo tanto, podemos interpretar lo siguiente. Que la asociación de interés público en defensa de los consumidores que plantea el litigio está perfectamente capacitada para ello. Se entiende que es en el plano procesal.

En relación a la segunda cuestión controvertida. Hemos de tener en cuenta que cuando una empresa inserta en su web un módulo social de Facebook: está permitiendo que la empresa Facebook Ireland ltd acceda a determinados datos de sus usuarios.

Si bien una vez el usuario es redirigido a la red social, la empresa de moda no tiene posibilidad de saber qué se tratamiento se realiza de esos datos.

Según la directiva de 1995, aplicable al caso, es considerado responsable del tratamiento: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales”.

Todo ello, ; “en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o [de la Unión], el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o [de la Unión]”;

Se trata de una definición amplia del concepto de responsable, muchas veces matizado ya por la jurisprudencia del TJUE.  Precisamente se pretende una mayor protección de los particulares frente al tratamiento de sus datos de carácter personal.

Nos encontraríamos en este caso ante una responsabilidad conjunta en determinadas fases del tratamiento,. Esta misma pasará a compartirse  entre la empresa textil y Facebook Ireland ltd.
Sería en las fases de recogida de datos y su comunicación a Facebook donde la empresa de moda sería responsable. Aunque,  sin perjuicio de que existan otras fases del tratamiento  que puedan  realizarse  únicamente por Facebook, sin conocimiento ni intervención de la marca de moda.

Así, reza la sentencia  que: “el administrador de un sitio de Internet  que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante puede ser considerado responsable del tratamiento “.

Será por tanto,  responsable la empresa textil de las fases del tratamiento que realiza, debiendo entonces respetar la normativa en materia de protección de datos. Así como,  cumpliendo con las obligaciones que la legislación impone a los responsables del tratamiento.

Deberá informar al usuario del tratamiento de datos que va a realizarse, es decir, la recogida de los mismos y su posterior comunicación a Facebook. Asimismo, el  modo en el cuál puede ejercitar sus derechos al respecto.

Además, no podrá realizar dicho tratamiento si no está amparado por alguna de las fuentes de legitimación que recoge la normativa en materia.

En definitiva,  las empresas pueden incorporar este botón social en sus páginas web, pero deberán hacerlo con las debidas garantías.

Además, se les exigirá  un escrupuloso respeto a la legislación vigente en materia de protección de datos de carácter personal (Reglamento 2016/679 ).  Para  España, encontramos la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

 

En LETRADOX®ABOGADOS, conocemos de forma experta la materia. Si necesitas resolver cualquier duda, estamos a tu disposición. ¡Protege tus datos con Letradox@Abogados y su equipo de abogados profesionales!

 

Contactar con cita previa:

Despacho en Madrid:
Calle Jorge Juan nº141 Esc.Izd. 3ºA (junto a metro O´Donnell).

Despacho en Alcalá de Henares:
Calle Mayor nº26, 2ºB “Oficina Insula”.
(Contactar para reservar cita previa)

Email: info@letradox.es

Teléfonos: 912980061645958948

 

 

LETRADOX® entrevista al Referente en Asfalto y Carretera, J.J Potti

 

 

En #REFERENTES de LETRADOX®️Abogados entrevistamos al Presidente de ASEFMA. Coincidiendo con los miles de desplazamientos por carretera en verano, qué mejor que conocer al #Referente en #Carretera, asfalto y movilidad, don Juan José Potti.

 

El Presidente de ASEFMA y director de la revista de Asfalto y Pavimentación nos habla de asfalto 4.0, la transformación digital del sector, coches autónomos y mucho más en esta entrevista…

 

Las entrevistas a los #REFERENTES del Derecho y la Empresa , en LETRADOX Abogados. www.Letradox.com

 

Defensa, asesoramiento, formación e información ¡Únete a la Comunidad LETRADOX®️! www.letradox.com Entrevista por Mercedes de Parada y Marián Rojo, abogadas de LETRADOX.

 

#coches #abogados #propiedadintelectual #abogadoscoches #carretera #transformaciondigital @itafec @asefma_es @jjpotti @repsol @aecarretera @Cepsa_ES @eapa_org @fomentogob

LETRADOX® entrevista al Presidente de la Asociación de Delegados de Protección de Datos. Referente en Privacidad.

LETRADOX® entrevista al Presidente ADPD de España

 

LETRADOX® entrevista al Presidente ADPD de España.

🎯Hoy en #Referentes de LETRADOX®️Abogados el Presidente de la Asociación Española de Delegados de Protección de Datos, don Jorge Badiola. El #Referente en Privacidad. 

La AEDPD está integrada por la élite del conocimiento en España en privacidad. 

¡Disfrutad de la entrevista de la letrada Marián Rojo a todo un #Referente! 

Las entrevistas a los #Referentes del mundo del Derecho y de la Empresa, en LETRADOX 

LETRADOX Abogados 

www.letradox.com 

 

#DPD #Abogadosnuevastecnologias #nuevastecnologias #Abogados #Privacidad #ProteccióndeDatos #DelegadoProtecciondedatos #bigdata #Legaltech #Letradox 

Infracciones, multas, sanciones

Guía de actuación ante la sanción de la AEPD. Letradox Abogados

Guía de actuación ante la sanción de la AEPD. Letradox Abogados.

La AEPD cuando recibe una denuncia o reclamación. Solicita los siguientes documentos que sería conveniente que se aportaran ante la AEPD. Con la finalidad de darle respuesta a la solicitud de información formulada por la Agencia.

  1. Si la reclamación esta relacionada con la instalación de cámaras de videovigilancia:
  • Se tiene que facilitar a la Agencia fotografías del cartel o carteles informativos en las que se posible apreciar tanto su ubicación como los datos mostrados.
  • Copia de las comunicaciones informativas remitidas a los trabajadores para informales de la finalidad de la instalación de las cámaras.
  • En el caso de que se haya encargado a un tercero la visualización y tratamiento de las imagines captadas por las cámaras, aportar copia del contrato suscrito.
  • Marca y modelo de las cámaras y lugares donde están instaladas. De forma que se acredite las imágenes captadas por las cámaras.
  • Indicación del plazo de conservación de la imágenes registradas. Medidas adoptadas para garantizar que solo personal autorizado accede a las grabaciones.
  • Copia del registro de actividades del tratamiento en relación al tratamiento realizado.

2. Si la reclamación esta relacionada con la inclusión en un fichero de solvencia patrimonial:

  • Documentos justificativos del requerimiento previo de pago y de su entrega a su destinatario o de su no rechazo.
  • Documento justificativo de la exclusión de fichero de morosidad, en su caso.
  • Contrato con el afectado.
  • Documento acreditativo de la identidad del afectado solicitado en el momento de la contratación.
  • Detalle de los datos del afectado que obran en sus sistemas y origen de los mismos.

3. Si la reclamación esta relacionada con la publicación de datos personales en internet:

  • Datos de la cuenta utilizada para la publicación (correo electrónico, IPS, etc).
  • Política de privacidad e información proporcionada al usuario a la que se refiere el art.13 RGPD.
  • Documento justificativo del consentimiento del afectado para la publicación.
  • Documento justificativo de la eliminación de la información, en su caso.
  • Documento justificativo de la cancelación de los datos, en su caso.
  • Documento justificativo de la corrección del error ( en casos de cruces de datos, por ejemplo).

4. Si la reclamación esta relacionada con publicidad y comunicaciones comerciales o promocionales:

  • Documento acreditativo del consentimiento del afectado. Origen de los datos personales del afectado en sus sistemas y modo de obtención.
  • Documento justificativo de la cancelación de datos personales para tratamiento con fines publicitarios, en su caso.

Una vez que haya aportado la documentación requerida, la agencia adopta:

  • La decisión adoptada a propósito de esta reclamación.
  • En el supuesto de ejercicio de derechos regulados del artículo 15 al 22 del RGPD, acreditación de la respuesta facilitada al reclamante.
  • Informe sobre las causas que han motivado la incidencia que ha originado la presente reclamación.
  • Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares, fecha de implantación de las mismas y controles efectuados para comprobar su eficacia.
  • Cualquier otra que considere relevante.

En cuanto a la forma en la que podrá iniciarse el procedimiento dependerá del tipo de procedimiento.

Puede ser de oficio o a instancia de parte:

  • Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD. En este caso, cuando se presentase ante la AEPD una reclamación. La agencia evalúa su admisibilidad a trámite.  Por tanto, debe tenerse en cuenta que no toda reclamación determina en el inicio automático del procedimiento.
  • Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD y la normativa española de protección de datos. Se iniciará de oficio por la AEPD o por la reclamación interpuesta por el interesado.
  • Por la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la UE de la reclamación formulada ante la agencia.


Plazos de resolución del procedimiento:

Los plazos en los que la AEPD deberá de dictar resolución vendrán determinados por el supuesto de hecho que haya motivado la incoación del procedimiento.

  • En los supuestos en que el procedimiento se refiera exclusivamente a la falta de atención de los artículos 15 a 22 del RGPD. El plazo para resolver el procedimiento será de seis meses. (A contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite).
  • Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD. El procedimiento tendrá una duración máxima de nueve meses.
  • En el caso de que la AEPD recibiese comunicación por parte de la autoridad de control de otro Estado miembro de la UE de la reclamación formulada ante la misma. El plazo será de nueve meses.

Efectos de la ausencia de resolución en el plazo legalmente establecido.

Si la AEPD no cumple con los plazos establecidos. La falta de resolución expresa dentro del plazo establecido. Conlleva a unas diferentes consecuencias:

  • Se considera estimada la reclamación por la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.
    En los procedimientos en los que la AEPD actué de oficio. Transcurridos nueve meses a contar desde la fecha del acuerdo de inicio. Se producirá su caducidad. Lo cual conlleva al archivo de actuaciones.

Las resoluciones de la agencia ponen fin a la vía administrativa. Ello significa que si una persona o entidad no esta conforme con la resolución. Puede recurrirla. Tiene dos vías:

  • Recurso de Reposición ante el Director de la Agencia Española de Protección de Datos
  • Recurso contencioso-administrativo ante la Audiencia Nacional.

Estos dos recursos no son excluyentes entre ellos. Se puede interponer recurso de reposición. En el caso de que la resolución sea negativa, se puede interponer recurso contencioso-administrativo. También, cabría la opción de interponerlo directamente el recurso contencioso-administrativo. Por tanto, si queremos recurrir una resolución de la AEPD tenemos dos opciones.

Recurso de Reposición ante el Director de la Agencia Española de Protección de Datos:

  • El plazo para interponer el recurso de reposición es de un mes a contar desde que se notificase la resolución de la AEPD.
    Contra la resolución de este recurso solo se puede acudir a los Tribunales a través de la interposición de un recurso contencioso-administrativo.
  • El plazo de la AEPD para contestar este recurso es de un mes.

Recurso contencioso-administrativo ante la Sala contencioso-administrativa de la Audiencia Nacional:

  • El plazo para interponer el recurso contencioso administrativo es de dos meses a contar desde que se notifica la resolución de la AEPD.

En caso de que primero se interponga recurso de reposición ante el Director de la AEPD, el plazo para interponer el recurso contencioso ante la Audiencia Nacional será: dos meses desde que se dicte la resolución del recurso de reposición. Sin embargo, si la AEPD no resuelve el recurso de reposición. El plazo es de seis meses a contar desde que debiera haberse resuelto el recurso de reposición.