LETRADOX® ABOGADOS celebra el DÍA DE GALICIA
Vídeo Presentación de LETRADOX® Abogados en Galicia
Vídeo Presentación de LETRADOX® Abogados en Galicia
Transferencias internacionales de datos. LETRADOX® Abogados
Nuestro Dpto. de Protección de Datos le asesora en las cuestiones internacionales de Protección de Datos.
ÍNDICE
La protección de datos personales aparece ya en el artículo 18.4 de la Constitución Española: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
El 28 de enero de 1981, el Consejo de Europa aprueba el convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. España no formaba parte de la CEE pero firmó el Convenio.
La Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD) y la creación de la Agencia Española de Protección de Datos (AEDP) suponen la primera normativa de protección de datos en la legislación española.
La directiva 95/46/CE del Parlamento Europeo se traspuso en España a través de la LO 15/99 de Protección de Datos de carácter personal (LOPD).
A finales de 2018 llegó la vigente LO 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales.
Con anterioridad y fundamental en la regulación está el Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) con este reglamento el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea reforzaban y unificaban la protección de datos para todos los individuos dentro de la Unión Europea. También se ocupa de la exportación de datos personales fuera de la UE.
El objetivo principal del GDPR es dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE. La aplicación entró en vigor el pasado 25 de mayo de 2018 tras una transición de dos años y, a diferencia de una directiva, no obligó a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.
El nuevo régimen propuesto de protección de datos de la UE amplía el ámbito de aplicación de la legislación de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE. Proporciona una armonización
de los reglamentos de protección de datos en toda la UE, facilitando así que las empresas no europeas cumplan estas normas.
El GDPR aplica:
A los “controladores” y a los “procesadores” de datos.
Un controlador de datos indica cómo y por qué se procesan los datos personales, mientras que un procesador es la parte que realiza el procesamiento real de los datos. Por lo tanto, el controlador podría ser cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno. Un procesador podría ser una empresa de TI que realice el procesamiento de datos real.
Incluso si los controladores y procesadores están fuera de la UE, el GDPR seguirá aplicándose a ellos siempre y cuando se trate de datos pertenecientes a residentes de la UE.
Es responsabilidad del controlador asegurar que su procesador cumple con la ley de protección de datos y los procesadores deben respetar las reglas para mantener registros de sus actividades de procesamiento. Si los procesadores están involucrados en una violación de datos, son mucho más responsables bajo GDPR que estaban bajo la Ley de Protección de Datos.
Los puntos fundamentales del GDPR
Nueva gestión de los tratamientos: no será necesario notificar los tratamientos a la Agencia Española de Protección de Datos y, en su lugar, se deberá llevar internamente un registro de actividades de tratamiento. Aunque la entidad se pueda acoger a la excepción de menos de 250 trabajadores, por lo menos tendrá que tenerlos identificados.
Categorías especiales de datos: además de los ya existentes, se incluyen los datos genéticos y biométricos.
Base jurídica de los tratamientos: el consentimiento no será ya la causa principal de legalización de los tratamientos, sino que también podrán realizarse por habilitación legal, ejecución de un contrato, en interés vital de interesado o por interés legítimo del responsable. De basarse en el consentimiento, pasa a ser expreso requiriendo una clara acción afirmativa o declaración expresa.
Privacidad por diseño: supone tener presente a la privacidad durante todo el ciclo de vida del dato, desde antes de su obtención, pasando por las diferentes fases de tratamiento, hasta su destrucción.
Privacidad por defecto: supone obtener y tratar sólo aquellos datos necesarios para cumplir con la finalidad del tratamiento.
Responsabilidad proactiva o accountability: el responsable de tratamiento debe cumplir con las obligaciones del RGPD y ser capaz de demostrarlo, por lo que la documentación y trazabilidad son requisitos imprescindibles.
Enfoque basado en el riesgo: los responsables y encargados de tratamiento deberán adoptar medidas técnicas y organizativas apropiadas, para reducir o eliminar los riesgos detectados para los interesados en relación con el tratamiento de sus datos personales. Como el riesgo cero no existe, se debe lograr un riesgo residual aceptable.
Delegado de protección de datos: se deberá nombrar un DPD con carácter obligatorio en las administraciones públicas, cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, y cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o datos de condenas y sanciones penales.
El Proyecto de Ley Orgánica de Protección de Datos, de aprobarse en los términos actuales, permitirá que cuando exista DPD, la Agencia Española de Protección de Datos les pase durante un mes las reclamaciones que presenten los interesados para que intente dar solución a la misma. De no conseguirlo, continuará el procedimiento sancionador o de tutela de derechos correspondiente.
Evaluaciones de impacto en protección de datos: los tratamientos que impliquen un riesgo para los datos personales de los interesados requerirán una evaluación de impacto en protección de datos previa. En concreto lo requerirán el tratamiento a gran escala de categorías especiales de datos y datos de condenas y sanciones penales, la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o
que les afecten significativamente de modo similar y la observación sistemática a gran escala de una zona de acceso público.
Notificación de violaciones de seguridad de los datos personales: se deberán notificar aquellas violaciones que afecten a la confidencialidad, integridad o disponibilidad de los datos personales a la Agencia Española de Protección de Datos cuando exista un riesgo para los interesados. Si además, existe un alto riesgo para los interesados, se les deberá notificar a estos salvo que se hubieran tomado medidas previas que imposibilitaran el acceso de la información a terceros como el cifrado o se tomen medidas posteriores que eliminen la alta probabilidad de que se materialice ese riesgo.
La regulación de protección de datos afecta de lleno a las empresas. Estamos en la era de la información y en este momento el GDPR endurece las condiciones para los ciudadanos y lar organizaciones que manejan información personal ajena.
El incumplimiento puede conllevar multas de hasta 20 millones de euros o el 4% de la facturación de la empresa.
Por ejemplo, la autoridad francesa impuso a Google una sanción de 50 millones de euros porque el tratamiento de los datos no estaba bien descrito. En este sentido se establece que para que el consentimiento de uso se considere informado el usuario debe conocer perfectamente para qué se van a emplear, en este caso se consideró que este requisito no estaba bien implementado.
En Alemania la autoridad alemana impuso a la compañía inmobiliaria Deutsche Wohen una sanción de 14,5 millones de euros por incumplimiento de la política de conservación de datos, al conservar éstos más tiempo del necesario.
Por la gravedad de las sanciones y por los derechos protegidos, los principios de privacidad y de respeto a la normativa deben estar integrados en toda la estructura de la empresa desde los departamentos de ventas y marketing a los de gestión y recursos humanos.
La AEDP señala que las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea, mas Liechtenstein, Islandia y Noruega)
Las personas responsables y encargadas del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y se den los siguientes supuestos:
Destinatario declarado de nivel adecuado por la Comisión Europea. Las personas destinatarias de los datos se encuentres en un país, un territorio o uno o varios sectores específicos de este país u organización internacional que hay sido declarado de nivel de protección adecuado por la Comisión Europea. Hasta la fecha los países y territorios declarados como adecuados son:
– A falta de decisión de adecuación, con las siguientes garantías:
A falta de decisión de adecuación y de garantías. Únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:
Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si (1) no es repetitiva, (2) afecta solo a un número limitado de personas interesadas, (3) es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades de la persona interesada, y (4) el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.
En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará a la persona interesada de la transferencia y de los intereses legítimos imperiosos perseguidos.
Cuándo se necesita una autorización expresa. Se necesitará autorización expresa de la agencia española de protección de datos cuando las garantía adecuadas se aporten mediante:
Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.
Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.
Las nuevas cláusulas se adaptan al RGPD incorporando los principios de
«accountability» y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II. No obstante, sigue siendo necesario que el exportador, en su caso ayudado por el importador, analice el impacto que la legislación del país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.
Las cláusulas contractuales de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedarán derogadas a partir del 27 de septiembre de 2021. No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.
Los contratos que utilicen las cláusulas contractuales de 2001/497/CE, 2004/915/CE o la Decisión 2010/87/UE tendrán un período de 15 meses para su adaptación a las nuevas cláusulas.
Las cuestiones más relevantes son:
Tienen una estructura modular, siendo su redactado diferente dependiendo del escenario en el que se utilicen. En este sentido, contemplan cuatro escenarios diferentes de transferencias internacionales de datos:
La estructura modular de las nuevas cláusulas en cuanto escenarios diferentes tiene en cuenta dos escenarios que no se contemplaban con las anteriores (E-R y E-E). De esta manera, las nuevas reflejan mejor la diversidad de escenarios presentes en la realidad.
Así, las cláusulas para todos los escenarios se dividen en cuatro secciones diferentes:
Una primera sección introductoria con cláusulas generales sobre interpretación y jerarquía.
Una segunda sección con las obligaciones de las partes.
Una tercera sección sobre obligaciones de análisis de normas locales y acceso a datos por parte de las autoridades.
Una cuarta sección con cláusulas finales como pueden ser, la cláusula de ley aplicable o la de jurisdicción. Asimismo, los escenarios R-R y E-R contienen dos anexos sobre características del tratamiento y medidas técnicas y organizativas, mientras que los escenarios R-E y E-E contienen un anexo adicional para listar a los subencargados del tratamiento.
Adicionalmente, las nuevas cláusulas contienen toda la información requerida para la contratación de encargados del tratamiento. Por lo tanto, en la medida en la que aplique, no será necesario firmar un contrato de encargo de tratamiento adicional a las cláusulas.
Estas cláusulas actualizadas tratan de solucionar las anteriores deficiencias implementando obligaciones que emanan de la GDPR. Destacando:
La suscripción de las CCT actualizadas está condicionada a la realización previa de un análisis de impacto de la transferencia para verificar si el marco legislativo del país de destino es esencialmente equivalente al del país de origen de los datos. La Comisión ha introducido cierta flexibilidad en relación con los diferentes elementos que pueden tenerse en cuenta para realizar este análisis. Puede analizarse desde la jurisprudencia e informes de organismos de supervisión independientes hasta la experiencia practica documentada del exportador y/o del importador de datos.
Para adaptar su empresa a la normativa de protección de datos o bien consultarnos su caso sobre transferencias internacionales datos :
LETRADOX ABOGADOS
Tlf. 912980061 / 645958948
email: info@letradox.es
Transferencias internacionales de datos. LETRADOX® Abogados
HEARST recoge la opinión de LETRADOX® en Protección de Datos
LETRADOX® Abogados es un despacho que se ha caracterizado por ser referente en protección de datos y nuevas tecnologías. Así lo acreditan los medios que nos preguntan sobre estas materias. El último de ellos, de la editorial Hearst de Nueva York.
Muchas gracias a la editorial HEARST por contar en vuestras publicaciones en octubre de 2020 con la opinión de LETRADOX® Abogados S.L.P. en temas tan importantes y de actualidad como la protección de datos y la privacidad en redes sociales.
Thank you very much HEARST for having in your publications in October 2020 the opinion of LETRADOX® Lawyers S.L.P. on such important and current issues as data protection and privacy in social networks.
En caso de que ud o su empresa necesiten de un abogado especialista en protección de datos, contáctenos sin compromiso en:
LETRADOX
Tlfs: 912980061 / 645958948
info@letradox.es
#proteccióndedatos #abogadosproteccióndedatos #dataprotection #socialnetworks #lawyers #privacy #abogadosexpertos #hearst #letradox #socialmedialawyers #influencers #dataprotectionlawyers
VÍDEO DE LA PUBLICACIÓN en este link: Letradox en Hearst
HEARST recoge la opinión de LETRADOX® en Protección de Datos
Reclamación exámenes online. Letradox®Abogados
Reclamación exámenes online. Letradox®Abogados.
Es destacada la proliferación actual del teletrabajo y la enseñanza online. Las circunstancias han obligado a cambiar la enseñanza en tiempos de alerta sanitaria. La realización de exámenes online en Universidades , oposiciones, Pruebas de Acceso etc no está exenta de problemas. (Ejemplo. Prueba de Acceso a la Abogacía del año 2020).
Algunos de éstos son los mencionados a continuación.
Si ud se ha visto afectado por alguna de estas vulneraciones, contacte sin compromiso con nosotros para saber qué derechos tiene y cómo actuar.
Los casos en los que se ven afectados los derechos de los estudiantes por las pruebas de evaluación online son, entre otros, los relativos a:
La protección de datos personales y el reconocimiento facial o grabación de las pruebas de evaluación online
De manera orientativa, la CRUE estableció el pasado mes de abril algunas alternativas de realización de pruebas de evaluación online.
Una de estas alternativas es el uso de herramientas tecnológicas de reconocimiento facial del alumno.
Respecto a esta última alternativa ha sido algo más cauta.
Acorde con el informe de la Agencia Española de Protección de Datos, el reconocimiento facial a través de plataformas tecnológicas requiere un acceso a los datos biométricos de cada individuo y por tanto deben de ser tratados conforme al RGPD.
La situación derivada de la COVID19 NO EXIME del cumplimiento de su tratamiento y tampoco, la suspensión de los Derechos Fundamentales. por ello esta legislación debe ser cumplida en la realización de las pruebas, para lo que resulta fundamental la adecuación de la empresa a la normativa de Protección de Datos.
A pesar de que la REACU ha permitido al cambio de memorias de verificación no deja de existir una responsabilidad Autonómica Universitaria de determinación de normas y planes de formación de procedimientos de evaluación que acrediten la igualdad entre los estudiantes.
Pero los datos biométricos suponen datos esenciales que para ser legitimados deben de justificar un interés público esencial que emana de una norma con rango de ley, que a su vez establezca un régimen de garantías de protección de los datos personales.
Sin embargo, el uso de estas plataformas de reconocimiento facial puede ser útiles cuando se preste un consentimiento libre, pero en ocasiones, en la realidad universitaria, puede existir una coacción indirecta sobre las decisiones que pueda tomar un alumno, por lo tanto, en las situaciones en las que existe un desequilibrio entre las partes no puede ser interpretado como libre consentimiento.
En estas ocasiones, en las que no pueda exista un libre consentimiento y no se ofrezcan otras alternativas supondrá una vulneración de los derechos del estudiante, pudiendo velar por su efectividad en los tribunales. Habiendo agotado los trámites internos que ofrece la universidad, se recurrirá por la vía jurisdiccional que conocerá será la Contencioso – Administrativa, impugnando del acuerdo alcanzado por la universidad.1
Del mismo modo que las pruebas orales realizadas tampoco podrán ser grabadas si consentimiento del alumno y, según normativas universitarias, estas de forma general serán públicas, por lo que deberá permitirse que estas pruebas, aunque realizadas telemáticamente, gocen se ese mismo carácter.
Escaso tiempo para la correcta realización de la prueba de evaluación
El análisis de varias normativas de universidades, entre las que se encuentran la Universidad de Málaga, Castilla y León, Navarra y Barcelona, establecen criterios similares en la realización de pruebas de evaluación.
Denota la transposición matizada de las normas estatales relativas a los deberes y derechos de los estudiantes y el RD 1393/2007, de 29 de octubre, por el que se establece la ordenación de las enseñanzas universitarias oficiales.
Se observan protocolos que deben ser seguidos para la realización de pruebas de evaluación: A efectos de tiempo, se establece un límite que puede ser excedido cuando este sea justificado por el profesor al departamento (artículo 12 de la normativa de evaluación de la UGR, en sintonía con normativa de evaluación de la Universidad de Zaragoza).
Poco se dice al respecto del tiempo mínimo que debe de tener una prueba.Tenemos que acudir al estudio de cada caso para valorar las circunstancias.
La CEUNE ha denunciado la desproporción de los exámenes online. Es debido a la imposición de tiempo muy limitado para su desarrollo, tratando de garantizar que, al no tener de tiempo suficiente por pregunta, el alumno no copie.
Otros problemas que suelen existir en las pruebas online son los errores de conexión de los propios alumnos y de la propia plataforma del Centro. Por último podemos apuntar la necesidad de una igualdad entre todos los alumnos a fin de que no haya ningún trato discriminatorio.
Ya sea para la defensa en vía universitaria o si llegado el caso fuera necesaria intervención judicial y acudir a los tribunales de lo contencioso administrativo, en Letradox Abogados le podemos ayudar a defender sus derechos.
Reclamación exámenes online.
Letradox®Abogados
En toda España.
Tlfs. 912980061 / 645958948
info@letradox.es
www.letradox.com
Exámenes online. Abogados
International Data Transfers. LETRADOX® Lawyers S.L.P.
Las Transferencias Internacionales de Datos. / Data Protection / Protección de Datos.
LETRADOX® Lawyers S.L.P.
C/ Jorge Juan 141, 3º Madrid
Tlfs: 912980061 / 645958948
La adaptación de las empresas internacionales en protección de datos es un requisito indispensable para su correcta puesta en marcha cumpliendo los parámetros legales.
En Letradox Abogados hemos realizado numerosos artículos recalcando la importancia de esta materia y hemos dado asesoramiento a empresas internacionales.
Hoy vamos a explicar algunas cuestiones en cuanto a las Transferencias Internacionales de Datos en relación al RGPD. Reglamento General de Protección de Datos:
Transfer EDPS’ definition: communication, disclosure or other wise making available of personal data, conducted with the knowledge or intention of a sender subject to the regulation that the recipient(s) will have access to it.
Cases in which there is no third country transfer : A data processing in a third-country is not automatically a transfer : can be a case of direct application of the GDPR and According to article 3 of the GDPR:
1.(…)
2.This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or the monitoring of their behaviour as far as their behaviour takes place within the Union.
One of the Principle: In the absence of an adequacy decision ,data transfer may only take place under appropriate safeguards or under derogations allowed for in specific situations
Requirements to implement appropriate safeguards: Enforce able rights and effective legal remedies for data subjects. The safe guards used must provide those rights or the third country guarantees that they are enforceable.
En caso de que desee adaptar su empresa a los requisitos legales en protección de datos, póngase en contacto con nosotros:
Las Transferencias Internacionales de Datos. / Data Protection / Protección de Datos.
LETRADOX® Lawyers S.L.P.
C/ Jorge Juan 141, 3º Madrid
Tlfs: 912980061 / 645958948
Límites a la protección de datos por el coronavirus. LETRADOX Abogados
Protección de Datos & Coronavirus.
¿Hasta qué punto está la población española dispuesta a que se limiten sus derechos en protección de datos en pro de un objetivo de Salud pública y control de la pandemia #Covid19?
¿Es el rastreo de móviles el inicio del control digital masivo de la población y/o es una medida necesaria para frenar el #coronavirus?
ᵀᴴᴱ future is coming…
Reflexionamos sobre los derechos y sus límites en tiempos de excepcionalidad en este nuevo artículo de LETRADOX®️.
Hoy: protección de datos y coronavirus.
LETRADOX ABOGADOS
Domicilio social y sede central: C/ Jorge Juan nº141, 3ºA. Madrid
Tlfs: 912980061 / 645958948
info@letradox.es
www.letradox.com
Límites a la protección de datos por el coronavirus. LETRADOX Abogados
Esta operación se llama DataCovid y aseguran que es para tener los datos de movimientos, sin individualizarlos. Aunque la finalidad es loable no es menos cierto que supone el inicio de una «relajación» en los derechos de protección de datos y genera dudas en el sector.
En primer lugar, hemos de apuntar, tal y como afirman los expertos médicos y científicos en la materia, reputados epidemiólogos de todo el mundo, que el gran peligro de este nuevo coronavirus que provoca la enfermedad Covid19, es que entre un 20% y un 30% de las personas que lo contraen son asintomáticas. Es decir, no sabemos quien lo tiene y quien no por meros rastros externos de síntomas (tos, fiebre…etc), y solamente con un test de detección (temprana) generalizado para toda la población se podría conocer este dato con precisión. Este factor impide el rastreo de las personas que lo padecen y ha hecho que se extienda con rapidez, entre otros motivos.
Pues bien, para paliar esta carencia, la recopilación masiva de datos de la población a través de los dispositivos móviles se torna fundamental puesto que controlará, al menos los movimientos, de determinadas personas y permite tener más elementos para predecir y trazar estrategias. Un avance significativo sería el poder controlar masivamente mediante la tecnología, la salud de los ciudadanos. Una app que permitiese conocer si se tiene la enfermedad o no y los controles de movimiento… Estas cuestiones serían impensables hace apenas unos meses, pero ahora, ante circunstancias excepcionales, no parece que sean medidas de ciencia ficción, sino medidas incluso necesarias.
El control de los datos, no solamente de movimientos sino de la salud de los individuos, será un probable paso a dar por todos los países desarrollados en el control de epidemias actuales y en el futuro.
La salud de los ciudadanos es un objetivo primordial, al que parecen supeditarse todos los demás, incluidos los derechos a la privacidad.
Hasta que la gravedad no se ve de manera muy directa, no se contemplan medidas restrictivas de derechos generalizadas,
pero cuando la gravedad acecha, entonces se justifica la restricción de derechos. Ya lo hemos vivido con la restricción de movimientos durante el estado de alarma. Y ahora lo estamos empezando a tolerar con los derechos en protección de datos , si esto supone cercenar la maldita pandemia.
El Considerando (46) del RGPD ya reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.
(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
Por lo tanto, como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).
La propia legislación de protección de datos contempla estas excepciones, por tanto, en casos de epidemia.
¿Usted estaría dispuesto a que se dieran sus datos de salud si eso supone cercar al virus e impedir la propagación a terceros que pueden desarrollar problemas respiratorios graves e incluso la muerte? ¿Cree que esto se puede convertir en una medida para prevenir futuras pandemias? Son muchas las preguntas que están encima de la mesa y nunca antes habían estado tan abiertas las respuestas.
Tenemos que remontarnos un siglo para encontrar un hecho precedente, la gripe que se cobró millones de vidas en todo el mundo. Pero hace un siglo no había, ni de lejos, un sistema de protección de derechos en materia de privacidad como ahora.
Por tanto nos encontramos con un escenario inaudito. Las soluciones también tienen que ser creativas y arriesgadas, porque el desafío es grande y hay que estar a la altura de las circunstancias.
Esperamos vuestros comentarios y reflexiones sobre estas cuestiones en todas nuestras redes sociales de LETRADOX Abogados,
Estamos a vuestra completa disposición 24 horas al día, si tienes dudas sobre los Límites a la protección de datos por el coronavirus. LETRADOX Abogados,
como siempre; y durante el estado de alarma en el email info@letradox.es
LETRADOX ABOGADOS
Domicilio social y sede central: C/ Jorge Juan nº141, 3ºA. Madrid
Tlfs: 912980061 / 645958948
info@letradox.es
www.letradox.com
#Protecciondedatos #letradox #abogados #coronavirus #empresas #datos #control #ia
Límites a la protección de datos por el coronavirus. LETRADOX Abogados
Se trata de una fecha proclamada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los EEMM de la UE. El principal objetivo es el de informar y concienciar sobre los derechos y obligaciones como usuarios de Internet.
Al respecto, el Consejo de Europa proclamó esta fecha, como Día Europeo de la Protección de Datos en una resolución de 26 de abril de 2006 .
Asimismo, encontramos el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal («Convenio 108»). Se trata del único instrumento internacional jurídicamente vinculante en el ámbito de la protección de datos.
La pretensión del Convenio no es otra que la de proteger el derecho a la vida privada. Este mismo está reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.
Así pues, tanto los derechos relativos a la vida privada como a la protección de datos también están consagrados en la ley. Concretamente, en los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE y en el artículo 16 del TFUE.
Dicho Convenio 108, establece y reconoce la obligación que debe darse entre las partes. Esta no es otra que la de incorporar en su ordenamiento jurídico interno las disposiciones necesarias para garantizar el respeto de sus datos personales.
Además, fue una de las principales fuentes de inspiración para la elaboración del acervo de la Unión Europea en el ámbito de la protección de datos.
Por lo tanto, la firma de dicho Convenio 108, se consideró como el impulso para que en el año 1981 se regulase lo relativo al tratamiento automatizado de datos personales.
Esto se debe a que anteriormente, solo se había incluido el reconocimiento de determinados Derechos Humanos. Únicamente se recogía el derecho y reconocimiento del respeto a la vida privada y familiar. Por lo que, no se había considerado, hasta ahora, el derecho a la protección de datos personales.
Además, este día 28 de enero, se celebra en multitud de países, no sólo a nivel europeo. No obstante, mundialmente es más conocido como “Data Privacity Day”.
Así pues, durante este día, se pretender concienciar a ciudadanos sobre la importancia del tratamiento de nuestros datos personales y la LOPD.
Se pretende que tanto personas físicas como jurídicas tomen en consideración de la importancia de su buen tratamiento. Así como, de las consecuencias de la cesión o mala práctica en el uso de los mismos.
En lo que concierne a nivel nacional, encontramos la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
En el mismo Preámbulo, se destaca la protección de las personas físicas en relación con el tratamiento de datos personales. Y es que, se trata de un derecho fundamental protegido por el art 18.4 de la CE.
De esta manera, nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales. Dispuso en el precepto señalado ut supra, que:«la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
Por su parte, el Tribunal Constitucional ya señaló en su Sentencia 94/1998 de 4 de mayo que “nos encontramos ante un derecho fundamental a la protección de datos” que se reconoce a las personas.
Igualmente, la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente. El cual consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporciona.
Lo que se pretende es la buena y correcta aplicación del Reglamento Europeo 2016/679 de 27 de abril de 2016 relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales.
En definitiva, el avance tecnológico y las nuevas formas de comunicación hacen que el futuro de la protección de datos y la privacidad tengan más sentido que nunca. De tal modo, habrá que hacer frente a nuevos retos por lo que se necesitarán buenos profesionales en el sector.
Desde Letradox® Abogados te garantizamos esfuerzo y trabajo para conseguir resultados satisfactorios.
No dude en ponerse en contacto con nosotros.
Contactar con cita previa
Despacho en Madrid:
Calle Jorge Juan nº141 Esc.Izd. 3ºA (junto a metro O´Donnell).
Despacho en Alcalá de Henares:
Calle Mayor nº26, 2ºB “Oficina Insula”.
Email: info@letradox.es
Teléfonos: 912980061 – 645958948
La página web de mi negocio incorpora un botón de “Me gusta” de nuestro perfil de empresa en Facebook, ¿Está permitido por la normativa de europea de protección de datos?
Recientemente hemos conocido el fallo de la Sentencia del Tribunal de Justicia de la Unión Europea (Sala Segunda) de 29 de julio de 2019, en relación al procedimiento prejudicial Nº C- 40/17 .
En este mismo, se determina que quién incorpora a su página web corporativa un botón de“me gusta” ( Facebook ) estaría haciendo un tratamiento de datos de carácter personal.
Este, consiste en recabar determinados datos de esos usuarios y facilitárselos a Facebook, que sería el corresponsable de dicho tratamiento.
Los antecedentes del caso emergen de una marca de ropa alemana denominada Fashion ID GmbH & Co. KG. Esta, disponía en su página web del clásico botón de “me gusta” al cual puede acceder el usuario clicando sobre el mismo, pasando a convertirse en follower.
Además, en el caso de que el usuario careciese de perfil personal en Facebook, la empresa domiciliada en Irlanda, recibe determinados datos que después utiliza para finalidades propias.
El objetivo de incorporar esta funcionalidad a la página web de la empresa es claramente comercial, pues con ello podría optimizar la publicidad destinada a sus potenciales clientes, obteniendo con ello un beneficio económico.
Una asociación de consumidores alemana consideró que esta práctica vulneraba tanto la normativa interna del Estado alemán sobre competencia como la legislación europea de protección de datos.
Es por eso que, acudió a los tribunales alemanes en defensa de los derechos de los consumidores por ellos representados.
El Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania, eleva cuestión prejudicial al Tribunal de Justicia de la Unión Europea.
El objetivo principal es que resuelva, principalmente, dos puntos esenciales:
– Si una asociación de consumidores es competente para interponer acciones judiciales en materia de protección de datos
– Si la empresa de moda es considerada responsable del tratamiento. Por introducir un “módulo social” de Facebook en su página web. A la luz de la normativa europea sobre protección de datos.
Sobre el primero de estos puntos: dice la Sentencia analizada que no existe normativa europea. Ni que se oponga a “una normativa nacional que permite que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales. Ésta serán contra el presunto autor de una infracción de ese tipo”.
El Reglamento General de Protección de Datos de 2016: autoriza expresamente en su artículo 80 a los particulares. Lo hace en relación a la protección de sus datos personales.
En este sentido; dicho precepto certifica:
“Dar mandato a una entidad, organización o asociación sin ánimo de lucro. La cual haya sido correctamente constituida con arreglo al Derecho de un Estado miembro. Esto es para que presente en su nombre la reclamación. También para que ejerza en su nombre los derechos”.
Por lo tanto, podemos interpretar lo siguiente. Que la asociación de interés público en defensa de los consumidores que plantea el litigio está perfectamente capacitada para ello. Se entiende que es en el plano procesal.
En relación a la segunda cuestión controvertida. Hemos de tener en cuenta que cuando una empresa inserta en su web un módulo social de Facebook: está permitiendo que la empresa Facebook Ireland ltd acceda a determinados datos de sus usuarios.
Si bien una vez el usuario es redirigido a la red social, la empresa de moda no tiene posibilidad de saber qué se tratamiento se realiza de esos datos.
Según la directiva de 1995, aplicable al caso, es considerado responsable del tratamiento: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales».
Todo ello, ; «en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o [de la Unión], el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o [de la Unión]”;
Se trata de una definición amplia del concepto de responsable, muchas veces matizado ya por la jurisprudencia del TJUE. Precisamente se pretende una mayor protección de los particulares frente al tratamiento de sus datos de carácter personal.
Nos encontraríamos en este caso ante una responsabilidad conjunta en determinadas fases del tratamiento,. Esta misma pasará a compartirse entre la empresa textil y Facebook Ireland ltd.
Sería en las fases de recogida de datos y su comunicación a Facebook donde la empresa de moda sería responsable. Aunque, sin perjuicio de que existan otras fases del tratamiento que puedan realizarse únicamente por Facebook, sin conocimiento ni intervención de la marca de moda.
Así, reza la sentencia que: “el administrador de un sitio de Internet que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante puede ser considerado responsable del tratamiento «.
Será por tanto, responsable la empresa textil de las fases del tratamiento que realiza, debiendo entonces respetar la normativa en materia de protección de datos. Así como, cumpliendo con las obligaciones que la legislación impone a los responsables del tratamiento.
Deberá informar al usuario del tratamiento de datos que va a realizarse, es decir, la recogida de los mismos y su posterior comunicación a Facebook. Asimismo, el modo en el cuál puede ejercitar sus derechos al respecto.
Además, no podrá realizar dicho tratamiento si no está amparado por alguna de las fuentes de legitimación que recoge la normativa en materia.
En definitiva, las empresas pueden incorporar este botón social en sus páginas web, pero deberán hacerlo con las debidas garantías.
Además, se les exigirá un escrupuloso respeto a la legislación vigente en materia de protección de datos de carácter personal (Reglamento 2016/679 ). Para España, encontramos la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
En LETRADOX®ABOGADOS, conocemos de forma experta la materia. Si necesitas resolver cualquier duda, estamos a tu disposición. ¡Protege tus datos con Letradox@Abogados y su equipo de abogados profesionales!
Contactar con cita previa:
Despacho en Madrid:
Calle Jorge Juan nº141 Esc.Izd. 3ºA (junto a metro O´Donnell).
Despacho en Alcalá de Henares:
Calle Mayor nº26, 2ºB “Oficina Insula”.
(Contactar para reservar cita previa)
Email: info@letradox.es
Teléfonos: 912980061 – 645958948
En #REFERENTES de LETRADOX®️Abogados entrevistamos al Presidente de ASEFMA. Coincidiendo con los miles de desplazamientos por carretera en verano, qué mejor que conocer al #Referente en #Carretera, asfalto y movilidad, don Juan José Potti.
El Presidente de ASEFMA y director de la revista de Asfalto y Pavimentación nos habla de asfalto 4.0, la transformación digital del sector, coches autónomos y mucho más en esta entrevista…
Las entrevistas a los #REFERENTES del Derecho y la Empresa , en LETRADOX Abogados. www.Letradox.com
Defensa, asesoramiento, formación e información ¡Únete a la Comunidad LETRADOX®️! www.letradox.com Entrevista por Mercedes de Parada y Marián Rojo, abogadas de LETRADOX.
#coches #abogados #propiedadintelectual #abogadoscoches #carretera #transformaciondigital @itafec @asefma_es @jjpotti @repsol @aecarretera @Cepsa_ES @eapa_org @fomentogob
LETRADOX® es un despacho de abogados con sede principal en Madrid y oficinas en Alcalá de Henares, León, Galicia, Zaragoza, Murcia, Alicante, Dubai y Abu Dhabi…
Somos la solución que necesita para sus problemas legales en cualquier área del Derecho: Civil, Penal, Mercantil, Inmobiliario, Hipotecario-Bancario, Protección de Datos y Nuevas tecnologías, Deporte, Sector del Lujo, International Business…
Despachos en Madrid:
Calle Hermosilla nº144, 1ºE
Calle Jorge Juan nº141, 3ºA
Despacho en Alcalá de Henares
(Contactar para reservar cita previa)
Badajoz – León – Zaragoza – Galicia – Murcia – Alicante – Dubai – Abu Dhabi
Email: info@letradox.es