Entradas

Abogados protección de datos

Transferencias internacionales de datos. LETRADOX Abogados

/en /por

Transferencias internacionales de datos. LETRADOX® Abogados

Nuestro Dpto. de Protección de Datos le asesora en las cuestiones internacionales de Protección de Datos.

 

ÍNDICE

1.    Introducción protección de datos España

 

  1. Impacto del tratamiento de datos en las empresas

 

3.    Transferencias internacionales de datos

 

  1. Nuevas cláusulas contractuales tipo

 

4.1.       Estructura

1.     INTRODUCCIÓN PROTECCIÓN DE DATOS ESPAÑA.

La protección de datos personales aparece ya en el artículo 18.4 de la Constitución Española: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

El 28 de enero de 1981, el Consejo de Europa aprueba el convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. España no formaba parte de la CEE pero firmó el Convenio.

La Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD) y la creación de la Agencia Española de Protección de Datos (AEDP) suponen la primera normativa de protección de datos en la legislación española.

La directiva 95/46/CE del Parlamento Europeo se traspuso en España a través de la LO 15/99 de Protección de Datos de carácter personal (LOPD).

A finales de 2018 llegó la vigente LO 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales.

Con anterioridad y fundamental en la regulación está el Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) con este reglamento el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea reforzaban y unificaban la protección de datos para todos los individuos dentro de la Unión Europea. También se ocupa de la exportación de datos personales fuera de la UE.

El objetivo principal del GDPR es dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE. La aplicación entró en vigor el pasado 25 de mayo de 2018 tras una transición de dos años y, a diferencia de una directiva, no obligó a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.

El nuevo régimen propuesto de protección de datos de la UE amplía el ámbito de aplicación de la legislación de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE. Proporciona una armonización

de los reglamentos de protección de datos en toda la UE, facilitando así que las empresas no europeas cumplan estas normas.

El GDPR aplica:

A los “controladores” y a los “procesadores” de datos.

Un controlador de datos indica cómo y por qué se procesan los datos personales, mientras que un procesador es la parte que realiza el procesamiento real de los datos. Por lo tanto, el controlador podría ser cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno. Un procesador podría ser una empresa de TI que realice el procesamiento de datos real.

Incluso si los controladores y procesadores están fuera de la UE, el GDPR seguirá aplicándose a ellos siempre y cuando se trate de datos pertenecientes a residentes de la UE.

Es responsabilidad del controlador asegurar que su procesador cumple con la ley de protección de datos y los procesadores deben respetar las reglas para mantener registros de sus actividades de procesamiento. Si los procesadores están involucrados en una violación de datos, son mucho más responsables bajo GDPR que estaban bajo la Ley de Protección de Datos.

Los puntos fundamentales del GDPR

Nueva gestión de los tratamientos: no será necesario notificar los tratamientos a la Agencia Española de Protección de Datos y, en su lugar, se deberá llevar internamente un registro de actividades de tratamiento. Aunque la entidad se pueda acoger a la excepción de menos de 250 trabajadores, por lo menos tendrá que tenerlos identificados.

Categorías especiales de datos: además de los ya existentes, se incluyen los datos genéticos y biométricos.

Base jurídica de los tratamientos: el consentimiento no será ya la causa principal de legalización de los tratamientos, sino que también podrán realizarse por habilitación legal, ejecución de un contrato, en interés vital de interesado o por interés legítimo del responsable. De basarse en el consentimiento, pasa a ser expreso requiriendo una clara acción afirmativa o declaración expresa.

Privacidad por diseño: supone tener presente a la privacidad durante todo el ciclo de vida del dato, desde antes de su obtención, pasando por las diferentes fases de tratamiento, hasta su destrucción.

Privacidad por defecto: supone obtener y tratar sólo aquellos datos necesarios para cumplir con la finalidad del tratamiento.

Responsabilidad proactiva o accountability: el responsable de tratamiento debe cumplir con las obligaciones del RGPD y ser capaz de demostrarlo, por lo que la documentación y trazabilidad son requisitos imprescindibles.

Enfoque basado en el riesgo: los responsables y encargados de tratamiento deberán adoptar medidas técnicas y organizativas apropiadas, para reducir o eliminar los riesgos detectados para los interesados en relación con el tratamiento de sus datos personales. Como el riesgo cero no existe, se debe lograr un riesgo residual aceptable.

Delegado de protección de datos: se deberá nombrar un DPD con carácter obligatorio en las administraciones públicas, cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, y cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o datos de condenas y sanciones penales.

El Proyecto de Ley Orgánica de Protección de Datos, de aprobarse en los términos actuales, permitirá que cuando exista DPD, la Agencia Española de Protección de Datos les pase durante un mes las reclamaciones que presenten los interesados para que intente dar solución a la misma. De no conseguirlo, continuará el procedimiento sancionador o de tutela de derechos correspondiente.

Evaluaciones de impacto en protección de datos: los tratamientos que impliquen un riesgo para los datos personales de los interesados requerirán una evaluación de impacto en protección de datos previa. En concreto lo requerirán el tratamiento a gran escala de categorías especiales de datos y datos de condenas y sanciones penales, la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o

que les afecten significativamente de modo similar y la observación sistemática a gran escala de una zona de acceso público.

Notificación de violaciones de seguridad de los datos personales: se deberán notificar aquellas violaciones que afecten a la confidencialidad, integridad o disponibilidad de los datos personales a la Agencia Española de Protección de Datos cuando exista un riesgo para los interesados. Si además, existe un alto riesgo para los interesados, se les deberá notificar a estos salvo que se hubieran tomado medidas previas que imposibilitaran el acceso de la información a terceros como el cifrado o se tomen medidas posteriores que eliminen la alta probabilidad de que se materialice ese riesgo.

2.     IMPACTO DEL TRATAMIENTO DE DATOS EN LAS EMPRESAS.

 

La regulación de protección de datos afecta de lleno a las empresas. Estamos en la era de la información y en este momento el GDPR endurece las condiciones para los ciudadanos y lar organizaciones que manejan información personal ajena.

El incumplimiento puede conllevar multas de hasta 20 millones de euros o el 4% de la facturación de la empresa.

Por ejemplo, la autoridad francesa impuso a Google una sanción de 50 millones de euros porque el tratamiento de los datos no estaba bien descrito. En este sentido se establece que para que el consentimiento de uso se considere informado el usuario debe conocer perfectamente para qué se van a emplear, en este caso se consideró que este requisito no estaba bien implementado.

En Alemania la autoridad alemana impuso a la compañía inmobiliaria Deutsche Wohen una sanción de 14,5 millones de euros por incumplimiento de la política de conservación de datos, al conservar éstos más tiempo del necesario.

Por la gravedad de las sanciones y por los derechos protegidos, los principios de privacidad y de respeto a la normativa deben estar integrados en toda la estructura de la empresa desde los departamentos de ventas y marketing a los de gestión y recursos humanos.

3.     TRANSFERENCIAS INTERNACIONALES DE DATOS.

La AEDP señala que las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea, mas Liechtenstein, Islandia y Noruega)

Las personas responsables y encargadas del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y se den los siguientes supuestos:

Destinatario declarado de nivel adecuado por la Comisión Europea. Las personas destinatarias de los datos se encuentres en un país, un territorio o uno o varios sectores específicos de este país u organización internacional que hay sido declarado de nivel de protección adecuado por la Comisión Europea. Hasta la fecha los países y territorios declarados como adecuados son:

  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de
  • Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
  • Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
  • Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016 (Decisión invalidada por el Tribunal de Justicia de la Unión Europea (TJUE) el 17 de julio de 2020).
  • Japón. Decisión de 23 de enero de 2019.
  • Reino Unido. Decisión de 28 de junio de 2021 (versión en inglés).

–    A falta de decisión de adecuación, con las siguientes garantías:

  1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
  2. Normas corporativas
  3. Cláusulas tipo de protección de datos adoptadas por la Comisión, las cuales abordaremos en el apartado
  4. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
  5. Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas
  6. Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas

A falta de decisión de adecuación y de garantías. Únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:

  1. La persona interesada haya dado explícitamente su

  1. La transferencia sea necesaria para la ejecución de un contrato entre las personas interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona
  2.  sea necesaria para la celebración o ejecución de un contrato, en interés de la persona interesada, entre la persona responsable del tratamiento y otra persona física o jurídica.
  3. o por razones importantes de interés público.

  1. La transferencia sea necesaria para la formulación, el ejercicio o la defensa de

  1.    proteger   los   intereses   vitales   de la persona interesada o de otras personas, cuando la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.
  2.  se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si (1) no es repetitiva, (2) afecta solo a un número limitado de personas interesadas, (3) es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades de la persona interesada, y (4) el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.

En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará a la persona interesada de la transferencia y de los intereses legítimos imperiosos perseguidos.

Cuándo se necesita una autorización expresa. Se necesitará autorización expresa de la agencia española de protección de datos cuando las garantía adecuadas se aporten mediante:

  • Cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado, que no hayan sido adoptadas por la Comisión Europea o
  • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para las personas

Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

4.     NUEVAS CLÁUSULAS CONTRACTUALES TIPO

 

Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.

Las nuevas   cláusulas   se   adaptan   al   RGPD   incorporando   los   principios   de

«accountability» y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II. No obstante, sigue siendo necesario que el exportador, en su caso ayudado por el importador, analice el impacto que la legislación del país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.

Las cláusulas contractuales de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedarán derogadas a partir del 27 de septiembre de 2021. No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.

Los contratos que utilicen las cláusulas contractuales de 2001/497/CE, 2004/915/CE o la Decisión 2010/87/UE tendrán un período de 15 meses para su adaptación a las nuevas cláusulas.

Las cuestiones más relevantes son:

4.1  Estructura

 

Tienen una estructura modular, siendo su redactado diferente dependiendo del escenario en el que se utilicen. En este sentido, contemplan cuatro escenarios diferentes de transferencias internacionales de datos:

  1.  responsable a responsable (R-R);
  2.  responsable a encargado (R-E);

  1.  encargado a responsable (E-R); y
  2.  encargado a encargado (E-E).

La estructura modular de las nuevas cláusulas en cuanto escenarios diferentes tiene en cuenta dos escenarios que no se contemplaban con las anteriores (E-R y E-E). De esta manera, las nuevas reflejan mejor la diversidad de escenarios presentes en la realidad.

Así, las cláusulas para todos los escenarios se dividen en cuatro secciones diferentes:

Una primera sección introductoria con cláusulas generales sobre interpretación y jerarquía.

Una segunda sección con las obligaciones de las partes.

Una tercera sección sobre obligaciones de análisis de normas locales y acceso a datos por parte de las autoridades.

Una cuarta sección con cláusulas finales como pueden ser, la cláusula de ley aplicable o la de jurisdicción. Asimismo, los escenarios R-R y E-R contienen dos anexos sobre características del tratamiento y medidas técnicas y organizativas, mientras que los escenarios R-E y E-E contienen un anexo adicional para listar a los subencargados del tratamiento.

Adicionalmente, las nuevas cláusulas contienen toda la información requerida para la contratación de encargados del tratamiento. Por lo tanto, en la medida en la que aplique, no será necesario firmar un contrato de encargo de tratamiento adicional a las cláusulas.

Estas cláusulas actualizadas tratan de solucionar las anteriores deficiencias implementando obligaciones que emanan de la GDPR. Destacando:

  • Se incorporan apartados expresamente previstos en el RGPD como la gestión de brechas de seguridad o la referencia a las medidas técnicas y organizativas del artículo 32 del RGPD. Las partes deben describir las medidas de seguridad técnicas y organizativas aplicadas, que incluirán las medidas adoptadas para ayudar a responder a las solicitudes de los

  • Se integra el principio de responsabilidad proactiva al obligar a las partes a demostrar el cumplimiento del contenido de las

  • Se crean obligaciones más detalladas en comparación con las establecidasen las anteriores CCT, lo que aumenta sustancialmente el nivel de diligencia debida para evaluar el impacto potencial de las leyes locales sobre los En este sentido, se incorporan algunas de las obligaciones señaladas por el TJUE en “Schrems II” y apoyadas por el CEPD.

La suscripción de las CCT actualizadas está condicionada a la realización previa de un análisis de impacto de la transferencia para verificar si el marco legislativo del país de destino es esencialmente equivalente al del país de origen de los datos. La Comisión ha introducido cierta flexibilidad en relación con los diferentes elementos que pueden tenerse en cuenta para realizar este análisis. Puede analizarse desde la jurisprudencia e informes de organismos de supervisión independientes hasta la experiencia practica documentada del exportador y/o del importador de datos.

  • Se refuerzan obligaciones como el deber del importador de notificar el al exportadorante una solicitud de divulgación de datos personales por parte de una autoridad, o el deber del importador de impugnar dicha solicitud y de, incluso, solicitar medidas cautelares si considera que existen razones suficientes para hacerlo. Asimismo, si un importador notifica al exportador la imposibilidad de cumplir con las CCT actaulizadas, el exportador puede identificar medidas adicionales para mitigar el riesgo del Si las medidas adicionales no permiten mitigar debidamente los riesgos, el exportador deberá suspender la transferencia

  • Se admiten las transferencias ulteriores por parte de importadores de datos a otros destinatarios para el ejercicio de reclamaciones legales relacionadas con procedimientos administrativos, judiciales o reglamentarios, así como para proteger intereses vitales del interesado u otra persona física.

  • Se admiten las transferencias ulteriores por parte de importadores de datos a otros destinatarios para el ejercicio de reclamaciones legales relacionadas con procedimientos administrativos, judiciales o reglamentarios, así como para proteger intereses vitales del interesado u otra persona física.

  • Con respecto al derecho del exportador de datos a obtener, previa solicitud, una copia de los contratos de subencargo del importador, se aclara que el importados puede reservarse la facultad de redactar el contrato de forma que proteja sus secretos comerciales u otra información confidencial. Se trata de una mejora con respecto a las anteriores que preveían la obligación de proporcionar copias sobre información comercial sin autorización.

  • Se prevé la adhesión de partes adicionales a las cláusulas ya suscritas, si bien esta cláusula es voluntaria y está sujeta a la aceptación por las partes contratantes y al cumplimiento de los anexos y medidas técnicas y organizativas de las cláusulas por parte del tercero.

 

Para adaptar su empresa a la normativa de protección de datos o bien consultarnos su caso sobre transferencias internacionales datos :

LETRADOX ABOGADOS

Tlf. 912980061 / 645958948

email: info@letradox.es

http://www.letradox.com

Transferencias internacionales de datos. LETRADOX® Abogados

International Data Transfers. LETRADOX® Lawyers S.L.P.

/en /por

International Data Transfers. LETRADOX® Lawyers S.L.P.

 

Las Transferencias Internacionales de Datos. / Data Protection / Protección de Datos.

 

LETRADOX® Lawyers S.L.P.

C/ Jorge Juan 141, 3º Madrid

info@letradox.es

Tlfs: 912980061 / 645958948

www.letradox.com

La adaptación de las empresas internacionales en protección de datos es un requisito indispensable para su correcta puesta en marcha cumpliendo los parámetros legales.

En Letradox Abogados hemos realizado numerosos artículos recalcando la importancia de esta materia y hemos dado asesoramiento a empresas internacionales.

Hoy vamos a explicar algunas cuestiones en cuanto a las Transferencias Internacionales de Datos en relación al RGPD. Reglamento General de Protección de Datos:

  • No legal definition of transfer, international transfer or transfer to third countries (non-EEA countries)

Transfer EDPS’ definition: communication, disclosure or other wise making available of personal data, conducted with the knowledge or intention of a sender subject to the regulation that the recipient(s) will have access to it.

Cases in which there is no third country transfer : A data processing in a third-country is not automatically a transfer : can be a case of direct application of the GDPR and According to article 3 of the GDPR:

1.(…)

2.This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or the monitoring of their behaviour as far as their behaviour takes place within the Union.

One of the Principle: In the absence of an adequacy decision  ,data  transfer  may only take place under appropriate safeguards or under derogations allowed for in specific situations

  • Adequacy decision: Clear focus, Clear criteria in the GDPR and Clear mechanism for periodic review.

Requirements to implement appropriate safeguards: Enforce able rights and effective legal remedies for data subjects. The safe guards used must provide those rights or the third country guarantees that they are enforceable.

  • In certain cases authorization or approval by the supervisory authority.

En caso de que desee adaptar su empresa a los requisitos legales en protección de datos, póngase en contacto con nosotros:

Las Transferencias Internacionales de Datos. / Data Protection / Protección de Datos.

LETRADOX® Lawyers S.L.P.

C/ Jorge Juan 141, 3º Madrid

info@letradox.es

Tlfs: 912980061 / 645958948

Los límites a la protección de datos por el coronavirus. LETRADOX Abogados

/en /por

Límites a la protección de datos por el coronavirus. LETRADOX Abogados

Protección de Datos & Coronavirus.

¿Hasta qué punto está la población española dispuesta a que se limiten sus derechos en protección de datos en pro de un objetivo de Salud pública y control de la pandemia #Covid19?

¿Es el rastreo de móviles el inicio del control digital masivo de la población y/o es una medida necesaria para frenar el #coronavirus?

ᵀᴴᴱ future is coming…

Reflexionamos sobre los derechos y sus límites en tiempos de excepcionalidad en este nuevo artículo de LETRADOX®️.

Hoy: protección de datos y coronavirus.

 

LETRADOX ABOGADOS

Domicilio social y sede central: C/ Jorge Juan nº141, 3ºA. Madrid

Tlfs: 912980061 / 645958948 

info@letradox.es

www.letradox.com 

 

Límites a la protección de datos por el coronavirus. LETRADOX Abogados

 

El Gobierno, en colaboración con las principales operadoras de España, rastreará los movimientos de 40 millones de móviles para controlar al coronavirus.

Esta operación se llama DataCovid y aseguran que es para tener los datos de movimientos, sin individualizarlos. Aunque la finalidad es loable no es menos cierto que supone el inicio de una «relajación» en los derechos de protección de datos y genera dudas en el sector.

En primer lugar, hemos de apuntar, tal y como afirman los expertos médicos y científicos en la materia, reputados epidemiólogos de todo el mundo, que el gran peligro de este nuevo coronavirus que provoca la enfermedad Covid19, es que entre un 20% y un 30% de las personas que lo contraen son asintomáticas. Es decir, no sabemos quien lo tiene y quien no por meros rastros externos de síntomas (tos, fiebre…etc), y solamente con un test de detección (temprana) generalizado para toda la población se podría conocer este dato con precisión. Este factor impide el rastreo de las personas que lo padecen y ha hecho que se extienda con rapidez, entre otros motivos.

Pues bien, para paliar esta carencia, la recopilación masiva de datos de la población a través de los dispositivos móviles se torna fundamental puesto que controlará, al menos los movimientos, de determinadas personas y permite tener más elementos para predecir y trazar estrategias. Un avance significativo sería el poder controlar masivamente mediante la tecnología, la salud de los ciudadanos. Una app que permitiese conocer si se tiene la enfermedad o no y los controles de movimiento… Estas cuestiones serían impensables hace apenas unos meses, pero ahora, ante circunstancias excepcionales, no parece que sean medidas de ciencia ficción, sino medidas incluso necesarias.

El control de los datos, no solamente de movimientos sino de la salud de los individuos, será un probable paso a dar por todos los países desarrollados en el control de epidemias actuales y en el futuro.

La salud de los ciudadanos es un objetivo primordial, al que parecen supeditarse todos los demás, incluidos los derechos a la privacidad.

Hasta que la gravedad no se ve de manera muy directa, no se contemplan medidas restrictivas de derechos generalizadas,

pero cuando la gravedad acecha, entonces se justifica la restricción de derechos. Ya lo hemos vivido con la restricción de movimientos durante el estado de alarma. Y ahora lo estamos empezando a tolerar con los derechos en protección de datos , si esto supone cercenar la maldita pandemia.

 

El Considerando (46) del RGPD ya reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.

(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

Por lo tanto, como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).

La propia legislación de protección de datos contempla estas excepciones, por tanto, en casos de epidemia.

¿Usted estaría dispuesto a que se dieran sus datos de salud si eso supone cercar al virus e impedir la propagación a terceros que pueden desarrollar problemas respiratorios graves e incluso la muerte? ¿Cree que esto se puede convertir en una medida para prevenir futuras pandemias? Son muchas las preguntas que están encima de la mesa y nunca antes habían estado tan abiertas las respuestas.

Tenemos que remontarnos un siglo para encontrar un hecho precedente, la gripe que se cobró millones de vidas en todo el mundo. Pero hace un siglo no había, ni de lejos, un sistema de protección de derechos en materia de privacidad como ahora.

Por tanto nos encontramos con un escenario inaudito. Las soluciones también tienen que ser creativas y arriesgadas, porque el desafío es grande y hay que estar a la altura de las circunstancias.

Esperamos vuestros comentarios y reflexiones sobre estas cuestiones en todas nuestras redes sociales de LETRADOX Abogados,

 

Estamos a vuestra completa disposición 24 horas al día, si tienes dudas sobre los Límites a la protección de datos por el coronavirus. LETRADOX Abogados,

como siempre; y durante el estado de alarma en el email info@letradox.es

 

LETRADOX ABOGADOS

Domicilio social y sede central: C/ Jorge Juan nº141, 3ºA. Madrid

Tlfs: 912980061 / 645958948

info@letradox.es

www.letradox.com

 

 

#Protecciondedatos #letradox #abogados #coronavirus #empresas #datos #control #ia

 Límites a la protección de datos por el coronavirus. LETRADOX Abogados

PYMES y datos

Implantación Protección de datos E-comerce. Letradox Abogados

/en /por

Implantación Protección de datos E-comerce. Letradox Abogados

La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) es la normativa que regular las condiciones de los negocios online. El hecho de que estas actividades se sitúan en el ámbito del consumo, se ha de aplicar la Ley General para la Defensa de Consumidores y Usuarios. Por lo que se tiene que tener en cuenta las Condiciones Generales de Contratación.
 
Se tiene que indicar la Protección de los datos personales e información acerca de las condiciones de su tratamiento.

– Dar información al usuario de las condiciones de contratación y de los productos o servicios que se ofrecen en la venta online. Al igual que la posibilidad de rescisión del contrato y de las garantías que tenga el producto o servicio.

Ello, en virtud al principio de transparencia obliga a  informar las condiciones de compra, el aviso legal y la política de privacidad,  todos los detalles relacionados con la empresa, su actividad  y las condiciones comerciales. 

– Obtención del consentimiento. El consentimiento tiene que ser una clara acción afirmativa. El consentimiento ha ser expreso, explícito y claro. No cabe la ambigüedad. Para que los usuario s acepten las condiciones tendrán que tener claras las condiciones en las que se recopilan los datos, la finalidad del tratamiento y el plazo de conservación.

También se tendrá que reflejar el derecho que tiene para reivindicar los derechos ARCOPOL, por ejemplo, que se proceda a su eliminación o modificación en cualquier momento de algún dato personal.

Por tanto, para que nuestro usuario de su consentimiento ha de quedar reflejado de forma clara los siguientes puntos muy importantes en una Política de privacidad. Requisitos informativos como:

– Los datos de contacto del Delegado de Protección de Datos (si procede).
– Que datos se recogen, clasificando su categoría de los datos. Si son datos de categorías especiales o datos de carácter básico.
– La base jurídica o legitimación del tratamiento.
– El plazo o los criterios de conservación de la información.
– La existencia de decisiones automatizadas o elaboración de perfiles.
– La previsión de transferencias internacionales a terceros países.
– Los destinatarios de esa información, en el caso de que hayan cesiones de datos a terceros.
– El derecho a presentar una reclamación ante las Autoridades de Control.

En virtud de la LSSI, es muy importante implantar en toda página web, un banner con el AVISO LEGAL.
En el se ha de incluir la información del titular legal del sitio web y sus condiciones de utilización. Las cuales incluyen las propiedades industrial e intelectual y las responsabilidades ante fallos, enlaces y comportamientos.

Muy importante, La política de privacidad, que tiene que estar adaptada de manera estricta a las condiciones establecidas en la LOPDGD. Tendrá que ser comunicada de manera clara y con información exhaustiva acerca de los derechos que asisten a los ciudadanos.

Por último, en relación con la política de cookies. Se solicitará el consentimiento explícito una vez que el usuario navega en la página web.

Se tiene que implantar un procedimiento visible y accesible a los usuarios. También, se debe de informar de forma muy rigurosa acerca de tipo de cookies utiliza el sitio web y las finalidades que tenga en función de la clase de cookies que se ejecute en la web.

Se tiene que estipular:

– El concepto de cookies.

– Autorización para el uso de cookies.

– Tipos de Cookies que se utilizan en la Web.

– Cookies propias insertadas por el Titular.

– Cookies de terceros.

– Cookies de redes sociales: el Titular utiliza cookies de Facebook, Twitter, Linkedin y Google Plus. Para que el usuario pueda compartir contenidos de la Web en las citadas redes sociales. O bien para facilitarle el registro en la Web.

– Cookies para la medición del tráfico en los Portales: el Titular utiliza cookies de Google Analityc, por ejemplo. Para recopilar datos estadísticos de la actividad de los usuarios en el sitio Web. De forma poder mejorar los servicios prestados a los usuarios.

Estas cookies permiten analizar el tráfico de usuarios generando un ID de usuario anónimo. Que se utiliza para medir cuántas veces visita el Sitio un usuario. Asimismo, registra cuándo fue la primera y última vez que visitó la Web, cuándo se ha terminado una sesión y el origen del usuario.

– Cookies publicitarias: El Titular utiliza cookies almacenadas por terceras empresas que gestionan los espacios que sirven publicidad y a las que los usuarios acceden. Estas cookies permiten medir la efectividad dE las campañas online. También, proporciona la información de interés del usuario y le ofrece contenidos publicitarios de su preferencia.

– Configuración del navegador: Para la desactivación de las cookies en los diferentes navegadores.

En definitiva, los elementos legales que deben aparecer el página web a modo de información que el usuario tiene derecho a conocer antes de realizar la compra, sería:

– Aviso legal.

– Política de Privacidad.

– Política de cookies.

– Condiciones de contratación.

– Cláusulas informativas a pié de formulario. Una primera capa informativa que al hacer click en la política de privacidad, nos lleve a una segunda capa informativa done este por completo la política de privacidad.

necesidad de un delegado

ABOGADOS protección de datos. Preguntas frecuentes

/en /por

Preguntas en protección de datos. Letradox Abogados

En entorno laboral:

¿La empresa en la que trabajas puede acceder al historial de navegación del ordenador de los empleados?

Si, siempre y cuando exista una política interna de privacidad.Tiene que estipular unas de instrucciones claras y demostrables sobre el uso de dispositivos puestos al servicio del trabajador. Se ha de informar al trabajar de los criterios establecidos. Dicha información ha de ser con carácter previo y explícita  sobre el uso restrictivo de los medios informáticos. Si no es así, conllevaría la vulneración del derecho a intimidad y el secreto de las comunicaciones de los trabajadores.  

En virtud del artículo 87 LOPDGDD. (Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral). La empresa deberá establecer criterios de utilización de los dispositivos digitales. Respetando los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. Asimismo, el acceso por el empleador al contenido de dispositivos digitales. Respecto de los que haya admitido su uso con fines privados. Requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores.

Tales como: la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.
Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado.

¿Se puede instalar GPS en los coches de empresa que utilizan los trabajadores?

Si, la legitimación que permite este tratamiento de datos personales sería en virtud del art. 6 RGPD. También el artículo 20.3 del Estatuto de los trabajadores. Establece que el empresario podrá adoptar las medidas que estime mas oportunas de vigilancia y control. Para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

La existencia de esta legitimación legitima que no es necesario el consentimiento previo del trabajador. Ello no excluye del cumplimiento del derecho de información del articulo 13 del RGPD. Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos de la existencia y características de estos dispositivos de GPS. Igualmente deberán informales acerca del posible ejercicio de los derechos de acceso, rectificación, limitación y supresión del tratamiento.

¿Se puede recoger la huella dactilar de un trabajador como sistema de fichaje para el registro horario?

En el tratamiento de la huella deben aplicarse los principios de finalidad y minimización. La huella dactilar es un dato biométrico. Dato especialmente protegido por el RGPD. Calificado como “categoría especial”.
Se deben establecer algunas garantías como la autorización del cifrado, el almacenamiento de esos datos biométricos en un dispositivo personal. Pero no en un almacenamiento centralizado o en el sistema. Como garantía para legitimar el control horario.

El sistema biométricos utilizado debería tener en cuenta que la reutilización de los datos para otros fines, no procede. Están diseñados de tal forma que se pueda revocar el vínculo de identidad.
También se podrán utilizar formatos y tecnologías que impidan la conexión de base de datos biométricos y la divulgación de datos no comprobadas.

El Gabinete Jurídico de la AEPD en su informe 65/2015. Señala que en base a los principios de proporcionalidad y minimización. Lo ideal sería que esos datos biométricos se incorporasen a una tarjeta inteligente en poder del usuario.

De ese modo para acceder a las instalaciones utilizaría la tarjeta y posicionaría su huella sobre el lector. El sistema informático central no almacenaría el algoritmo que estaría en la tarjeta personal.

En cuanto a la custodia de los datos que los trabajadores. Desde la AEPD indican que teniendo como base el articulo 34 del Estatuto de los Trabajadores y el RDLEy 8/2019. Los datos deberán guardarse durante cuatro años.

Se ha de tener en cuenta que si el sistema lo ha instalado una empresa tercera. Deberá firmar un contrato de encargado de tratamiento que defina claramente estas particularidades.

Por último, el artículo 9 del Reglamento General de Protección de Datos establece:

Que el tratamiento sea necesario para el cumplimento de obligaciones previamente establecidas. Para ejercer los derechos en protección de datos. Este es el supuesto por el que el control de la huella digital para la asistencia al puesto de trabajo estará autorizado. Habida cuenta que se busca comprobar que el trabajador cumple con su jornada laboral. En ningún caso este dato debe ser usado para otra finalidad.

Entorno web:

¿Cuáles son las obligaciones a tener en cuenta en el envío de comunicaciones publicitarias a empresas o personas que aparecen en las guías telefónicas? ¿Pueden enviar comunicaciones comerciales por email a esos destinatarios?

No, puesto que La normativa de protección de datos requiere el consentimiento para el tratamiento de la información. Pero no exigía un consentimiento expreso. En el ámbito de la LSSI (y la LGTel) se requiere que quien envíe una comunicación comercial esté en disposición de demostrar que está tratando esos datos una vez ha obtenido el consentimiento expreso.

Para el envió de comunicaciones comerciales debe tenerse en cuenta el medio por el que va a llevarse a cabo la publicidad, en tanto que la realizada por comunicaciones electrónicas resulta de aplicación la LSSICE, exigiendo consentimiento expreso.

Este consentimiento, tiene que ser expreso y previo. Es decir, al tratamiento de datos para el envío del mensaje debe precederle la autorización expresa de su receptor. A través de una manifestación activa de su voluntad consiente el uso de sus datos con dichas finalidades. Dicho de otra forma, para el uso de datos con fines publicitarios en estos dos sectores. No será posible obtener el consentimiento de forma tácita del artículo 14.2 RLOPD. Sino como prevé el RGPD de forma expresa o indubitada.

¿Podrían enviar comunicaciones comerciales a sus contactos de Linkedin? ¿Por qué?

No. Puesto que el envío de correos electrónicos publicitarios no deseados a contactos de linkedin es contrario a LOPDGDD. También a las condiciones de uso de los usuarios de Linkedin. Se ha de obtener expreso consentimiento del receptor para aceptar la recepción de dichos correos comerciales o publicitarios.

Por otra parte, se tiene que tener en cuenta que LinkedIn es una red social. No una base de datos pública.
Como tal red social, no se puede considerar como “datos manifiestamente públicos (art. 45 RDLOPD)”. Por tanto, es fundamental tener el consentimiento del receptor.

También, indicar que la AEPD en su informe jurídico 0342-2008 indica que internet es una fuente de acceso público. Sin embargo, aunque estos datos estén disponibles públicamente, no pueden ser considerados como fuente accesible al público.

¿Podrían comerciar con los datos de sus usuarios y comunicarlos a una los datos a una tercera empresa? ¿Qué aspectos legales tendría que tener en cuenta?

En virtud del informe 2011-0241 sobre la utilización de la red social con fines publicitarios.
En dicho informe señala que, en el ámbito de la red social, el hecho de abrir una cuenta no es equiparable a la de los usuarios que forman parte de ella actuando en un ámbito puramente personal o familiar, ya que aquí la finalidad es otra.

La exención domestica no resulta aplicable. Tal y como señala el Grupo de Trabajo del artículo 29, en su Dictamen 5/2009, sobre redes sociales:

– Si un usuario del servicio de redes sociales actúa en nombre de una empresa o una asociación o utiliza la red principalmente como una plataforma con fines comerciales, políticos o sociales asume todas las obligaciones de un responsable de datos que está revelando datos personales a otro responsable de datos (el servicio de redes sociales) y a terceros (otros usuarios de Servicios de Redes Sociales o, potencialmente, otros responsables de datos con acceso a los mismos) En estas circunstancias, el usuario necesita el consentimiento de las personas concernidas.

En cuanto a la información que aparece en el perfil de los usuarios de redes sociales, con carácter general, revela sus intereses y actividades a todos aquellos que tengan la condición de amigos o a todos los demás usuarios si el perfil se encuentra abierto, ahora bien, la utilización de dichos datos, incluso en el ámbito de la propia red, con fines comerciales exige que dicho tratamiento de datos sea conocido y consentido por el interesado.

En cuanto al envío de correos comerciales por terceros. La utilización del servicio de mensajería de la red social resulta igualmente de aplicación lo previsto en el artículo 21 de la LSSICE. Aquellas opciones planteadas por la red social que permiten importar datos desde otros ficheros de que disponga el consultante. Dicha importación de datos supondrá una cesión de datos al servicio de red social. Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal.

Por tanto, la inexistencia de consentimiento de los afectados por el tratamiento para la cesión de datos a la red social dará lugar a una vulneración de lo previsto en la LOPDGDD.

¿Qué información tienen que trasladar a los usuarios para la instalación de cookies en sus terminales?

En virtud del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos. Por consiguiente, la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán. La información sobre cómo revocar el consentimiento y eliminar las cookies deberá de estar a disposición del usuario de forma accesible y permanente.

La Guía AEPD establece diferentes fórmulas para mostrar la información. Una de las fórmulas es la información por capas:

En la primera capa de información:

Se ha de mostrar cuando se accede a la página web— se ha de exponer la información más importante, claramente identificada, pidiendo el consentimiento para instalar las cookies en el navegador. En aquellos casos en que se pretenda obtener un «consentimiento tácito», será necesario advertir en este punto al usuario que si sigue navegando se considerará que ha prestado su consentimiento a la instalación de tales cookies.

El aviso deberá ofrecer la posibilidad de desactivar las cookies mediante un link que dirija a una segunda capa en la que, además, encuentre la restante información requerida por la normativa.

Información a incluir en la primera capa:

– Advertencia del uso de cookies no exceptuadas que se instalan al navegar por dicha página o al utilizar el servicio solicitado.
– Identificación de las finalidades de las cookies que se instalan.
– Información sobre si la instalación y uso de las cookies será solo del editor responsable de la web, o también de terceros asociados a él.
– En su caso, advertencia de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.
– Un enlace a una segunda capa informativa en la que se incluye una información más detallada

Información a incluir en una segunda capa de información:

– Información sobre la definición y función de las diferentes cookies
– Información y posibilidad sobre la forma de desactivar cada uno de esos tipos de cookies enunciados de forma sencilla

¿Qué modalidades tiene la página web para requerir el consentimiento de los usuarios?

El consentimiento expreso en la recogida de datos, podría cumplirse a través de la inclusión de una casilla en una web o el envío de un correo electrónico a la persona que se ha registrado en una web para que confirme dicho registro.

Esta casilla no debe estar premarcada, ya que de esta forma no realiza una manifestación activa de su voluntad.

Este consentimiento, para que sea válido, deberá ir precedido por la información que, si se recaba a través de una página web, estará en la cláusula de privacidad y habrá de recoger los siguientes elementos:

– Quién es el responsable (identidad y datos de contacto).
– Categorías exactas de datos personales que se recogerán y tratarán.
– Finalidades determinadas, explícitas, legítimas y relacionadas con la actividad publicitaria.
– Posibles comunicaciones de datos (sectores específicos y concretos de actividad respecto de los que podrá recibir mensajes publicitarios).
– Derechos del interesado.
– Menores.
– Consentimiento (expreso para la remisión de comunicaciones comerciales).

Sobre la forma de pedirlo, dos tipos de casillas relacionadas con el consentimiento del interesado:

Casilla Opt In:

Casilla no premarcada. Que se deberá incluir en el formulario de registro de datos con la finalidad de que el interesado pueda consentir:

– El tratamiento de sus datos con la finalidad de recibir, por medios electrónicos, comunicaciones comerciales sobre productos y/o servicios que no son similares a los contratados.
– La cesión de sus datos a terceros cuando se vayan a remitir comunicaciones comerciales por medios electrónicos.

Casilla de Opt Out:

Para casos en los que haya una relación contractual previa, se hubieran obtenido los datos lícitamente y sean para productos o servicios de la propia empresa similares a los que fueron objeto de contratación. Casilla no premarcada que se deberá incluir en el formulario de registro de datos con la finalidad de que el interesado se pueda oponer al:
– Tratamiento de los datos con motivo de las finalidades indicadas en el formulario.
– Envío de comunicaciones promocionales por medios no electrónicos.
– Por medios electrónicos sobre productos y/o servicios similares a los contratados.

Ponencia salud

Clínica San Vicente y Letradox Abogados. Protección de Datos

/en /por

CLÍNICA SAN VICENTE Y LETRADOX ABOGADOS. PROTECCIÓN DE DATOS

Letradox Abogados realizó una ponencia sobre protección de datos el pasado jueves 28 de marzo. La ponencia tuvo lugar en la Clínica San Vicente. En la que profesionales del mundo de la salud tuvieron la oportunidad de conocer las últimas novedades en materia de protección de datos y, en concreto, en su profesión. Todo ello de la mano de las letradas del despacho, Mercedes de Parada y Marián Rojo.

Las abogadas arrojaron luz sobre la normativa europea de protección de datos y su aplicación en el sector sanitario. Repasaron las particularidades del sector sanitario y su normativa específica. Los antecedentes de la normativa actual. El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPD).

Por otro lado, se abordaron cuestiones como la responsabilidad proactiva del sector sanitario. La figura del Delegado de Protección de Datos. Los derechos de los pacientes. Y el tratamiento de datos para la investigación en salud.

También hicieron referencia y pusieron ejemplos concretos, con casos prácticos y noticias relacionadas con la materia.

Durante la primera parte de la ponencia, Marián Rojo ilustró a los asistentes sobre la normativa española y europea en protección de datos. Y su aplicación concreta en el sector sanitario.

La letrada explicó las diferencias entre los datos que manejan los centros médicos, datos básicos, datos de salud y otra serie de datos. Y aporto definiciones necesarias sobre estos datos de salud o datos sanitarios. Considerándolos como los relativos al estado de salud del interesado que dan información sobre su estado de salud físico y mental pasado, presente y futuro. Tal y como viene reflejado en el Considerando 53 del RGPD.

Son datos dotados de una especial protección, como puede observarse en el artículo 9 RGPD.

En materia de salud pública, Marián Rojo hizo referencia al Considerando 54 RGPD. El cual define la salud pública como todos los elementos relacionados con la salud. Concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad. Los determinantes que influyen en dicho estado de salud. Las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria. La puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria. Y las causas de mortalidad.

Brevemente, la abogada de Letradox hizo también un repaso de la normativa que precedió a la actual legislación. Para aplicar un enfoque que permitiera mostrar la evolución en la normativa.

Esto le permitió explicar la actual legislación con mayor claridad. Y así procedió a hablar del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. Reglamento ya mencionado en este artículo. Y también habló de la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales..

Rojo explicó las características de esta nueva normativa. El refuerzo del consentimiento respecto al tratamiento de los datos del paciente, que debe ser libre, informado, específico e inequívoco. Un consentimiento que ha de ser expreso o que haya una clara acción positiva por el interesado. Dicho consentimiento debe ser demostrable.

Los datos médicos tienen un prohibición expresa de tratamiento salvo que haya un consentimiento explícito del paciente (art. 9 RGPD). También hay una serie de excepciones recogidas en el citado artículo que permiten el tratamiento de datos del paciente.

Y en cuanto al consentimiento informado. Existe una obligación por parte del profesional médico de informar de forma concisa, inteligible, clara y sencilla.

En España. La LOPDGDD permite el tratamiento de estos datos si son amparados por una norma con rango de ley. Que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad (art. 9.2 LOPDGDD). A este respecto, es importante mencionar que dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada. O la ejecución de un contrato de seguro del que el afectado sea parte. Y actualmente no ha sido publicada ninguna norma.

En cuanto a responsabilidad proactiva. Marián Rojo mostró en qué consistía este tipo de responsabilidad. Cumplir y demostrar que se ha cumplido con el tratamiento y protección de los datos. Así como la forma en que afecta y obliga al sector sanitario. Y qué medidas están relacionadas con la responsabilidad proactiva: la Evaluación de Impacto y el Delegado de Protección de Datos.

La Evaluación de Impacto consiste en un análisis de los riesgos derivados del tratamiento y medidas para paliarlos. En esta Evaluación deben tenerse en cuenta todos los aspectos del tratamiento de datos. Los datos que se tratan, la forma de obtenerse, la finalidad, etc. El análisis se lleva a cabo analizando los riesgos en función de la probabilidad y gravedad. Llegando a proponerse soluciones.

El Delegado de Protección de Datos se encarga del tratamiento de datos especialmente protegidos a gran escala. Lo que está relacionado con el ámbito de la salud. El artículo 34.1 l) LOPDGDD obliga a tener un Delegado de Protección de Datos a los centros sanitarios obligados legalmente al mantenimiento de las historias clínicas de los pacientes. Salvo aquellos profesionales obligados que ejerzan su actividad a título individual.

Para ser Delegado es necesario tener una independencia jerárquica dentro de la empresa. Es posible que sea una persona interna o externa de la empresa. Puede ser certificado o no. Y debe tener una serie de conocimientos y experiencia en la materia. Sus funciones principales son el asesoramiento en la materia. La formación de trabajadores. O crear protocolos de actuación, entre otras.

Durante la segunda parte de la ponencia. Mercedes de Parada informó al personal sanitario de la Clínica San Vicente sobre los derechos de los pacientes. En materia de protección de datos, por supuesto.

Hizo referencia al Considerando 63 RGPD. “Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento”.

Los pacientes tienen los tradicionales derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. Pero también existen una serie de derechos nuevos. Como el derecho a la portabilidad del dato y el derecho a la limitación en el tratamiento de datos. O el derecho al olvido.

Acudiendo a la Ley reguladora de la Autonomía del Paciente. Citó artículos básicos de la norma. Como el articulo 4, relativo al derecho a la información asistencial. El artículo 7, sobre el derecho a la intimidad. El artículo 14, de la definición y archivo de la historia clínica. O los artículos 17 y 18, de la conservación de la documentación clínica y de los derechos de acceso a la historia, respectivamente.

También habló del tratamiento de datos para a investigación de la salud. Y explicó cómo el interesad o su representante legal pueden otorgar el consentimiento para el tratamiento de los datos. Con fines de investigación médica (art. 2 LOPDGDD). Siendo necesario un informe previo y favorable del comité de ética de la investigación.

La ponencia terminó con una serie de ejemplos prácticos comentados por las abogadas. En las que el personal sanitario pudo observar la relevancia actual de la materia. También cómo hasta el momento distintos centros médicos habían incumplido la normativa de protección de datos. Los profesionales médicos de la Clínica San Vicente se fueron satisfechos y contentos por la experiencia Letradox.

Estos incumplimientos pueden acarrear consecuencias graves. Sobretodo para aquellos que en el día a día trabajan con datos. En Letradox Abogados prevenimos estos incumplimientos y solucionamos los ya cometidos. Como despacho especializado en protección de datos, ofrecemos nuestros servicios para resolver cualquier problema sobre protección de datos.

DELEGADO DE PROTECCIÓN DE DATOS EN EMPRESAS.

/en /por

Puntos clave sobre el delegado de protección de datos en una empresa.

¿ De qué se encarga el delgado de protección de datos?. Se encarga de garantizar el cumplimiento de normativa de protección de datos en la empresa. Lo ideal es contar con un delegado de protección de datos adecuadamente formado. Será necesario que cuente con conocimientos en derecho y principalmente sobre protección de datos.

Las funciones del delegado de protección de datos (DPO) vienen recogidas en el art. 39 del RGPD. Entre las obligaciones destacan las de informar, asesorar y supervisar el cumplimiento de RGPD. Además, representa a la empresa ante la Agencia Española de Protección de Datos. Y establece protocolos de actuación respecto al cumplimiento de estas normas.

Aunque no es necesario que sea jurista sí que posea conocimientos sobre derecho.

Es muy relevante el paso dado por la Agencia Española de Protección de Datos. Ésta ha desarrollado un modelo de certificación para los delegados. 

Esto atribuye una referencia de cualificación profesional a tener en cuenta para su contratación.

Otro punto relevante que una empresa debería buscar es la independencia del trabajo del DPO. De modo que sería mejor un profesional externo. Desde nuestro punto de vista. No obstante, se podrá optar por un delegado de protección de datos interno.

Aunque no todas las empresas están obligadas a tener un delegado de protección de datos, de nuevo se recomienda. Obligadas estarían aquellas cuya actividad principal se relacione con tratamiento masivo de datos. Aquellas que traten datos especialmente protegidos a gran escala. Y aconsejable en todo caso que trate datos personales sensibles. en nuestro video recogemos algunas de las empresas donde es obligatorio o muy recomendable.

Para más información disponemos de un video explicativo. En el siguiente link.

letradox abogados le ofrece un asesoramiento íntegro sobre la materia. Así mismo un trato con profesionales expertos en la materia.

Abogados protección de datos

El Reglamento de Protección de Datos: La guía definitiva LETRADOX ABOGADOS

/en /por

Reglamento General de Protección de Datos (EU) 2016/679

LETRADOX ABOGADOS

www.letradox.com

Tlfs: 912980061 / 645958948

info@letradox.es

C/ Jorge Juan 141, 3ºA. Madrid

 

¿Qué es la protección de datos de carácter personal?

Derecho Fundamental e independiente. Derechos vinculados.

Directiva 1995/46 CE y Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal

Reglamento (UE) 1016/679

Normativa complementaria

Orígenes
Declaración Universal de los Derechos Humanos (1948)
Textos que configuran la UE
«Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan» Derecho fundamental recogido en (TFUE) y (CDF)
Legislación europea posterior
Sentencias del TJUE

Además se encuentra la protección de datos en la Constitución Española: El artículo 18, un adelantado a su tiempo.

Artículo 18 de la Constitución Española:
Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en el sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
Por tanto se garantiza el secreto de las comunicaciones y, en especial, de las postales, 70 telegráficas y telefónicas, salvo resolución judicial.
También la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.»

Por lo que podemos decir que los Conceptos básicos son:
Dato personal
Tratamiento
Fichero
Automatizado/no automatizado
Responsable
Encargado
Interesado
Consentimiento
Cesión o comunicación de datos
Ciclo de vida de los datos
Autoridad de control

Los datos de carácter personal son cualquier información referente a personas físicas identificadas o identificables, pudiendo ser identificable toda persona cuya identidad pueda determinarse mediante un identificador (por ejemplo, un nombre, un número de identificación, datos de localización o un identificador en línea) o mediante el uso de uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de las personas.

Tener en cuenta que el Tratamiento es:

Cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, bloqueo, modificación, o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias (AEPD).

Fichero:

Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Automatizado = Informático
No automatizado = en papel

Responsable:

Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

En el caso de entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, se considerará responsable del tratamiento a la persona o personas integrantes de los mismos.

Encargado:

Persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

En el caso de entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, se considerará encargado del tratamiento a la persona o personas integrantes de los mismos.

Interesado: Persona física titular de los datos que sean objeto del tratamiento.

Consentimiento:

Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Ciclo de vida de los datos:

Conjunto ordenado de fases que van desde el momento de la obtención de un dato hasta su destrucción.

 

Las principales novedades del RGPD son:

Principio de responsabilidad proactiva
Privacidad desde el diseño y por defecto
Menos obligaciones formales
Desaparece la obligación de inscribir los ficheros
Figura del Delegado de Protección de Datos
Nuevas formas de legitimación y de obtención del consentimiento. Deber de informar.
Registro de Actividades de Tratamiento, Análisis de Riesgos y Evaluaciones de Impacto
Nuevos derechos: Supresión, portabilidad, limitación del tratamiento
Comunicación de brechas de seguridad

 

Toda esta información debe ser analizada y puesta en práctica  a la hora de adaptar una empresa al Reglamento de Protección de Datos.

Además en LETRADOX ABOGADOS muy pronto realizaremos un curso-online a modo de masterclass sobre esta materia, a fin de profundizar en estos y otros muchos aspectos importantes de la protección de datos. Del mismo modo, si quiere que llevemos la protección de datos de su empresa, llámenos sin compromiso.

Muchas gracias por su atención,

EQUIPO DE

LETRADOX ABOGADOS

www.letradox.com