Cómo cumplir la LOPD – Protección de datos en Málaga

¿QUIÉN SOY?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿CUÁL ES MI TITULACIÓN?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero…).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

Antonio el de la salsa y su mono

¿QUÉ SERVICIOS PUEDO PRESTARTE?

– Adaptación a la normativa de protección de datos de carácter personal.

– Auditorías LOPD.

– Adaptación de páginas web a la LSSICE.

– Asesoramiento jurídico sobre nuevas tecnologías en general.

– Formación para ti y tus trabajadores.

Registro Actividades y AEPD

Cómo hacer un registro de actividades

En fecha reciente, la Agencia Española de Protección de Datos, publicaba una noticia titulada NUEVA FUNCIONALIDAD DEL SERVICIO DE SOLICITUD DE COPIA DE LA INSCRIPCIÓN DE FICHEROS, que se puede leer completa aquí:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_11_21-ides-idphp.php

Se trata de que accediendo a la sección indicada, los responsables de tratamiento puedan descargar en formato digital un contenido que puede servir de base para confeccionar el Registro de actividades exigido en el artículo 30 del Reglamento General de Protección de Datos europeo.

Eso sí, no se debe olvidar que este Registro no será obligatorio para ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

El Registro de actividades viene a sustituir a la obligación de notificar los ficheros al Registro de la Agencia Española de Protección de Datos, de modo que a partir de finales de mayo de 2018 la obligación de notificación dejará de existir, pero será necesario confeccionar este Registro o inventario de tratamientos de datos.

El Registro no hace falta que se publique ni se envíe a ningún organismo, pero tendrá que estar a disposición de la Agencia Española de Protección de Datos u organismo equivalente que lo solicite. No obstante, las administraciones públicas sí que tienen que publicarlo, siendo accesible por medios electrónicos (en su web, por ejemplo).

La obligación incumbe –con la expeción antes mencionada- tanto a responsables de fichero como a encargados de tratamiento.

En la web de la Agencia, lo que se puede descargar es un Excel o XML con el contenido completo de las inscripciones efectuadas.

La herramienta de la Agencia FACILITA, de la que ya hemos hablado en otra ocasión, genera –entre otros documentos- la estructura y contenido del registro de actividades, por lo que puede servir de guía, al menos para entidades que no presentan riesgos en materia de tratamiento de datos de carácter personal.

Transferencias internacionales de datos

Transferencia internacional datos

¿Conlleva alguna modificación el Reglamento General de Protección de Datos europeo en lo que a transferencias internacionales de datos de carácter personal se refiere?

La respuesta es sí y no.

No, porque mantiene los mismos criterios generales que ya se contenían en la LOPD y su Reglamento de desarrolla.

Sí, porque introduce cambios en todo el régimen de transferencias internacionales.

La norma general sigue siendo que sólo cabe transmitir datos a países, territorios, sectores u organismos internacionales que se considera que cuentan con un nivel adecuado de protección, o bien cuando se aporten garantías suficientes o se den algunas de las circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del RGPD.

Estos son algunos de los cambios introducidos:

  • El exportador de datos ya puede ser también un encargado de tratamiento y no sólo un responsable de tratamiento.
  • Se amplía el número de instrumentos para incluir y aportar las medidas de garantía adecuadas para proteger los derechos de los afectados por las transferencias internacionales (Códigos de Conducta, Certificaciones, Normas Corporativas Vinculantes).
  • Se suprime la obligación de solicitar autorización previa o notificar la transferencia internacional a la autoridad de control, en la mayoría de los casos.

En definitiva, se pretende facilitar las relaciones comerciales internacionales, pero –por supuesto- garantizado la protección de los derechos de las personas.

 

FACILITA, una ayuda

Análisis de riesgos

Para poder aplicar correctamente el Reglamento General de Protección de Datos europeo, empresas y profesionales van a tener que dedicar algún tiempo a la reflexión, y al análisis de su situación en lo que a alcance, riesgos y medidas de seguridad sobre protección de datos se refiere.

En algunos casos bastará con un análisis genérico y somero (del que debería dejarse al menos alguna constancia escrita), y en otros habrá que llegar a conceptos más formales como la Evaluación de Impacto prevista en el artículo 35 del Reglamento citado.

Con objeto de aproximarse a ese análisis y determinar si procede o no realizarlo, la Agencia Española de Protección de Datos ha publicado hace poco una herramienta en su web (https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php ), llamada FACILITA RGPD, que está pensada para empresas y profesionales que tratan datos personales de escaso riesgo para los derechos.

La herramienta es gratuita y de uso y acceso muy simples.

Sirve para supuestos de tratamiento de bajo riesgo (datos de client es, proveedores, trabajdores…) y por tanto no podrá utilizarse para tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas, como datos de salud o tratamientos masivos de datos, entre otros.

¿Qué proporciona además de una orientación para saber si tenemos que realizar un análisis de riesgo o no? Pues una vez determinado que no se necesita ese análisis de riesgo, FACILITA (tras introducir los datos del profesional o entidad), elabora los siguientes documentos que se exigen por el Reglamento Europeo:

1º. Cláusulas informativas y textos (que se han de firmar por trabajadores, clientes, contactos, prestadores de servicio, etc…).

2º. Registro de actividades de tratamiento.

3º. Un anexo con medidas de seguridad orientativas consideradas mínimas.

En algunos casos, la documentación emitida será más que suficiente. En otros, no.

Por ello, la herramienta pretende ser orientativa, pero no significa que su uso nos garantice el cumplimiento de la legislación al 100%.