Cómo cumplir la LOPD – Protección de datos en Málaga

¿QUIÉN SOY?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿CUÁL ES MI TITULACIÓN?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero…).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

Antonio el de la salsa y su mono

¿QUÉ SERVICIOS PUEDO PRESTARTE?

– Adaptación a la normativa de protección de datos de carácter personal.

– Auditorías LOPD.

– Adaptación de páginas web a la LSSICE.

– Asesoramiento jurídico sobre nuevas tecnologías en general.

– Formación para ti y tus trabajadores.

Requisitos contratación encargados tratamiento

Como sabemos y según lo define el artículo 4.8) RGPD, el encargado de tratamiento es:

 

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

 

Ejemplos: el asesor fiscal que lleva la contabilidad e impuestos de una empresa y tiene que acceder a los datos personales que hay en sus facturas; o el asesor laboral que lleva las nóminas de una empresa y tiene que acceder a los datos de los trabajadores.

 

Pues bien, en aplicación de esta normativa, no se puede contratar a cualquier encargado de tratamiento, porque el artículo 28.1 del RGPD deja muy claro que el responsable de tratamiento que contrate a un encargado de tratamiento está obligado a elegir únicamente a aquellos que garanticen de suficientemente la aplicación de medidas técnicas y organizativas apropiadas, de forma que el tratamiento se ajuste al RGPD y garantice la protección de los derechos del interesado.

 

Sin embargo, nada explica el RGPD sobre cómo se pueden obtener esas garantías, más allá de la posibilidad (voluntaria, ojo) de que el encargado de tratamiento esté adherido a un código de conducta o tenga una certificación.

 

En mi opinión, fuera de estos casos, al menos habría que demostrar que se ha requerido (y que el encargado ha aportado) los siguientes documentos:

 

– Su catálogo de medidas de seguridad.

 

– Su registro de actividades de tratamiento, cuando proceda.

 

– Los datos de contacto de su Delegado de Protección de Datos y la comunicación oficial de nombramiento cuando proceda (que podrá comprobarse en el correspondiente registro de la Agencia Española de Protección de Datos).

 

¿Y se le podría pedir incluso el análisis de riesgos y/o evaluación de impacto? En principio sí. Cuestión distinta es que el encargado de tratamiento lo considere un documento más o menos confidencial.

Registro Actividades y AEPD

Cómo hacer un registro de actividades

En fecha reciente, la Agencia Española de Protección de Datos, publicaba una noticia titulada NUEVA FUNCIONALIDAD DEL SERVICIO DE SOLICITUD DE COPIA DE LA INSCRIPCIÓN DE FICHEROS, que se puede leer completa aquí:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_11_21-ides-idphp.php

Se trata de que accediendo a la sección indicada, los responsables de tratamiento puedan descargar en formato digital un contenido que puede servir de base para confeccionar el Registro de actividades exigido en el artículo 30 del Reglamento General de Protección de Datos europeo.

Eso sí, no se debe olvidar que este Registro no será obligatorio para ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

El Registro de actividades viene a sustituir a la obligación de notificar los ficheros al Registro de la Agencia Española de Protección de Datos, de modo que a partir de finales de mayo de 2018 la obligación de notificación dejará de existir, pero será necesario confeccionar este Registro o inventario de tratamientos de datos.

El Registro no hace falta que se publique ni se envíe a ningún organismo, pero tendrá que estar a disposición de la Agencia Española de Protección de Datos u organismo equivalente que lo solicite. No obstante, las administraciones públicas sí que tienen que publicarlo, siendo accesible por medios electrónicos (en su web, por ejemplo).

La obligación incumbe –con la expeción antes mencionada- tanto a responsables de fichero como a encargados de tratamiento.

En la web de la Agencia, lo que se puede descargar es un Excel o XML con el contenido completo de las inscripciones efectuadas.

La herramienta de la Agencia FACILITA, de la que ya hemos hablado en otra ocasión, genera –entre otros documentos- la estructura y contenido del registro de actividades, por lo que puede servir de guía, al menos para entidades que no presentan riesgos en materia de tratamiento de datos de carácter personal.

Transferencias internacionales de datos

Transferencia internacional datos

¿Conlleva alguna modificación el Reglamento General de Protección de Datos europeo en lo que a transferencias internacionales de datos de carácter personal se refiere?

La respuesta es sí y no.

No, porque mantiene los mismos criterios generales que ya se contenían en la LOPD y su Reglamento de desarrolla.

Sí, porque introduce cambios en todo el régimen de transferencias internacionales.

La norma general sigue siendo que sólo cabe transmitir datos a países, territorios, sectores u organismos internacionales que se considera que cuentan con un nivel adecuado de protección, o bien cuando se aporten garantías suficientes o se den algunas de las circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del RGPD.

Estos son algunos de los cambios introducidos:

  • El exportador de datos ya puede ser también un encargado de tratamiento y no sólo un responsable de tratamiento.
  • Se amplía el número de instrumentos para incluir y aportar las medidas de garantía adecuadas para proteger los derechos de los afectados por las transferencias internacionales (Códigos de Conducta, Certificaciones, Normas Corporativas Vinculantes).
  • Se suprime la obligación de solicitar autorización previa o notificar la transferencia internacional a la autoridad de control, en la mayoría de los casos.

En definitiva, se pretende facilitar las relaciones comerciales internacionales, pero –por supuesto- garantizado la protección de los derechos de las personas.