Cómo cumplir la LOPD – Protección de datos en Málaga

¿QUIÉN SOY?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿CUÁL ES MI TITULACIÓN?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero…).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

Antonio el de la salsa y su mono

¿QUÉ SERVICIOS PUEDO PRESTARTE?

– Adaptación a la normativa de protección de datos de carácter personal.

– Auditorías LOPD.

– Adaptación de páginas web a la LSSICE.

– Asesoramiento jurídico sobre nuevas tecnologías en general.

– Formación para ti y tus trabajadores.

Registro de actividades

Inscripción ficheros y registro actividades

Una de las novedades que introduce el Reglamento General Europeo de Protección de datos es que desaparece la obligación de inscribir los ficheros en el Registro de la Agencia Española de Protección de Datos (AEPD).

No obstante, la obligación queda sustituida por otra similar: la obligación de tener un REGISTRO DE ACTIVIDADES.

Veamos qué es eso exactamente:

Lo dice su artículo 30: el responsable de fichero y, en su caso, su representante llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad. Lo que se traduce en la obligación de describir qué datos se recogen, con qué fin se tratan, a quién o quiénes se comunican, si se transfieren a terceros países, qué medidas técnicas y organizativas se aplicará para preservar su seguridad, y cuándo se puede proceder a su  supresión.

Es un control muy similar al que se viene realizando a través de los formularios NOTA, para la inscripción de ficheros en el Registro de la AEPD, salvo por algún detalle.

En el formulario NOTA se ha de hacer constar quién recoge datos y sus datos de contacto exactos, qué datos se recogen, con qué fin, de quién se recogen, qué medidas de seguridad se van tomar sobre los mismos, si el fichero es automatizado, manual o mixto y si esos datos van a cederse a terceros o si van a transferirse fuera del Espacio Económico Europeo.

El contenido no se modifica a penas, pero sí la forma.

No habrá que formalizar esta obligación mediante la inscripción obligatoria por el formulario NOTA, pero sí llevar el REGISTRO DE ACTIVIDADES  a nivel interno.

Y como indica la propia AEPD, “la existencia del Registro de Ficheros puede convertirse en una herramienta de ayuda y un punto de partida ante la tarea que será obligatoria a partir del 25 de mayo de 2018.”

Es decir, que si bien el referido Registro pierde su obligatoriedad, sí que sirve como modelo y punto de partida para hacer el Registro de Actividades.

Mi opinión personal es que resulta una modificación poco afortunada, ya que el Registro público al menos otorgaba certeza al ciudadano sobre la identidad del responsable de fichero y la forma en que podía contactarse con el mismo.

Guía para el ciudadano

Otra publicación reciente de la Agencia Española de Protección de Datos a tener en cuenta, surgida en relación con la ya cercana aplicación del Reglamento General de Protección de Datos Europeo (RGPD), es la GUÍA PARA EL CIUDADANO.

 

Se puede consultar directamente aquí:

 

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-idphp.php

 

Conocerla es interesante no sólo para el propio ciudadano, sino también para cualquier empresa o profesional que recabe datos de carácter personal de sus clientes, trabajadores, contactos u otros.

 

La guía comienza dejando claro que desde el momento en que cualquier persona hace algo, hoy día tan habitual, como registrarse en un hotel, pedir una hipoteca, suscribirse a un boletín electrónico de noticias, crearse una cuenta de correo electrónico, una cuenta de cualquier red social, acudir al médico, ser contratado como empleado en una empresa, etc…, esa persona está facilitando datos personales que están siendo tratados por empresas, profesionales, administraciones públicas u otras entidades.

 

Y por tanto, se aplica plenamente la normativa sobre protección de datos de carácter personal.

 

A continuación, la guía hace un repaso por los principios y obligaciones aplicables en el tratamiento de esos datos, a saber:

 

– Principio de calidad.

 

– Principio de información.

 

– Principio de legitimación (Ley, contratos, consentimiento…).

 

– Principio de seguridad.

 

– Principio de cesión.

 

– Principio de tratamiento de datos especialmente protegidos (salud, ideología, origen racial, etc…).

 

En el apartado 4º se desarrollan los derechos de los ciudadanos (acceso, rectificación, oposición, cancelación, portabilidad, derecho al olvido…) y la forma en que estos pueden ser ejercitados.

 

A continuación, se detallan algunos tratamientos especiales de datos, como:

 

– Ficheros de morosos.

 

– Comunidades de propietarios.

 

– Videovigilancia.

 

– Publicidad.

 

– Telecomunicaciones.

 

 

Cada uno de ellos se tratan con detalle en la referida guía.

 

Encargado de tratamiento en el Reglamento Europeo

¿Cómo redacto un contrato con el encargado de tratamiento según el Reglamento Europeo de Protección de Datos?

La Agencia Española de Protección de Datos ha publicado hace poco un documento titulado DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO, basado en las novedades del nuevo Reglamento Europeo de Protección de Datos.

Según dicho Reglamento, se entiendo por Encargado de tratamiento, la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable de ficheros, y que conlleva tratamiento de datos personales por cuenta de dicho responsable.

Para distinguir cuándo hablamos de encargado de tratamiento y cuándo de responsable de ficheros, hay que tener en cuenta que el responsable es siempre quien decide sobre la finalidad y los usos de la información, y el encargado quien sigue sus instrucciones. Éste no puede nunca usar los datos para fines propios.

Es importante tener en cuenta que el Reglamento Europeo impone al responsable de ficheros un deber de diligencia en la elección del encargado de tratamiento que le ha de prestar servicios. No se puede elegir cualquier encargado, sino sólo aquel que cumple las medidas de seguridad reglamentarias y demás preceptos del referido reglamento.

Igualmente importante es la formalización de un contrato o acto jurídico entre el responsable y el encargado de tratamiento, que debe estar sujeto a una serie de parámetros.

Veamos cuáles son a continuación:

1º. El contrato debe contener las instrucciones del responsable al encargado del tratamiento: debe quedar totalmente claro en qué consiste el encargo.

2º. Deber de confidencialidad: habrá que definir cómo va a hacer posible el encargado de tratamiento, el secreto sobre el tratamiento de los datos que lleva a cabo, garantizando que su personal lo respetará.

3º. Medidas de seguridad: en el contrato se ha de recoger la obligación del encargado de adoptar todas las medidas de seguridad exigidas por el Reglamento.

4º. Subcontratación: el contrato regulará el régimen de subcontratación en caso de que se produzca.

5º. Derechos de los interesados: se ha de regular de qué manera el encargado de tratamiento asistirá al responsable en el cumplimiento de la obligación de responder a las solicitudes de derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición…

6º. Colaboración en el cumplimiento de las obligaciones del responsable: el contrato establecerá la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones sobre medidas de seguridad, notificación de violaciones, comunicación de las mismas a los afectados, realización de evaluaciones de impacto y realización de consultas previas.

7º. Destino de los datos al finalizar la prestación: el contrato establecerá cómo se han de tratar los datos una vez finalizado el encargo, y si por tanto, se destruirán o  se devolverán al responsable.

8º. Colaboración con el responsable para demostrar el cumplimiento: el contrato contendrá la obligación del encargado de poner a disposición del responsable toda la información precisa para demostrar el cumplimiento de las obligaciones reglamentarias.

En los anexos del documento de Directrices del que estamos hablando, se proporcionan modelos de contrato para firmar entre el responsable de tratamiento y el encargado.

Se pueden consultar aquí, pinchando en DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php