Cómo cumplir la LOPD – Protección de datos en Málaga

¿QUIÉN SOY?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿CUÁL ES MI TITULACIÓN?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero…).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

Antonio el de la salsa y su mono

¿QUÉ SERVICIOS PUEDO PRESTARTE?

– Adaptación a la normativa de protección de datos de carácter personal.

– Auditorías LOPD.

– Adaptación de páginas web a la LSSICE.

– Asesoramiento jurídico sobre nuevas tecnologías en general.

– Formación para ti y tus trabajadores.

Consentimiento e información

Reglamento europeo protección datos

El nuevo Reglamento Europeo de Protección de Datos, hace especial énfasis en el tema de la información y  consentimiento para el tratamiento de datos de carácter personal.

Veamos en qué medida se regula esta cuestión y atendamos al tenor literal del considerando 39 del referido texto legal:

1º. Los tratamientos de datos serán siempre lícitos y leales: a la persona le tiene que quedar absolutamente  claro que sus datos se recogen o tratan y en qué medida.

2º. Se consolida el principio de transparencia. Según el mismo, cualquier información o explicación que se proporcione al interesado sobre el tratamiento de sus datos, será de fácil acceso y comprensión, con uso de lenguaje sencillo y claro.

3º. ¿Y sobre qué ha de quedar claramente informada la persona? Pues sobre la identidad del responsable del tratamiento, los fines del mismo, y sus derechos.

4º. Los datos que se recojan serán los adecuados, pertinentes y estrictamente necesarios para el tratamiento que se pretende de los mismos.

5º. Los datos se conservarán por quien los recoja, durante el tiempo mínimo necesario para su tratamiento. Y se fijarán con exactitud cuánto van a durar los plazos de  conservación.

6º. En el tratamiento de los datos, siempre se habrá de garantizar la confidencialidad y seguridad de los mismos, impidiendo el acceso por personas no autorizadas.

7º. Por supuesto, el principio de consentimiento en el tratamiento de datos, es esencial: no se pueden recoger ni tratar datos sin contar antes con la autorización expresa del titular de la información, teniendo no obstante en cuenta, las excepciones legales.

8º. El hecho de que se haya prestado el consentimiento, tiene que poder ser demostrado por la persona o entidad que recoge y trata los datos. Por tanto, el consentimiento nunca se puede suponer. Literalmente, dice el Reglamento Europeo en su considerando 42 que:

“…debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”

9º. Por supuesto, el principio de consentimiento, tiene una serie de excepciones, como:

  • Cuando sea necesario en el contexto de un contrato o de la intención de concluirlo.

 

  • Cuando exista una obligación legal.

 

  • Cuando sea necesario para proteger un interés esencial para la vida de la persona.

10º. Todo lo anterior se recoge expresamente en los artículos 5, 6, 12 y 13 del Reglamento Europeo.

Delegado de protección de datos

¿Necesito nombrar un Delegado de Protección de Datos?
¿Necesito nombrar un Delegado de Protección de Datos?

A raíz de la aprobación del Reglamento Europeo de Protección de Datos, mucho se oye hablar de la figura del DELEGADO DE PROTECCIÓN DE DATOS, similar a la del Responsable de Seguridad establecida en el actual RD 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD.

Dicho Delegado viene definido en los artículos 37, 38 y 39 del Reglamento Europeo.

Lo primero que debemos preguntarnos es si siempre es obligatorio su nombramiento.

La respuesta es no, y sólo procederá en los siguientes casos:

1º. Cuando el tratamiento de datos lo realice una autoridad u organismo público, con excepción de los tribunales de justicia.

2º. Cuando la actividad principal del responsable de fichero consista en operaciones de tratamiento que requieran observación habitual y sistemática de interesados a gran escala.

3º. Cuando la actividad principal del responsable de ficheros consista en el tratamiento a gran escala de categorías especiales de datos personales del artículo 9 (origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) y de datos sobre condenas e infracciones penales.

¿Y qué significa exactamente aquí “gran escala”? Leyendo, no obstante, los Considerandos del Reglamento Europeo, encontramos las siguientes aclaraciones:

1º . El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado.

2º. […] operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad…

Sus funciones exactas están definidas en el artículo 39 del Reglamento Europeo, y serían las siguientes:

1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

 2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

4. Cooperar con la autoridad de control;

5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

¿Y quién puede ser, por último, Delegado?

Dice el Reglamento en sus Considerandos  lo siguiente:

  • Una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos.

  • Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

Adaptación Reglamento Europeo Protección de Datos

Reglamento Europeo Protección de Datos
Reglamento Europeo Protección de Datos

 

La Agencia Española de Protección de Datos (AEPD), publicó el pasado 29 de julio de 2016, una nota de prensa titulada IMPLICACIONES PRÁCTICAS DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA ENTIDADES EN EL PERIODO DE TRANSICIÓN. Veamos un resumen de lo que se ha dicho, ya que sin duda, afecta a profesionales, empresas y organizaciones para su adecuación futura al Reglamento europeo:

1º. La AEPD recomienda que las empresas se vayan adaptando a la nueva situación, aunque el reglamento no se aplique hasta 2018.

2º. Se ha de tener en cuenta que el consentimiento que las personas otorguen para tratamiento de sus datos, deberá ser siempre expreso, claro e inequívoco. Los consentimientos tácitos que pudieran existir, dejarán de tener validez, por lo que siempre se habrán de obtener de forma expresa.

3º. Las cláusulas informativas sobre protección de datos, se han de revisar, con objeto de adaptarlas al Reglamento.

4º. En algunas organizaciones se hace obligatoria la realización de un informe de evaluación de impacto. Se habrá de revisar si procede en cada caso.

5º. Se prevé la emisión de certificaciones en materia de protección de datos, al igual que ya se viene haciendo con temas como calidad o medio ambiente.

6º. Se crea la figura del Delegado de Protección de Datos. No se aclara de momento si este delegado debe cumplir algún requisito profesional. No obstante, la AEPD entiende que servirá que se acredite ser profesional con conocimiento y experiencia en la materia.

7º. Se han de revisar los contratos de encargados de tratamiento, para adaptarlos al Reglamento. La Agencia emitirá más adelante, recomendaciones al respecto.

8º. No obstante, se ha de seguir atento a las instrucciones de la AEPD, pues según la misma manifiesta:

La AEPD está trabajando en la preparación de herramientas que ayuden a responsables y encargados al entendimiento y cumplimiento del Reglamento. Entre ellas, hay que destacar un recurso online orientado a las pymes que realicen tratamientos de bajo o muy bajo riesgo, de forma que puedan constatar de una manera sencilla que se encuentran en esa situación y, a la vez, disponer de una lista de las medidas que tienen que implantar en función de ese bajo nivel de riesgo. 

Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor como consecuencia de alguna circunstancia concreta -como puede ser el manejo de datos sensibles- y que incluirá un apartado dedicado a las medidas de seguridad que deben implantarse.

La AEPD está trabajando junto a las Agencias autonómicas en cláusulas informativas adaptadas al nuevo Reglamento para sectores o tratamientos diferenciados. Así, está previsto ofrecer una serie de recomendaciones o criterios para ayudar a reflejar los distintos puntos que el Reglamento exige en la información.