Cómo cumplir la LOPD – Protección de datos en Málaga

¿QUIÉN SOY?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿CUÁL ES MI TITULACIÓN?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero…).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

Antonio el de la salsa y su mono

¿QUÉ SERVICIOS PUEDO PRESTARTE?

– Adaptación a la normativa de protección de datos de carácter personal.

– Auditorías LOPD.

– Adaptación de páginas web a la LSSICE.

– Asesoramiento jurídico sobre nuevas tecnologías en general.

– Formación para ti y tus trabajadores.

Publicidad no deseada

Publicidad no deseada

La Agencia Española de Protección de Datos creó hace poco una web sobre la publicidad no deseada, que se puede leer aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

Se trata de una cuestión que afecta a diario tanto a particulares como a empresas y ante la que muchas veces no sabemos reaccionar de forma correcta.

Recordemos que la publicidad con las que nos bombardean -un día sí y otro también- tanto por teléfono como por e-mail, no se adapta a la legislación vigente cuando no ha sido expresamente consentida por nuestra parte con carácter previo (salvo que hayas contratado un servicio o producto antes y te envíen publicidad sobre servicios o productos similares).

En resumen, esto es lo que nos sugiere la AEPD para defender nuestros derechos:

1º. Inscribirse en la lista Robinson (se puede hacer online): Las empresas que van a realizar campañas publicitarias deben antes consultar esta lista para no dirigirse a quienes estén inscritos en ella.

2º. Utilizar las fórmulas anti publicidad que proporcionan las propias empresas que la envían: marcación de la casilla específica de exclusión de publicidad o baja de publicidad a través de e-mail o web habilitada al efecto son las más habituales.

3º. No dar consentimiento para envíos publicitarios: muchas veces lo estamos dando de forma expresa al participar en concursos, aceptar ofertas o registrarnos en webs. Y ojo que el nuevo Reglamento Europeo de Protección de Datos es mucho más duro con la forma de prestar el consentimiento, que deberá ser siempre expreso.

4º. Revocar: El consentimiento que dimos inicialmente para recibir publicidad, es revocable en todo momento. Hay que tener en cuenta que puedes cambiar tu voluntad al respecto cuando quieras, comunicándolo así al emisor de la publicidad.

5º. Ejercitar el derecho de oposición: Es un derecho expresamente reconocido por la normativa vigente y sirve para oponerte a que tus datos se usen con una determinada finalidad (por ejemplo: enviarte publicidad).

6º. Ejercitar el derecho de cancelación: Es otro derecho reconocido por Ley y es más tajante que el anterior. Se trata de pedir que eliminen nuestros datos, de forma que no puedan volver a dirigirse a nosotros.

7º. Solicitar que los datos no aparezcan en las guías telefónicas: Se le solicita al operador que hayamos contratado y deben hacerlo efectivo.

8º. Denunciar ante la Agencia Española de Protección de Datos: Cuando las demás fórmulas no sean eficaces, siempre se puede recurrir a este organismo, presentando la correspondiente denuncia.

 

Certificación Delegado Protección Datos

Certificado Delegado Protección Datos

 

Como sabemos, el Reglamento General de Protección de Datos Europeo, exige –entre otras cosas- la designación de un Delegado de Protección de Datos en el caso de las Administraciones Públicas, de entidades que realicen una observación habitual y sistemática de las personas a gran escala, y de entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles.

Y tal y como sucede con casi todas las novedades legislativas, mucho se está hablando de esta figura y continuamente se está generando confusión e ideas erróneas.

Hace poco, precisamente, presentaba la Agencia Española de Protección de Datos su Esquema de Certificación de Delegados de Protección de Datos, junto a ENAC, y ya se comienza a hablar de la obligatoriedad de que tu Delegado de Protección de Datos esté certificado.

Pero eso es incorrecto.

Una cosa es que sea recomendable establecer sistema de certificación, y otra que el Reglamente Europeo lo exija.

Ninguna norma impone la obligación de que el Delegado de Protección de Datos esté certificado.

No obstante (entiendo que claramente por intereses económicos de Certificadoras y otros organismos), se está dando gran importancia a la certificación. El mensaje que se lanza es que si bien no es obligatoria, es garantía de profesionalidad.

En mi opinión, poco garantizan la mayoría de las veces estas certificaciones. A mí lo único que me dejan claro es que alguien ha pagado más de mil euros por obtener un título (para que encima no te lo den, claro…). De hecho, he asistido a más de un proceso de certificación y risa me da lo que allí se ha certificado.

Pero claro, el negocio es el negocio.

Dice literalmente la AEPD en su comunicado que:

“La AEPD ha optado por promover un sistema de certificación de DPD con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones, ofreciendo un mecanismo que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados.

“La certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar un determinado esquema, si bien la Agencia ha considerado necesario ofrecer un punto de referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que pueda servir como garantía para acreditar la cualificación y capacidad profesional de los candidatos a Delegado de Protección de Datos.”

Registro de actividades

Inscripción ficheros y registro actividades

Una de las novedades que introduce el Reglamento General Europeo de Protección de datos es que desaparece la obligación de inscribir los ficheros en el Registro de la Agencia Española de Protección de Datos (AEPD).

No obstante, la obligación queda sustituida por otra similar: la obligación de tener un REGISTRO DE ACTIVIDADES.

Veamos qué es eso exactamente:

Lo dice su artículo 30: el responsable de fichero y, en su caso, su representante llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad. Lo que se traduce en la obligación de describir qué datos se recogen, con qué fin se tratan, a quién o quiénes se comunican, si se transfieren a terceros países, qué medidas técnicas y organizativas se aplicará para preservar su seguridad, y cuándo se puede proceder a su  supresión.

Es un control muy similar al que se viene realizando a través de los formularios NOTA, para la inscripción de ficheros en el Registro de la AEPD, salvo por algún detalle.

En el formulario NOTA se ha de hacer constar quién recoge datos y sus datos de contacto exactos, qué datos se recogen, con qué fin, de quién se recogen, qué medidas de seguridad se van tomar sobre los mismos, si el fichero es automatizado, manual o mixto y si esos datos van a cederse a terceros o si van a transferirse fuera del Espacio Económico Europeo.

El contenido no se modifica a penas, pero sí la forma.

No habrá que formalizar esta obligación mediante la inscripción obligatoria por el formulario NOTA, pero sí llevar el REGISTRO DE ACTIVIDADES  a nivel interno.

Y como indica la propia AEPD, “la existencia del Registro de Ficheros puede convertirse en una herramienta de ayuda y un punto de partida ante la tarea que será obligatoria a partir del 25 de mayo de 2018.”

Es decir, que si bien el referido Registro pierde su obligatoriedad, sí que sirve como modelo y punto de partida para hacer el Registro de Actividades.

Mi opinión personal es que resulta una modificación poco afortunada, ya que el Registro público al menos otorgaba certeza al ciudadano sobre la identidad del responsable de fichero y la forma en que podía contactarse con el mismo.