Derechos ARCO en el RGPD

Derechos ARCO

Hace unos días, publicaba la Agencia Española de Protección de Datos en su web una reseña sobre los derechos de los ciudadanos en materia de protección de datos, haciendo énfasis y recordando que el Reglamento General de Protección de Datos europeo refuerza dichos derechos, lo que inevitablemente ha de ser tenido en cuenta por los responsables de fichero en su actividad diaria.

Estos son los puntos que se destacan:

1º. Además de los ya conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), el Reglamento añade los derechos de portabilidad, supresión y limitación.

2º. Una vez más se recuerda que el Reglamento cambia el modo en que las organizaciones gestionan la protección de datos, siendo ahora necesaria la adopción de medidas conscientes, diligentes y proactivas.

3º. La Agencia Española de Protección de Datos pone de manifiesto que ha publicado una infografía específica sobre estos derechos, que se puede leer en el siguiente enlace:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/RGPD_Derechos_ciudadanos_AEPD.pdf

4º. El derecho de portabilidad consiste en la posibilidad de alguien que haya proporcionado sus datos a un proveedor de servicios, pueda pedir la recuperación y traslado de esos datos a otra plataforma cuando sea técnicamente posible.

5º. El derecho de supresión vendría a sustituir al actual derecho de cancelación.

6º. El citado Reglamento refuerza no sólo los derechos ejercitables antes empresas de la Unión Europea, sino también ante las ubicadas fuera de la Unión.

7º. La forma de ejercitar estos derechos será, primero, dirigir una petición a la entidad que trate los datos (la AEPD cuenta en su web con formularios para ello). Y si dicha entidad no contesta o la respuesta no se considera satisfactoria, el ciudadano ya sí podrá acudir a la AEPD y formular reclamación.

8º. Por último, la AEPD recuerda que ha lanzado un espacio web con consejos sobre cómo evitar la publicidad no deseada y otro para ayudar a reclamar sus derechos en materia de telecomunicaciones. Se pueden consultar aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/reclamaciones_telecomunicaciones/index-ides-idphp.php

También se deja de manifiesto la existencia de un sistema voluntario de mediación al que se han adherido las principales empresas de telecomunicaciones, con el objetivo de resolver de forma ágil las reclamaciones sobre protección de datos.

Requisitos contratación encargados tratamiento

Como sabemos y según lo define el artículo 4.8) RGPD, el encargado de tratamiento es:

 

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

 

Ejemplos: el asesor fiscal que lleva la contabilidad e impuestos de una empresa y tiene que acceder a los datos personales que hay en sus facturas; o el asesor laboral que lleva las nóminas de una empresa y tiene que acceder a los datos de los trabajadores.

 

Pues bien, en aplicación de esta normativa, no se puede contratar a cualquier encargado de tratamiento, porque el artículo 28.1 del RGPD deja muy claro que el responsable de tratamiento que contrate a un encargado de tratamiento está obligado a elegir únicamente a aquellos que garanticen de suficientemente la aplicación de medidas técnicas y organizativas apropiadas, de forma que el tratamiento se ajuste al RGPD y garantice la protección de los derechos del interesado.

 

Sin embargo, nada explica el RGPD sobre cómo se pueden obtener esas garantías, más allá de la posibilidad (voluntaria, ojo) de que el encargado de tratamiento esté adherido a un código de conducta o tenga una certificación.

 

En mi opinión, fuera de estos casos, al menos habría que demostrar que se ha requerido (y que el encargado ha aportado) los siguientes documentos:

 

– Su catálogo de medidas de seguridad.

 

– Su registro de actividades de tratamiento, cuando proceda.

 

– Los datos de contacto de su Delegado de Protección de Datos y la comunicación oficial de nombramiento cuando proceda (que podrá comprobarse en el correspondiente registro de la Agencia Española de Protección de Datos).

 

¿Y se le podría pedir incluso el análisis de riesgos y/o evaluación de impacto? En principio sí. Cuestión distinta es que el encargado de tratamiento lo considere un documento más o menos confidencial.

Registro Actividades y AEPD

Cómo hacer un registro de actividades

En fecha reciente, la Agencia Española de Protección de Datos, publicaba una noticia titulada NUEVA FUNCIONALIDAD DEL SERVICIO DE SOLICITUD DE COPIA DE LA INSCRIPCIÓN DE FICHEROS, que se puede leer completa aquí:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_11_21-ides-idphp.php

Se trata de que accediendo a la sección indicada, los responsables de tratamiento puedan descargar en formato digital un contenido que puede servir de base para confeccionar el Registro de actividades exigido en el artículo 30 del Reglamento General de Protección de Datos europeo.

Eso sí, no se debe olvidar que este Registro no será obligatorio para ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

El Registro de actividades viene a sustituir a la obligación de notificar los ficheros al Registro de la Agencia Española de Protección de Datos, de modo que a partir de finales de mayo de 2018 la obligación de notificación dejará de existir, pero será necesario confeccionar este Registro o inventario de tratamientos de datos.

El Registro no hace falta que se publique ni se envíe a ningún organismo, pero tendrá que estar a disposición de la Agencia Española de Protección de Datos u organismo equivalente que lo solicite. No obstante, las administraciones públicas sí que tienen que publicarlo, siendo accesible por medios electrónicos (en su web, por ejemplo).

La obligación incumbe –con la expeción antes mencionada- tanto a responsables de fichero como a encargados de tratamiento.

En la web de la Agencia, lo que se puede descargar es un Excel o XML con el contenido completo de las inscripciones efectuadas.

La herramienta de la Agencia FACILITA, de la que ya hemos hablado en otra ocasión, genera –entre otros documentos- la estructura y contenido del registro de actividades, por lo que puede servir de guía, al menos para entidades que no presentan riesgos en materia de tratamiento de datos de carácter personal.