Categoría: consentimiento LOPD

Instrucciones Agencia Española Protección de Datos

Recientemente, la Agencia Española de Protección de Datos ha publicado una pequeña guía dirigida a las administraciones públicas, sobre cómo organizar la adaptación al Reglamento General de Protección de Datos (en adelante, RGPD), con la idea de facilitar la referida tarea.

Me parece interesante el documento no sólo para las administraciones públicas, sino para todos los responsables y encargados de tratamiento, puesto que también les sirve de orientación en buena medida.

El texto se puede leer aquí:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/Adaptacion_RGPD_AAPP.pdf

Estas son las instrucciones que se proporcionan:

1ª. Designar al DELEGADO DE PROTECCIÓN DE DATOS en los casos que sea obligatorio según el RGPD.

2ª. Confeccionar el REGISTRO DE ACTIVIDADES DE TRATAMIENTO y poner especial atención en los tratamiento de datos especiales (sensibles) y de menores de edad.

3ª. Establecer las bases jurídicas de cada tratamiento (contratos de prestación de servicios, imperativo legal, consentimiento expreso, etc…).

4ª. Hacer un ANÁLISIS DE RIESGOS y teniendo en cuenta el mismo, determinar qué medidas de seguridad se aplicarán para proteger los datos.

5ª. Establecer procesos de VERIFICACIÓN DE LAS MEDIDAS DE SEGURIDAD.

6ª. En el caso de tratamientos de alto riesgo, se deberá llevar a cabo una EVALUACIÓN DE IMPACTO.

7ª. Adaptar las CLÁUSULAS INFORMATIVAS para que se ajusten a las previsiones del RGPD.

8ª. Establecer MEDIOS ELECTRÓNICOS para el ejercicio de los DERECHOS ARCO o derechos de los ciudadanos.

9ª. Revisar los CONSENTIMIENTOS de los interesados, puesto que ahora deben ser EXPRESOS; y dar la posibilidad de revocarlos.

10ª. Adaptar al RGPD los contratos de ENCARGADOS DE TRATAMIENTO y analizar si los mismos cumplen las obligaciones del RGPD.

11ª. Crear y aplicar POLÍTICAS DE PROTECCIÓN DE DATOS y poder demostrarlo.

12ª. Llevar a cabo un plan de FORMACIÓN para los trabajadores en materia de protección de datos.

La mayor parte de estas medidas son perfectamente aplicables a empresas, autónomos y otras entidades que traten datos y que procedan a adaptarse al RGPD, por tanto también pueden tenerlas en cuenta, con las debidas matizaciones.

 

 

Publicidad no deseada

La Agencia Española de Protección de Datos creó hace poco una web sobre la publicidad no deseada, que se puede leer aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

Se trata de una cuestión que afecta a diario tanto a particulares como a empresas y ante la que muchas veces no sabemos reaccionar de forma correcta.

Recordemos que la publicidad con las que nos bombardean -un día sí y otro también- tanto por teléfono como por e-mail, no se adapta a la legislación vigente cuando no ha sido expresamente consentida por nuestra parte con carácter previo (salvo que hayas contratado un servicio o producto antes y te envíen publicidad sobre servicios o productos similares).

En resumen, esto es lo que nos sugiere la AEPD para defender nuestros derechos:

1º. Inscribirse en la lista Robinson (se puede hacer online): Las empresas que van a realizar campañas publicitarias deben antes consultar esta lista para no dirigirse a quienes estén inscritos en ella.

2º. Utilizar las fórmulas anti publicidad que proporcionan las propias empresas que la envían: marcación de la casilla específica de exclusión de publicidad o baja de publicidad a través de e-mail o web habilitada al efecto son las más habituales.

3º. No dar consentimiento para envíos publicitarios: muchas veces lo estamos dando de forma expresa al participar en concursos, aceptar ofertas o registrarnos en webs. Y ojo que el nuevo Reglamento Europeo de Protección de Datos es mucho más duro con la forma de prestar el consentimiento, que deberá ser siempre expreso.

4º. Revocar: El consentimiento que dimos inicialmente para recibir publicidad, es revocable en todo momento. Hay que tener en cuenta que puedes cambiar tu voluntad al respecto cuando quieras, comunicándolo así al emisor de la publicidad.

5º. Ejercitar el derecho de oposición: Es un derecho expresamente reconocido por la normativa vigente y sirve para oponerte a que tus datos se usen con una determinada finalidad (por ejemplo: enviarte publicidad).

6º. Ejercitar el derecho de cancelación: Es otro derecho reconocido por Ley y es más tajante que el anterior. Se trata de pedir que eliminen nuestros datos, de forma que no puedan volver a dirigirse a nosotros.

7º. Solicitar que los datos no aparezcan en las guías telefónicas: Se le solicita al operador que hayamos contratado y deben hacerlo efectivo.

8º. Denunciar ante la Agencia Española de Protección de Datos: Cuando las demás fórmulas no sean eficaces, siempre se puede recurrir a este organismo, presentando la correspondiente denuncia.

 

Consentimiento e información

Reglamento europeo protección datos

El nuevo Reglamento Europeo de Protección de Datos, hace especial énfasis en el tema de la información y  consentimiento para el tratamiento de datos de carácter personal.

Veamos en qué medida se regula esta cuestión y atendamos al tenor literal del considerando 39 del referido texto legal:

1º. Los tratamientos de datos serán siempre lícitos y leales: a la persona le tiene que quedar absolutamente  claro que sus datos se recogen o tratan y en qué medida.

2º. Se consolida el principio de transparencia. Según el mismo, cualquier información o explicación que se proporcione al interesado sobre el tratamiento de sus datos, será de fácil acceso y comprensión, con uso de lenguaje sencillo y claro.

3º. ¿Y sobre qué ha de quedar claramente informada la persona? Pues sobre la identidad del responsable del tratamiento, los fines del mismo, y sus derechos.

4º. Los datos que se recojan serán los adecuados, pertinentes y estrictamente necesarios para el tratamiento que se pretende de los mismos.

5º. Los datos se conservarán por quien los recoja, durante el tiempo mínimo necesario para su tratamiento. Y se fijarán con exactitud cuánto van a durar los plazos de  conservación.

6º. En el tratamiento de los datos, siempre se habrá de garantizar la confidencialidad y seguridad de los mismos, impidiendo el acceso por personas no autorizadas.

7º. Por supuesto, el principio de consentimiento en el tratamiento de datos, es esencial: no se pueden recoger ni tratar datos sin contar antes con la autorización expresa del titular de la información, teniendo no obstante en cuenta, las excepciones legales.

8º. El hecho de que se haya prestado el consentimiento, tiene que poder ser demostrado por la persona o entidad que recoge y trata los datos. Por tanto, el consentimiento nunca se puede suponer. Literalmente, dice el Reglamento Europeo en su considerando 42 que:

“…debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”

9º. Por supuesto, el principio de consentimiento, tiene una serie de excepciones, como:

  • Cuando sea necesario en el contexto de un contrato o de la intención de concluirlo.

 

  • Cuando exista una obligación legal.

 

  • Cuando sea necesario para proteger un interés esencial para la vida de la persona.

10º. Todo lo anterior se recoge expresamente en los artículos 5, 6, 12 y 13 del Reglamento Europeo.