Derechos ARCO en el RGPD

Derechos ARCO

Hace unos días, publicaba la Agencia Española de Protección de Datos en su web una reseña sobre los derechos de los ciudadanos en materia de protección de datos, haciendo énfasis y recordando que el Reglamento General de Protección de Datos europeo refuerza dichos derechos, lo que inevitablemente ha de ser tenido en cuenta por los responsables de fichero en su actividad diaria.

Estos son los puntos que se destacan:

1º. Además de los ya conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), el Reglamento añade los derechos de portabilidad, supresión y limitación.

2º. Una vez más se recuerda que el Reglamento cambia el modo en que las organizaciones gestionan la protección de datos, siendo ahora necesaria la adopción de medidas conscientes, diligentes y proactivas.

3º. La Agencia Española de Protección de Datos pone de manifiesto que ha publicado una infografía específica sobre estos derechos, que se puede leer en el siguiente enlace:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/RGPD_Derechos_ciudadanos_AEPD.pdf

4º. El derecho de portabilidad consiste en la posibilidad de alguien que haya proporcionado sus datos a un proveedor de servicios, pueda pedir la recuperación y traslado de esos datos a otra plataforma cuando sea técnicamente posible.

5º. El derecho de supresión vendría a sustituir al actual derecho de cancelación.

6º. El citado Reglamento refuerza no sólo los derechos ejercitables antes empresas de la Unión Europea, sino también ante las ubicadas fuera de la Unión.

7º. La forma de ejercitar estos derechos será, primero, dirigir una petición a la entidad que trate los datos (la AEPD cuenta en su web con formularios para ello). Y si dicha entidad no contesta o la respuesta no se considera satisfactoria, el ciudadano ya sí podrá acudir a la AEPD y formular reclamación.

8º. Por último, la AEPD recuerda que ha lanzado un espacio web con consejos sobre cómo evitar la publicidad no deseada y otro para ayudar a reclamar sus derechos en materia de telecomunicaciones. Se pueden consultar aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/reclamaciones_telecomunicaciones/index-ides-idphp.php

También se deja de manifiesto la existencia de un sistema voluntario de mediación al que se han adherido las principales empresas de telecomunicaciones, con el objetivo de resolver de forma ágil las reclamaciones sobre protección de datos.

Requisitos contratación encargados tratamiento

Como sabemos y según lo define el artículo 4.8) RGPD, el encargado de tratamiento es:

 

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

 

Ejemplos: el asesor fiscal que lleva la contabilidad e impuestos de una empresa y tiene que acceder a los datos personales que hay en sus facturas; o el asesor laboral que lleva las nóminas de una empresa y tiene que acceder a los datos de los trabajadores.

 

Pues bien, en aplicación de esta normativa, no se puede contratar a cualquier encargado de tratamiento, porque el artículo 28.1 del RGPD deja muy claro que el responsable de tratamiento que contrate a un encargado de tratamiento está obligado a elegir únicamente a aquellos que garanticen de suficientemente la aplicación de medidas técnicas y organizativas apropiadas, de forma que el tratamiento se ajuste al RGPD y garantice la protección de los derechos del interesado.

 

Sin embargo, nada explica el RGPD sobre cómo se pueden obtener esas garantías, más allá de la posibilidad (voluntaria, ojo) de que el encargado de tratamiento esté adherido a un código de conducta o tenga una certificación.

 

En mi opinión, fuera de estos casos, al menos habría que demostrar que se ha requerido (y que el encargado ha aportado) los siguientes documentos:

 

– Su catálogo de medidas de seguridad.

 

– Su registro de actividades de tratamiento, cuando proceda.

 

– Los datos de contacto de su Delegado de Protección de Datos y la comunicación oficial de nombramiento cuando proceda (que podrá comprobarse en el correspondiente registro de la Agencia Española de Protección de Datos).

 

¿Y se le podría pedir incluso el análisis de riesgos y/o evaluación de impacto? En principio sí. Cuestión distinta es que el encargado de tratamiento lo considere un documento más o menos confidencial.

Certificación Delegado Protección Datos

Certificado Delegado Protección Datos

 

Como sabemos, el Reglamento General de Protección de Datos Europeo, exige –entre otras cosas- la designación de un Delegado de Protección de Datos en el caso de las Administraciones Públicas, de entidades que realicen una observación habitual y sistemática de las personas a gran escala, y de entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles.

Y tal y como sucede con casi todas las novedades legislativas, mucho se está hablando de esta figura y continuamente se está generando confusión e ideas erróneas.

Hace poco, precisamente, presentaba la Agencia Española de Protección de Datos su Esquema de Certificación de Delegados de Protección de Datos, junto a ENAC, y ya se comienza a hablar de la obligatoriedad de que tu Delegado de Protección de Datos esté certificado.

Pero eso es incorrecto.

Una cosa es que sea recomendable establecer sistema de certificación, y otra que el Reglamente Europeo lo exija.

Ninguna norma impone la obligación de que el Delegado de Protección de Datos esté certificado.

No obstante (entiendo que claramente por intereses económicos de Certificadoras y otros organismos), se está dando gran importancia a la certificación. El mensaje que se lanza es que si bien no es obligatoria, es garantía de profesionalidad.

En mi opinión, poco garantizan la mayoría de las veces estas certificaciones. A mí lo único que me dejan claro es que alguien ha pagado más de mil euros por obtener un título (para que encima no te lo den, claro…). De hecho, he asistido a más de un proceso de certificación y risa me da lo que allí se ha certificado.

Pero claro, el negocio es el negocio.

Dice literalmente la AEPD en su comunicado que:

“La AEPD ha optado por promover un sistema de certificación de DPD con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones, ofreciendo un mecanismo que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados.

“La certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar un determinado esquema, si bien la Agencia ha considerado necesario ofrecer un punto de referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que pueda servir como garantía para acreditar la cualificación y capacidad profesional de los candidatos a Delegado de Protección de Datos.”