Guía del Responsable de Tratamiento

Reglamento Europeo Protección Datos

La Agencia Española de Protección de Datos ha publicado hace poco una guía del Reglamento General de Protección de Datos (se refiere al europeo, claro está) para Responsables de tratamiento.

Se publica con la idea de ir preparando a los mismos para la plena aplicación de dicho Reglamento (que es una norma directamente aplicable y que supliría a la norma nacional), prevista para mayo de 2018.

La guía –entre otras- se puede consultar en la web oficial de la AEPD, aquí:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

Si bien, como indica dicha guía, la norma europea tiene muchas similitudes con la actual normativa española, hay dos puntos importantísimos a tener en cuenta:

1º- El principio de responsabilidad proactiva: que es la necesidad de que el Responsable aplique medidas técnicas y organizativas apropiadas para garantizar y demostrar que el tratamiento de datos es conforme al Reglamento. Cada organización deberá analizar qué datos tratan, para qué lo hacen y qué tipo de tratamientos se les aplican. En función de eso, se decidirá qué medidas se deben aplicar. En definitiva, se exige una actitud consciente, diligente y proactiva por parte del responsable de tratamiento de datos de carácter personal.

2º. El enfoque de riesgo: Según el Reglamento Europeo, las medidas de seguridad a adoptar tendrán en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de la persona. Por tanto, cada organización aplicará unas medidas, según sus necesidades.

La Guía recoge las principales cuestiones (que no todas) a tener en cuenta por los responsables de tratamientos de datos.

Al final de la Guía, las organizaciones pueden hacer una serie de verificaciones para comprobar su mayor o menor grado de cumplimiento de la normativa.

Por lo demás, estos son los temas que se tratan en la misma:

1º. Bases de legitimación para el tratamiento de los datos.

2º. Transparencia e información a los interesados.

3º. Derechos (acceso, olvido…).

4º. Relaciones entre Responsable y Encargado de Tratamiento.

5º. Medidas de responsabilidad activa.

6º. Transferencias internacionales de datos.

7º. Tratamiento de datos de menores de edad.

Delegado de protección de datos

¿Necesito nombrar un Delegado de Protección de Datos?
¿Necesito nombrar un Delegado de Protección de Datos?

A raíz de la aprobación del Reglamento Europeo de Protección de Datos, mucho se oye hablar de la figura del DELEGADO DE PROTECCIÓN DE DATOS, similar a la del Responsable de Seguridad establecida en el actual RD 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD.

Dicho Delegado viene definido en los artículos 37, 38 y 39 del Reglamento Europeo.

Lo primero que debemos preguntarnos es si siempre es obligatorio su nombramiento.

La respuesta es no, y sólo procederá en los siguientes casos:

1º. Cuando el tratamiento de datos lo realice una autoridad u organismo público, con excepción de los tribunales de justicia.

2º. Cuando la actividad principal del responsable de fichero consista en operaciones de tratamiento que requieran observación habitual y sistemática de interesados a gran escala.

3º. Cuando la actividad principal del responsable de ficheros consista en el tratamiento a gran escala de categorías especiales de datos personales del artículo 9 (origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) y de datos sobre condenas e infracciones penales.

¿Y qué significa exactamente aquí “gran escala”? Leyendo, no obstante, los Considerandos del Reglamento Europeo, encontramos las siguientes aclaraciones:

1º . El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado.

2º. […] operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad…

Sus funciones exactas están definidas en el artículo 39 del Reglamento Europeo, y serían las siguientes:

1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

 2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

4. Cooperar con la autoridad de control;

5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

¿Y quién puede ser, por último, Delegado?

Dice el Reglamento en sus Considerandos  lo siguiente:

  • Una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos.

  • Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

Cesion de imagenes a Seguro

Cesion imagenes a aseguradora

Resulta muy interesante –por ser un supuesto que puede ocurrir en las instalaciones de cualquier empresa o negocio- el contenido del Informe Jurídico de la Agencia Española de Protección de Datos nº 20 del año 2014.

El informe da respuesta a la siguiente consulta: ¿Es conforme a la LOPD, la cesión de imágenes captadas por sistemas de videovigilancia a una empresa aseguradora, con objeto de acreditar un accidente?

Dicho de otro modo: si alguien sufre un siniestro en nuestro local o instalaciones, y el hecho se ha recogido por las cámaras de videovigilancia: ¿se puede entregar esa grabación a la compañía de seguros contratada que cubre el riesgo, con objeto de demostrar lo realmente sucedido?

La respuesta es sí.

Así lo razona la AEPD:

1º. La imagen es un dato de carácter personal y por tanto, está protegida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

2º. La comunicación de un dato personal a persona distinta del titular, se considera por dicha norma como una cesión de datos (artículo 3.i LOPD).

3º. Toda cesión de datos se debe regir por lo dispuesto en el artículo 11 LOPD, que exige consentimiento previo, expreso e informado del interesado.

4º. No obstante, el artículo 11.2 hace algunas excepciones, entre ellas (apartado a) el hecho de que la cesión esté prevista en alguna Ley.

5º. En este punto, tenemos que el artículo 16 de la Ley 50/1980, de 8 de octubre, de Contrato de Seguro, dispone lo siguiente:

“El tomador del seguro o el asegurado o el beneficiario deberán comunicar al asegurador el acaecimiento del siniestro dentro del plazo máximo de siete días de haberlo conocido, salvo que se haya fijado en la póliza un plazo más amplio. En caso de incumplimiento, el asegurador podrá reclamar los daños y perjuicios causados por la falta de declaración.

(…) El tomador del seguro o el asegurado deberá, además, dar al asegurador toda clase de informaciones sobre las circunstancias y consecuencias del siniestro. En caso de violación de este deber, la pérdida del derecho a la indemnización sólo se producirá en el supuesto de que hubiese concurrido dolo o culpa grave.”

6º. Y precisamente por esto último, concluye la AEPD que la cesión de imágenes a la aseguradora es lícita, argumentando que:

“…si la cesión de las imágenes en las que se constata el accidente sufrido en las instalaciones del consultante, se efectúa a la compañía de seguros con la que el mismo tiene contratado el correspondiente seguro, dicha cesión de datos se encontraría amparada por lo previsto en el artículo 11.2.a de la Ley Orgánica 15/1999, al existir una norma con rango de Ley, la citada Ley de Contrato de seguro, de la que se deriva la obligación del asegurado de facilitar al asegurador toda la información relacionada con las circunstancias del siniestro.”