Publicidad no deseada

La Agencia Española de Protección de Datos creó hace poco una web sobre la publicidad no deseada, que se puede leer aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

Se trata de una cuestión que afecta a diario tanto a particulares como a empresas y ante la que muchas veces no sabemos reaccionar de forma correcta.

Recordemos que la publicidad con las que nos bombardean -un día sí y otro también- tanto por teléfono como por e-mail, no se adapta a la legislación vigente cuando no ha sido expresamente consentida por nuestra parte con carácter previo (salvo que hayas contratado un servicio o producto antes y te envíen publicidad sobre servicios o productos similares).

En resumen, esto es lo que nos sugiere la AEPD para defender nuestros derechos:

1º. Inscribirse en la lista Robinson (se puede hacer online): Las empresas que van a realizar campañas publicitarias deben antes consultar esta lista para no dirigirse a quienes estén inscritos en ella.

2º. Utilizar las fórmulas anti publicidad que proporcionan las propias empresas que la envían: marcación de la casilla específica de exclusión de publicidad o baja de publicidad a través de e-mail o web habilitada al efecto son las más habituales.

3º. No dar consentimiento para envíos publicitarios: muchas veces lo estamos dando de forma expresa al participar en concursos, aceptar ofertas o registrarnos en webs. Y ojo que el nuevo Reglamento Europeo de Protección de Datos es mucho más duro con la forma de prestar el consentimiento, que deberá ser siempre expreso.

4º. Revocar: El consentimiento que dimos inicialmente para recibir publicidad, es revocable en todo momento. Hay que tener en cuenta que puedes cambiar tu voluntad al respecto cuando quieras, comunicándolo así al emisor de la publicidad.

5º. Ejercitar el derecho de oposición: Es un derecho expresamente reconocido por la normativa vigente y sirve para oponerte a que tus datos se usen con una determinada finalidad (por ejemplo: enviarte publicidad).

6º. Ejercitar el derecho de cancelación: Es otro derecho reconocido por Ley y es más tajante que el anterior. Se trata de pedir que eliminen nuestros datos, de forma que no puedan volver a dirigirse a nosotros.

7º. Solicitar que los datos no aparezcan en las guías telefónicas: Se le solicita al operador que hayamos contratado y deben hacerlo efectivo.

8º. Denunciar ante la Agencia Española de Protección de Datos: Cuando las demás fórmulas no sean eficaces, siempre se puede recurrir a este organismo, presentando la correspondiente denuncia.

 

Encargado de tratamiento en el Reglamento Europeo

¿Cómo redacto un contrato con el encargado de tratamiento según el Reglamento Europeo de Protección de Datos?

La Agencia Española de Protección de Datos ha publicado hace poco un documento titulado DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO, basado en las novedades del nuevo Reglamento Europeo de Protección de Datos.

Según dicho Reglamento, se entiendo por Encargado de tratamiento, la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable de ficheros, y que conlleva tratamiento de datos personales por cuenta de dicho responsable.

Para distinguir cuándo hablamos de encargado de tratamiento y cuándo de responsable de ficheros, hay que tener en cuenta que el responsable es siempre quien decide sobre la finalidad y los usos de la información, y el encargado quien sigue sus instrucciones. Éste no puede nunca usar los datos para fines propios.

Es importante tener en cuenta que el Reglamento Europeo impone al responsable de ficheros un deber de diligencia en la elección del encargado de tratamiento que le ha de prestar servicios. No se puede elegir cualquier encargado, sino sólo aquel que cumple las medidas de seguridad reglamentarias y demás preceptos del referido reglamento.

Igualmente importante es la formalización de un contrato o acto jurídico entre el responsable y el encargado de tratamiento, que debe estar sujeto a una serie de parámetros.

Veamos cuáles son a continuación:

1º. El contrato debe contener las instrucciones del responsable al encargado del tratamiento: debe quedar totalmente claro en qué consiste el encargo.

2º. Deber de confidencialidad: habrá que definir cómo va a hacer posible el encargado de tratamiento, el secreto sobre el tratamiento de los datos que lleva a cabo, garantizando que su personal lo respetará.

3º. Medidas de seguridad: en el contrato se ha de recoger la obligación del encargado de adoptar todas las medidas de seguridad exigidas por el Reglamento.

4º. Subcontratación: el contrato regulará el régimen de subcontratación en caso de que se produzca.

5º. Derechos de los interesados: se ha de regular de qué manera el encargado de tratamiento asistirá al responsable en el cumplimiento de la obligación de responder a las solicitudes de derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición…

6º. Colaboración en el cumplimiento de las obligaciones del responsable: el contrato establecerá la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones sobre medidas de seguridad, notificación de violaciones, comunicación de las mismas a los afectados, realización de evaluaciones de impacto y realización de consultas previas.

7º. Destino de los datos al finalizar la prestación: el contrato establecerá cómo se han de tratar los datos una vez finalizado el encargo, y si por tanto, se destruirán o  se devolverán al responsable.

8º. Colaboración con el responsable para demostrar el cumplimiento: el contrato contendrá la obligación del encargado de poner a disposición del responsable toda la información precisa para demostrar el cumplimiento de las obligaciones reglamentarias.

En los anexos del documento de Directrices del que estamos hablando, se proporcionan modelos de contrato para firmar entre el responsable de tratamiento y el encargado.

Se pueden consultar aquí, pinchando en DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

Delegado de protección de datos

¿Necesito nombrar un Delegado de Protección de Datos?
¿Necesito nombrar un Delegado de Protección de Datos?

A raíz de la aprobación del Reglamento Europeo de Protección de Datos, mucho se oye hablar de la figura del DELEGADO DE PROTECCIÓN DE DATOS, similar a la del Responsable de Seguridad establecida en el actual RD 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD.

Dicho Delegado viene definido en los artículos 37, 38 y 39 del Reglamento Europeo.

Lo primero que debemos preguntarnos es si siempre es obligatorio su nombramiento.

La respuesta es no, y sólo procederá en los siguientes casos:

1º. Cuando el tratamiento de datos lo realice una autoridad u organismo público, con excepción de los tribunales de justicia.

2º. Cuando la actividad principal del responsable de fichero consista en operaciones de tratamiento que requieran observación habitual y sistemática de interesados a gran escala.

3º. Cuando la actividad principal del responsable de ficheros consista en el tratamiento a gran escala de categorías especiales de datos personales del artículo 9 (origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) y de datos sobre condenas e infracciones penales.

¿Y qué significa exactamente aquí “gran escala”? Leyendo, no obstante, los Considerandos del Reglamento Europeo, encontramos las siguientes aclaraciones:

1º . El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado.

2º. […] operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad…

Sus funciones exactas están definidas en el artículo 39 del Reglamento Europeo, y serían las siguientes:

1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

 2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

4. Cooperar con la autoridad de control;

5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

¿Y quién puede ser, por último, Delegado?

Dice el Reglamento en sus Considerandos  lo siguiente:

  • Una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos.

  • Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.