Nueva normativa igual a nuevas medidas de seguridad

Desde que a finales de 2007 entrase en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, las empresas han tenido relativamente “fácil” cumplir con la normativa relativa a la protección de datos.

Y es que, dicho Reglamento (aún vigente) establece cuáles son las medidas de seguridad exactas que los responsables de los ficheros (las empresas) deben cumplir en función del tipo de dato personal que tratan, estructurándose o dividiéndose en datos de nivel básico, medio y alto.

Ahora bien, la reciente entrada en vigor del Reglamento Europeo de Protección de Datos, de aplicación directa para todos los Estados miembros y de obligado cumplimiento a partir del 25 de mayo de 2018, cambia totalmente esta situación.

Seguir leyendo

Evaluación de impacto relativa a la protección de datos. Nueva obligación.

A finales de octubre de 2014, os hablaba en un artículo sobre la privacidad desde el diseño y los planes de evaluación de impacto en materia de protección de datos y, os contaba, que pese a recomendarse por la Agencia Española de Protección de Datos llevar a cabo este tipo de planes ante proyectos que pudieran poner en riesgo la intimidad y privacidad del usuario, en España no era obligatorio, aunque si recomendable.

Pues bien, con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, de aplicación directa para todos los Estados miembros de la Unión Europea y de obligado cumplimiento a partir del 25 de mayo de 2018, realizar planes de evaluación de impacto en materia de protección de datos pasa a ser obligatorio para algunos tratamientos de datos personales.

La Evaluación de impacto relativa a la protección de datos.

Los planes de Evaluación de impacto relativos a la protección de datos tienen como finalidad proteger la intimidad y privacidad del usuario. Así, cuando tenemos entre las manos un proyecto de negocio que tratará datos de personas físicas que, podrían correr riesgo por el tipo de dato del que se trate o que por la naturaleza del proyecto podría ponerse en riesgo la intimidad y privacidad del usuario y/o cliente, será necesario y obligatorio realizar una Evaluación de impacto relativo a la protección de datos.

Seguir leyendo

Ambito de aplicación del nuevo Reglamento Europeo de Protección de Datos

La entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, el pasado 25 de mayo de 2016, aunque no aplicable hasta dentro de dos años, esto es, hasta el 25 de mayo de 2018, supone un cambio drástico respecto a la actual normativa del derecho a la protección de datos personales de las personas físicas.

Así, uno de los cambios más significativos o que, sin duda, más darán que hablar, es el ámbito territorial de aplicación del nuevo Reglamento Europeo de Protección de datos y es que, será aplicable para el tratamiento de datos personales de todos los ciudadanos europeos (personas físicas), con independencia de que el tratamiento se lleve a cabo por una empresa que se encuentre ubicada en la Unión Europea o fuera de ésta (ya sea, porque ofrece al ciudadano europeo sus bienes o servicios o porque hace un seguimiento de su conducta). Es decir, las empresas, estén o no físicamente dentro de la Unión Europea, que ofrezcan sus bienes y servicios en Europa, aunque estos sean gratuitos  y/o controlen el comportamiento de las personas físicas residentes en Europa, deberán cumplir con la nueva normativa.

Además, el Reglamento Europeo de Protección de Datos, también será de aplicación directa para todas las empresas que se encuentren dentro de la Unión Europea, traten o no datos personales de ciudadanos europeos.

Seguir leyendo

Derecho a la portabilidad de los datos personales

Una de las novedades más llamativas o, por lo menos, una de las más relevantes del nuevo Reglamento Europeo de Protección de Datos (aplicable de forma directa para toda la Unión Europea a partir del 25 de mayo de 2018) es el llamado derecho a la portabilidad de los datos.

¿En que consiste el derecho a la portabilidad de los datos?

El derecho a la portabilidad de los datos consiste en reconocer a cualquier ciudadano europeo el derecho (y, a partir del 25 de mayo de 2018, así podrá ejercerlo) a que cualquier empresa que trate sus datos personales de forma automatizada (informáticamente hablando) se los entregue o los transmita a cualquier otra empresa (por él designada) en un formato organizado, legible y mecanizado.

En definitiva, se trata del derecho a que los datos personales de un ciudadano europeo, recogidos en archivos automatizados, puedan serle entregados a él o traspasados, si así éste lo solicita, a otra empresa de forma fácil y ágil y directa entre las dos empresas.

Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato.

Seguir leyendo

Las funciones del Delegado de Protección de Datos (DPO)

La reciente aprobación del Reglamento Europeo de Protección de Datos va a suponer grandes cambios sobre la aplicación de la normativa en materia de protección de datos, uno de estos cambios, es la aparición de una nueva figura: el Delegado de Protección de Datos o DPO por sus siglas en inglés (“Data Protection Officer”).

¿Cuáles son las funciones del Delegado de Protección de Datos (DPO)?

El artículo 39 del Reglamento Europeo de Protección de Datos establece:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.

d) cooperar con la autoridad de control.

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Seguir leyendo

¿Cuándo es obligatorio contratar a un Delegado de Protección de Datos (DPO)?

Tras la reciente aprobación y entrada en vigor del Reglamento Europeo de Protección de Datos, de directa y obligada aplicación dentro de dos años, nos encontramos con algunos cambios significativos a nivel de protección de datos, entre ellos, nos encontramos con la figura del Delegado de Protección de Datos o DPO (sus siglas en inglés – “Data Protection Officer”), figura que no existía hasta la fecha.

Dicha figura viene regulada en los artículos 37 a 39 del precitado Reglamento.

¿Cuándo se tiene que contar con la presencia de un Delegado de Protección de Datos (DPO)?

Según establece el artículo 37.1 del Reglamento Europeo de Protección de Datos:

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Así, todos los organismos públicos estarán obligados a contar con la ayuda de un Delegado de Protección de Datos (DPO), eso sí, el Reglamento posibilita que un conjunto de organismos dispongan de un único DPO teniendo en cuenta su estructura organizativa y tamaño.

Seguir leyendo

¿Puedo utilizar empresas de EEUU para almacenar datos personales?

¿Qué está pasando con las transferencias internacionales de datos a EEUU?

En estos últimos meses, muchos habréis leído u escuchado que ya no podemos almacenar datos personales en programas, servidores…que estén alojados en EEUU (el caso más típico y sobre el que he recibido más consultas es Dropbox).

Esto no es así del todo, paso a explicarme:

Hasta la fecha, para poder almacenar datos personales de nuestros clientes, trabajadores, usuarios, etc. en servidores, empresas, programas…debíamos asegurarnos de que dichos datos personales se quedaban en Europa para cumplir con la ley de protección de datos ya que, la normativa de protección de datos proviene de una Directiva Europea que vincula a todos los Estados miembros, más o menos, en la misma medida (dependiendo de cómo cada Estado haya implantado los requisitos legales mínimos de la Directiva Europea. En el caso de España, actualmente, es de las normativas más restrictivas).

No obstante y pese a lo dicho, cabía la posibilidad de que se almacenasen datos personales fuera de Europa, por ejemplo, en EEUU, siempre y cuando, la empresa donde su fuesen a almacenar estuviese adherida al “Safe Harbor” o “protocolo de puerto seguro”.

Seguir leyendo

¿Puedo comprar o vender una base de datos?

Recientemente, me ha llegado una consulta en relación a la compraventa de bases de datos. Y es que, es muy común iniciar un proyecto en el que se recogen datos personales de usuarios y clientes, consiguiendo finalmente una gran base de datos y que, posteriormente, se quiera sacar provecho económico de la misma, ya sea adquiriéndola o vendiéndola.

Cuando hablamos de comprar o vender una base de datos, en realidad, de lo que estamos hablando es de ceder o comunicar los datos personales de nuestros clientes o usuarios a terceros y, para poder hacer esto, debemos cumplir una serie de requisitos.

Así, para poder ceder o comunicar a terceros los datos personales de nuestros clientes o usuarios es necesario que:

  • Exista consentimiento expreso por parte del titular de los datos.
  • Se le indique al titular de los datos con qué finalidad se van a ceder sus datos.

Seguir leyendo

¿Cuándo puedo enviar correos comerciales?

Una de las situaciones más comunes que me encuentro a la hora de adaptar empresas a la normativa de protección de datos, es que éstas suelen tener como práctica habitual enviar correos comerciales, sobre sus productos y servicios, a otras empresas o personas físicas que consideran que pueden llegar a ser clientes potenciales y, la pregunta es ¿pueden hacerlo?

¿Las empresas pueden enviar correos comerciales a otras empresas y/o personas físicas?

La respuesta es no, salvo que, los correos comerciales se envíen a empresas o personas físicas que ya son clientes, aunque estos no hayan consentido expresamente el uso de sus datos para el envío de correos comerciales.

Así lo establece el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI):

Artículo 21 Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Seguir leyendo

Delegado de Protección de Datos (DPO)

El Data Protection Officer (DPO) o Delegado de Protección de Datos (su traducción al castellano) es la nueva figura contemplada en la propuesta del Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (Reglamento General de Protección de Datos).

Dicho Reglamento Europeo de Protección de Datos, que será de aplicación directa para todos los estados miembros de la Unión Europea, aun no ha sido aprobado, pero todo parece indicar que cuando lo haga (prevista su aprobación para el 2016) lo hará contando con la figura del Delegado de Protección de Datos que vendrá a ser semejante a la del Responsable de Seguridad, que tenemos actualmente.

¿Dónde se regula la figura del Delegado de Protección de Datos (DPO)?

La figura del DPO viene recogida en los artículos 35 a 37 de la propuesta de Reglamento General de Protección de Datos.

¿Cuándo será obligatorio contar con un Delegado de Protección de Datos (DPO)?

Será obligatorio designar un Delegado de Protección de Datos (DPO) en los siguientes casos:

Seguir leyendo