Protección de datos

Los derechos de los interesados

Con la nueva normativa de protección de datos, los conocidos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), que tienen los titulares de los datos frente al tratamiento de sus datos por parte de terceros,  sufren algunas modificaciones.

Así, los derechos de los interesados pasan a formularse de la siguiente forma:

Derecho de acceso

El artículo 15 del Reglamento General de Protección de Datos (RGPD) reconoce el derecho de acceso del interesado a sus datos personales. Así, el precitado artículo en su apartado primero establece:

El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Como novedad, respecto a la normativa anterior es que se incluye la posibilidad de que el interesado pueda obtener una copia de sus datos personales objeto de tratamiento.

Derecho de rectificación

El artículo 16 del RGPD reconoce el derecho de rectificación que tiene el interesado a pedir al responsable del tratamiento que, sin dilación indebida, rectifique aquellos datos erróneos o inexactos. Así el precitado artículo recoge:

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Respecto de este derecho no se producen cambios en relación a la normativa anterior.

Derecho de supresión (Derecho al olvido)

El artículo 17 del RGPD recoge el derecho de supresión, o popularmente conocido como el derecho al olvido, que no es otro derecho que el del borrado o cancelación de los datos en el ámbito online.

Así el artículo 17.1 del RGPD establece:

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

Este es un derecho reconocido desde hace tiempo por la jurisprudencia europea, concretamente por el Tribunal de Justicia de la Unión Europea en el caso de Google Spain, y que reconoce el derecho al olvido como «la manifestación de los derechos de cancelación u oposición en el entorno online«.

Derecho a la limitación del tratamiento

El artículo 18 del RGPD reconoce el derecho a la limitación del tratamiento a solicitud del interesado y supone la no aplicación de sus datos personales a determinadas operaciones. Así, el precitado artículo en su primer apartado establece:

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:

a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

La situación más habitual en la que puede producirse el ejercicio de este derecho es cuando el interesado no quiere que se utilicen sus datos personales, pero no quiere que se borren porque precisa de esa información, de esos datos, para poder interponer una reclamación o ejercer algún derecho.

Derecho a la portabilidad de los datos

El artículo 20 del RGPD reconoce un nuevo derecho a favor del interesado. El derecho a la portabilidad de sus datos personales que consiste, básicamente, en que el interesado pueda solicitar que sus datos personales se pasen de forma completa y estructurada de un responsable del tratamiento a otro directamente, sin que él tenga que recogerlos de un responsable y llevarlos al nuevo responsable del tratamiento.

Así, el artículo 20.1 del RGPD establece:

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando

a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y

b) el tratamiento se efectúe por medios automatizados.

Una situación en la que puede darse el ejercicio de este derecho de forma habitual es ante un cambio de clínica privada por ejemplo, donde el interesado podría solicitar que su historial médico sea enviado directamente desde la antigua clínica a la nueva.

Derecho de oposición

El artículo 21 del RGPD reconoce el derecho de oposición al tratamiento de los datos personales.

Así, el artículo 21.1 del RGPD establece:

El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

Sobre este derecho no se han producido novedades respecto a la normativa anterior.

¿Qué deben hacer las empresas para adaptarse a la nueva normativa de protección de datos?

Como es bien sabido ya a estas alturas, el próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD).

Y la pregunta que se hacen muchas empresas es ¿qué debemos hacer para adaptarnos a la nueva normativa?

Como regla general, las empresas deberán realizar las siguientes tareas para adaptarse al RGPD y nueva LOPD:

  • Designar Delegado de Protección de Datos en los casos en que estén obligadas a contar con esa figura.
  • Elaboración de un Registro de Actividades del tratamiento que incluya la información obligatoria establecida en el RGPD que, entre otra, es: datos identificativos del responsable del fichero y del Delegado de Protección de Datos en caso de que la empresa lo precise, finalidad del tratamiento, descripción del tipo de datos personales tratados, etc.
  • Elaboración de un Análisis de Riesgos. Se trata de realizar una valoración del riesgo de los tratamientos de datos que realiza la empresa, a fin de poder establecer qué medidas de seguridad deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de: el tipo de tratamiento, la naturaleza de los datos, el número de interesados afectados, la cantidad y variedad del tratamiento llevado a cabo por el cliente.
  • Establecer las Medidas de Seguridad necesarias a la luz del resultado del Análisis de Riesgos.
  • Elaboración de un Protocolo de Notificación de Violaciones de Seguridad. Debe establecerse cómo actuará la empresa y qué pasos seguirá en caso de que se produzca la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
  • Realizar una Evaluación de Impacto sobre la Protección de Datos. Esta evaluación deberá llevarse a cabo con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
  • Adecuar los formularios de derechos de información de los titulares de los datos personales que la empresa va a tratar, es decir, redactar los consentimientos informados que deberán firmar los afectados. Con la nueva normativa los consentimientos deben otorgarse de forma expresa.
  • Establecer mecanismos y procedimientos de ejercicio de derechos. Se trata de articular los procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos de acceso, supresión, limitación, oposición y portabilidad.
  • Adaptación de los contratos con los encargados del tratamiento (proveedores de servicios que tienen acceso a datos personales). Con la nueva normativa aparecen nuevas exigencias y nuevas responsabilidad entre el responsable del fichero y el encargado del tratamiento, por lo que, todos los contratos de prestación de servicios deben adaptarse a las nuevas obligaciones en cuanto a protección de datos se refiere.
  • Revisión y en su caso, redacción de la Política de Privacidad de la web. De acuerdo al nuevo RGPD las políticas de privacidad de las web deben facilitarse por capas. Una primera capa de información básica que debe ir enlazada a una segunda capa de información adicional.
  • Documentar todo lo anterior mediante un Protocolo de Protección de Datos o Documento de Seguridad. Documento que recogerá qué tipos de datos recoge la empresa, qué hace con ellos y qué medidas de seguridad adopta para protegerlos. Se trata de una especie de protocolo de seguridad en relación al tratamiento de datos personales por parte de la empresa.

¿Cambios en los contratos con nuestros proveedores a causa del nuevo Reglamento General de Protección de Datos?

Es sabido que a partir del próximo 25 de mayo, con la aplicación del nuevo Reglamento General de Protección de Datos  se avecinan grandes cambios.

Uno de esos «grandes» cambios son las cláusulas que deberán contener los contratos entre el responsable del fichero y el encargado del tratamiento. Recordemos que el encargado del tratamiento es el prestador de servicio que, en función del servicio que presta, puede tener acceso a datos personales del responsable. Por ejemplo una gestoría laboral, la empresa de hosting, o la empresa que gestiona nuestro CRM.

Hasta la fecha el artículo 12 de la LOPD establecía qué información debía contener el contrato entre el responsable del fichero y el encargado del tratamiento. Información que en la mayoría de casos podía incluirse en una única cláusula dentro del contrato de prestación de servicios. Pero ahora, con el nuevo Reglamento General de Protección de Datos se exige una información mínima que difícilmente podrá incluirse en una única cláusula.

Seguir leyendo

Reclamación de indemnización por daños y perjuicios contra la Administración Pública por vulneración del derecho a la protección de datos

Tengo encima de mi mesa una resolución de la Autoridad Catalana de Protección de Datos que declara culpable a una Administración Pública de haber cometido una infracción muy grave al publicar en su web datos de salud de un empleado y no eliminar la publicación pese a las reiteradas solicitudes de éste. Como es lógico, el ciudadano afectado por esta vulneración de su derecho quiere reclamar una indemnización por los daños y perjuicios sufridos, pero ¿cuál es el problema de este tipo de reclamaciones? El de siempre: cuantificar económicamente el daño causado.

Así que, para poder evaluar qué cantidad aproximada puede reclamarse ante una situación como la que se encuentra mi cliente me he puesto a buscar sentencias dictadas en casos similares y me he llevado desagradables sorpresas. Concretamente dos sentencias me han dejado boquiabierta.

La primera es la Sentencia del Tribunal Superior de Justicia de la Comunidad Valenciana (Sala de lo Contencioso) núm. 1498/2009, de 16 de octubre de 2009.

El actor reclama la cantidad de 140.000 euros por unas declaraciones sobre su salud realizadas por la Administración Pública para la que trabajaba (parte demandada) y que fueron publicadas en medios de comunicación de tirada nacional. En ellas se hablaba de su sordera y de su grado de discapacidad.

Seguir leyendo

Cambios en las Políticas de Privacidad de las páginas web

La entrada en vigor del Reglamento Europeo de Protección de Datos va a suponer a las empresas realizar muchos cambios en cuanto al tratamiento de los datos personales de sus clientes.

Uno de los cambios más llamativos o más visuales es el que van a sufrir las Políticas de Privacidad de las páginas web ya que, el Reglamento Europeo de Protección de Datos exige que el deber de información hacía el titular de los datos sea mucho más completo. De forma que, las empresas deberán cambiar sus cláusulas de protección de datos en los formularios de recogida de datos personales, las políticas de privacidad web, así como, como cualquier otro documento o medio donde se recojan datos personales.

¿Qué información deberá añadirse en las Políticas de Privacidad web?

Hasta la fecha, la Ley Orgánica de Protección Datos de Carácter Personal establecía que en el momento de recoger los datos personales de una persona física se le debía informar de los siguientes extremos (artículo 5):

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Seguir leyendo

Datos personales de una persona fallecida

Hasta la fecha, la normativa española de protección de datos personales no establecía quién podía y qué se podía hacer en relación a los datos personales de una persona fallecida. Nos teníamos que remitir al derecho común. Bueno, mejor dicho «tenemos que» acudir al derecho común ya que, a fecha, es la normativa que por ahora está en vigor.

No obstante, la nueva Ley Orgánica de Protección de Datos, actualmente en proyecto de ley, sí que recoge quién y cómo se pueden gestionar los datos personales de una persona fallecida.

Así, en su artículo 3 se establece:

1. Los herederos de una persona fallecida que acrediten tal condición mediante cualquier medio válido conforme a Derecho, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

Como excepción, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

2. El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste y, en su caso su rectificación o supresión.

Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.

3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.

En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo

Seguir leyendo

La necesidad de regular y proteger los proyectos Big Data

Recientemente, la Agencia Española de Protección de Datos y la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, han publicado un código de buenas prácticas en protección de datos en proyectos Big Data y es que, preocupa mucho el mal uso que pueda hacerse del gran volumen de datos personales que se manejan y las graves consecuencias que ello pueda acarrear.

Así, la mencionada guía define el término Big Data como:

El conjunto de tecnologías, algoritmos y sistemas empleados para recolectar datos a una escala y variedad no alcanzada hasta ahora y a la extracción de información de valor mediante sistemas analíticos avanzados soportados por computación en paralelo.

El uso de Big Data, como cualquier otra tecnología a nuestro alcance, tiene sus ventajas y sus inconvenientes o riesgos. Como parte positiva podemos destacar que gracias al almacenamiento masivo de datos hay sectores que pueden predecir futuras necesidades y así prepararse para poder cubrirlas, pensemos por ejemplo en el sector sanitario. Gracias al Big Data han podido predecirse necesidades hospitalarias, epidemias de enfermedades, etc. preparándose así para lo que estaba por venir.

Por otro lado, las empresas pueden saber qué productos son los que más necesitan sus clientes o son los más demandados y cómo ofrecérselo y a qué precio. Algo que beneficia muchísimo a las empresas.

Seguir leyendo

Exposición de la vida de menores en YouTube

Cuando me quedé embarazada, descubrí el mundo YouTube más allá de una plataforma para ver videoclips o tutoriales y es que, descubrí los canales de YouTube y me hice fiel seguidora de algún que otro conocido canal sobre maternidad.

Me resultaba interesante ver cómo otras mamás habían pasado su embarazo, el parto y después habían gestionado los primeros meses de maternidad. Debo reconocer que más de una idea sobre crianza me he adueñado y más de un consejo he seguido.

Ahora bien, como abogada especialista en temas de privacidad, me despierta muchísima curiosidad (no imagináis cuánta) saber si estas mamás «blogueras» o estas «Youtubers» se han parado a pensar cómo puede afectarles a sus hijos, cuando estos sean mayores, el haber expuesto TODA SU VIDA en internet.

Hemos de pensar que estos niños están creciendo, incluso desde antes de nacer, con una cámara delante de ellos con las que sus madres (a veces también sus padres) graban, almacenan y después publican en internet toda su vida (su nacimiento, su primer baño, su primera sonrisa, sus primeros pasos, sus juguetes, lo que llevan puesto, su habitación, lo que comen… y no acabaría).

Seguir leyendo

Internet de las cosas ¿un futuro más fácil?

Mucho se ha hablado últimamente sobre el llamado «Internet de las cosas» y su implicación en nuestra vida diaria.

¿Qué es el Internet de las Cosas?

El internet de las cosas es la traducción al castellano del concepto en inglés «Internet of things», también reconocido por su abreviatura «IoT», y hace referencia a la conexión digital de objetos u cosas cotidianas con internet.

La forma más sencilla de entender el concepto Internet de las Cosas es con ejemplos.

El ejemplo quizás más fácil, por existir actualmente y que empezamos a verlo como un instrumento tecnológico necesario para la vida diaria, como lo pueda ser el teléfono móvil,  es el del reloj inteligente o «smartwatch»; un reloj que es capaz, entre otras cosas, de medir la tensión de la persona que lo lleva, controlar sus constantes vitales, lo que ha caminado en un día o las calorías que ha consumido y, en función de eso, poder hacerle recomendaciones.

Otro de los ejemplos más utilizados es el de la nevera ¿qué pasaría si nuestra nevera estuviera conectada a internet? pues que podría avisarnos de la caducidad de los productos, de la necesidad de comprar algún producto que se ha acabado o, incluso, de hacernos la lista de la compra en función de nuestros gustos, necesidades, compras habituales, etc.

Seguir leyendo

Nueva normativa igual a nuevas medidas de seguridad

Desde que a finales de 2007 entrase en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, las empresas han tenido relativamente «fácil» cumplir con la normativa relativa a la protección de datos.

Y es que, dicho Reglamento (aún vigente) establece cuáles son las medidas de seguridad exactas que los responsables de los ficheros (las empresas) deben cumplir en función del tipo de dato personal que tratan, estructurándose o dividiéndose en datos de nivel básico, medio y alto.

Ahora bien, la reciente entrada en vigor del Reglamento Europeo de Protección de Datos, de aplicación directa para todos los Estados miembros y de obligado cumplimiento a partir del 25 de mayo de 2018, cambia totalmente esta situación.

Seguir leyendo